Wie soll ich eine SOA mit Inter-Service-Kommunikation zwischen Rechenzentren sicher?
https://stackoverflow.com/questions/2249661
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Für mein Haustier Projekt habe ich auf einem zugangskontrollierten Diensten und Architektur (ja das Schlagwort SOA) entschieden, weil ich jeden Dienst unabhängig von anderen skalieren können, verteilen sie geographisch, wo sie mehr als andere Dienste verwendet werden, usw.
Der Trick besteht darin, dass einige der Dienste miteinander kommunizieren müssen privat (und öffentlich mit Endnutzern). Diese Dienste werden in verschiedenen Rechenzentren ohne eingebaute in privaten Rohr zwischen ihnen befinden (ich glaube, Strato hat eine solche).
Ich scheren sich wenig, wenn die Kommunikation ein wenig langsam aufgrund der Verschlüsselung ist. Ich kümmere mich hauptsächlich um MITM-Angriffe und Abhören. Das heißt, ich möchte, dass die Dienste sicher sein, dass sie mit einem Freund Service sprechen und nicht einige Betrüger.
Die Optionen für eine solche Inter-Service-Kommunikation wie ich sie sehe, sind:
- HTTP mit TLS
- TCP / IP (einige benutzerdefinierte Protokoll) mit TLS
- Spread-Toolkit (nicht sicher über die Verschlüsselung hier)
- HTTP oder benutzerdefinierte TCP / IP über einen SSH-Tunnel
- Erstellen eines VPN zwischen den Rechenzentren
- Client-Zertifikate? gegenseitige Überprüfung von Zertifikaten?
Klar habe ich viel Hokuspokus in meinem Kopf. Hilfe!
Was denken Sie? Haben Sie dies vorher getan? Was sind Ihre Erfahrungen? Was "gut funktioniert"?
Wenn Sie VPN wählen, welche VPN-System empfehlen Sie? OpenVPN? Wie werden temporäre Netzwerkpartitionen mit solchen VPN-Systemen behandelt? Haben sie automatisch heilen / Reconnect?
Ich nehme an, die VPN-Lösung, die alle Verbindungen verschlüsseln, aber ich will nur einige Verbindungen verschlüsselt werden. Vielleicht ein SSH-Tunnel ist, um dann.
Vielen Dank für Ihre Beratung.
Lösung
Wenn Sie nicht viel mehr Verkehr geht zwischen den Rechenzentren haben andere als nur Ihre Dienstleistungen zu jedem-andere sprechen dann wirklich keine Notwendigkeit zur Einrichtung und Pflege sichere Verkehrsinfrastrukturen wie VPNs oder SSH-Tunnel, die mehr kosten können und tatsächlich führt, dass mehr Kopfschmerzen .
würde ich empfehlen, SSL-Sockets so dass Sie dies nicht tun muß Sorge um die untere Schicht sicheren Tunnel aktiv, wenn Sie mit Ihrem anderen Rechenzentrum durch Ihren Dienst kommunizieren, wird es über die sichere Verbindung sein. Es kann lohnenswerte sein, auch ein VPN zwischen den Daten-Zentren fügen etwas wie IPSec-Tunnel-Modus zwischen dem Internet-Gateways (Router) an jedem Rechenzentrum mit sowie mehr Kontrolle über Ihren Traffic und Adressieren zusätzliche Sicherheit hinzuzufügen.
