【发布时间】:2016-08-20 22:58:00
【问题描述】:
在 Service Fabric 中授权服务到服务流量的推荐方法是什么?
我有一个经典云服务,我想在服务结构服务中调用一个 Web API 端点。有没有办法为服务结构集群中的特定 IP 打开特定端口?还是有更好的方法来确保无法从外部 Internet 调用我的服务结构端点?
谢谢!
【问题讨论】:
标签: c# azure microservices azure-service-fabric
【发布时间】:2016-08-20 22:58:00
【问题描述】:
您需要考虑两个关键领域。
首先是保护您的集群和管理 API/功能。 This can be achieved using certificates。我知道这是一个仅链接的答案,但是粘贴和重写太多了。您应该使用证书保护节点之间的通信,然后使用其他证书保护客户端(只读管理员)和管理员“接口”(不要重复使用用于集群的相同证书)。
完成此操作后,您可以对集群的安全性充满信心。现在您想在集群上托管一个 WebAPI 并让它与现有的云服务通信。这里的要求是保护您的应用程序。
您现在可以使用标准的 WebAPI 安全选项。我会推荐shared key security via HMAC,因为它简单且不依赖于您必须安全存储密钥的任何进一步的基础设施栏。如果您有 OAuth 基础设施,Two legged OAuth 也是一个选项。当然,您应该通过 TLS 运行 API。
简而言之,请分别关注保护您的集群“基础架构”和您的应用程序。
I found the following useful list here:
- 使用应用程序网关通过 HTTPS 公开所有 Web API
- 应用 IP 过滤器,因此只有来自公司网络的服务才能调用 Web API,我们将通过应用网络安全组来做到这一点。
- 保护 Service Fabric 节点,使它们不会暴露 RDP 终结点。 RDP 只能访问 Jumpbox 虚拟机。
- 添加 Web 应用程序防火墙以应用更高级和更精细的威胁/入侵检测。
可以通过利用 Azure 基础架构相关功能(应用程序网关、网络安全组、Web 应用程序防火墙和安全中心)来应用这些要求。除了这些要求之外,您很可能还希望:
- 为您的 Web APIS 添加身份验证/授权功能。
- 以安全的方式管理数据,您可能需要加密数据(参与者和集合)。
【讨论】: