¿Necesito seguridad entre mi aplicación ASP.net y un servicio WCF?

Question

[Sé que esto es bastante subjetivo y depende de varias consideraciones, así que estoy terminando de buscar ideas para ver qué piensa la gente sobre el tema y qué consideraciones están tomando...]

Tenemos una aplicación asp.net expuesta públicamente (se requiere autenticación de nombre de usuario/contraseña), que, a su vez, utiliza un conjunto de servicios WCF en la parte posterior.

Estoy tratando de decidir qué enlace usar para estos servicios y, más específicamente, qué elementos de seguridad, si corresponde, debemos usar.

Todas las aplicaciones (front-end web y todos los servicios) residen en la misma granja de servidores, detrás de un firewall, que bloquea todo acceso a los servicios que no sean desde la aplicación web.En estas circunstancias, ¿diría que es aceptable no tener ningún elemento de seguridad (y, por lo tanto, presumiblemente, tener un mayor rendimiento?)

Para completar, diría que esperamos exponer algunos servicios, externamente, en algún momento, pero esto se hará a través de un punto final diferente, con una dirección diferente, utilizando elementos de alta seguridad, incluida la identidad federada para la autenticación.

Answer 1

La seguridad es como una pared. Las paredes más, mejor.

Es por eso que tenemos contraseñas seguras para bases de datos que son internos, pero se accede desde la web de aplicaciones, y por qué se encripta los datos sensibles en esas bases de datos.

Si la seguridad no va a ser un gran dolor, añadirlo.

Answer 2

Usted debe hacer que sus servicios también nombre de usuario y contraseña protegida como el uso de la autenticación implícita, etc. El nombre de usuario y contraseña que se proporcionará será internamente a través de su aplicación. De este modo se aumenta una capa de seguridad.