云服务到服务架构认证？

Question

在Service中授权服务到服务流量的推荐方法是什么？

我有一个经典云服务，我希望在服务架构服务中调用一个Web端点。是否有方法向服务结构集群中的特定in开放特定端口？或者是否有更好的方法来确保我的服务结构端点不能从外部互联网被调用？

谢谢!

Answer 1

有两个关键的领域，你需要考虑。

第一个问题是保护集群和管理API /功能。这可以使用证书来实现。。我知道这是一个只有链接的答案，但它是太多粘贴和重写。您应该使用cert保护节点之间的通信，然后用附加的证书保护客户端(只读admin)和admin“接口”(不要重复使用与集群相同的接口)。

一旦您这样做了，您就可以对集群的的安全性充满信心了。现在，您希望在集群中托管一个WebAPI，并让它与现有的云服务进行对话。这里的要求是保护您的应用程序。

现在您可以使用标准的WebAPI安全选项了。我推荐通过HMAC共享密钥安全，因为它简单且不依赖于任何其他基础设施，除非您必须安全地存储您的密钥。如果您已经建立了两条腿OAuth基础设施，那么OAuth也是一个选项。当然，您应该在TLS上运行API。

简而言之，分别关注集群“基础设施”和应用程序的安全。

我在这里发现了以下有用的列表：

1. 使用应用程序网关公开HTTPS上的所有Web API
2. 应用IP过滤器，因此只有来自公司网络的服务才能调用Web，我们将通过应用网络安全组来实现这一点。
3. 保护Service节点的安全，这样它们就不会公开RDP端点。RDP将只访问Jumpbox VM。
4. 添加Web应用程序防火墙，以应用更高级和细粒度的威胁/入侵检测。

这些需求可以通过利用Azure基础设施相关功能(应用网关、网络安全组、Web应用程序防火墙和安全中心)加以应用。除了这些要求之外，您很可能希望：

1. 向Web添加身份验证/授权功能。
2. 以安全的方式管理数据，可能需要加密数据(参与者和集合)。