كيف يمكنني تأمين الخدمية مع التواصل بين الخدمة بين مراكز البيانات؟

Question

بالنسبة لمشروع الحيوانات الأليفة، فقد قررت في الهندسة المعمارية القائمة على الخدمات (نعم The Buzzword SOA) لأنني يمكنني قياس كل خدمة مستقلة عن الآخرين، وتوزيعها جغرافيا حيث سيتم استخدامها أكثر من الخدمات الأخرى، إلخ.

الحيلة هي أن بعض الخدمات تحتاج إلى التواصل بشكل خاص مع بعضها البعض (والجمهور مع المستخدمين النهائيين). ستكون هذه الخدمات موجودة في مراكز بيانات متميزة دون أي أنبوب خاص مدمج بينهما (أعتقد أن SoftLayer لديه مثل هذا).

أنا أهتم القليل إذا كان التواصل بطيئا بعض الشيء بسبب التشفير. أنا في الغالب يهتم هجمات MITM والتنصت. هذا هو، أريد أن تكون الخدمات واثقة من أنهم يتحدثون مع خدمة صديق وليس بعض المساواة.

الخيارات لمثل هذا الاتصال بين الخدمة كما أراهم:

• HTTP مع TLS.
• TCP / IP (بعض البروتوكول المخصص) مع TLS
• مجموعة مجموعة أدوات (غير متأكد من التشفير هنا)
• HTTP أو مخصص TCP / IP عبر نفق SSH
• إنشاء VPN بين مراكز البيانات
• شهادات العميل؟ التحقق المتبادل للشهادات؟

بوضوح لدي الكثير من أمبو جمبو في رأسي. مساعدة!

ما رأيك؟ هل فعلت هذا سابقا؟ ما هي تجاربك؟ ما "يعمل بشكل جيد"؟

إذا اخترت VPN، ما نظام VPN الذي تنصح به؟ OpenVPN؟ كيف يتم التعامل مع أقسام الشبكة المؤقتة مع مثل أنظمة VPN هذه؟ هل يشفئون تلقائيا / إعادة الاتصال؟

أفترض أن حل VPN سيقوم بتشفير جميع الاتصالات ولكن أريد مشفرة بعض الاتصالات فقط. ربما يكون نفق SSH بالترتيب.

شكرا لنصيحتك.

Answer 1

ما لم يكن لديك الكثير من حركة المرور التي تذهب بين مراكز البيانات الخاصة بك بخلاف خدماتك التي تتحدث مع بعضها البعض، فلا حاجة حقا لإعداد وتحافظ على البنى التحتية للنقل الآمن مثل أنفاق VPNS أو SSH التي قد تكلف أكثر ويتسبب في الواقع المزيد من الصداع.

أود أن أوصي باستخدام SSL مآخذ بحيث لا داعي للقلق بشأن الأنفاق الآمنة للطبقة المنخفضة، إذا كنت تتواصل مع مركز البيانات الآخر الخاص بك من خلال خدمتك، فستكون من خلال الاتصال الآمن. قد يكون الأمر مستحقا أيضا لإضافة VPN بين مراكز البيانات باستخدام شيء مثل وضع نفق IPSec بين بوابات الإنترنت (أجهزة التوجيه) في كل مركز بيانات لإضافة أمان إضافي بالإضافة إلى المزيد من التحكم في حركة المرور ومعالجتك.