¿Cómo debería asegurar una SOA con la comunicación entre los distintos servicios entre centros de datos?
https://stackoverflow.com/questions/2249661
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Para mi proyecto mascota que haya decidido sobre una arquitectura basada en servicios (SOA sí la palabra de moda) porque puede escalar cada servicio independiente de los demás, distribuirlos geográficamente donde van a ser utilizados más de otros servicios, etc.
El truco es que algunos de los servicios que necesitan comunicarse de forma privada entre sí (y públicamente con los usuarios finales). Estos servicios estarán ubicados en distintos centros de datos sin ningún tipo incorporado en la tubería civiles entre sí (creo SoftLayer tiene tal).
Me importa poco si la comunicación es un poco lento debido a la encriptación. Yo sobre todo se preocupan por los ataques MITM y espionaje. Es decir, quiero que los servicios sean seguros de que están hablando con un servicio de amigo y no un impostor.
Las opciones para la comunicación entre los distintos servicios como los veo son:
- HTTP con TLS
- TCP / IP (protocolo de alguna medida) con TLS
- Kit de herramientas de propagación (no estoy seguro sobre el cifrado aquí)
- HTTP o TCP personalizado / IP a través de túnel SSH
- crear una VPN entre los centros de datos
- certificados de cliente? verificación mutua de los certificados?
Es evidente que tengo un montón de jerigonza en mi cabeza. Ayuda!
¿Qué opinas? ¿Ha hecho esto antes? ¿Cuáles son sus experiencias? Lo que "funciona bien"?
Si elige VPN, el cual sistema VPN me recomienda? OpenVPN? ¿Cómo se manejan las particiones de red temporales con tales sistemas VPN? ¿Se auto-sanar / reconectar?
supongo que la solución VPN cifrará todas las conexiones pero sólo quiero algunas conexiones a ser encriptados. Tal vez un túnel SSH está en orden a continuación.
Gracias por su consejo.
Solución
A menos que tenga mucho más tráfico que va entre sus centros de datos que no sean sólo los servicios que hablan el uno-otro entonces realmente no hay necesidad de configurar y mantener infraestructuras de transporte seguros como VPNs o túneles SSH que puede costar más y, de hecho causar más dolor de cabeza .
Me gustaría recomendar el uso de sockets SSL modo que usted no lo hace tiene que preocuparse por los túneles seguros capa inferior ser activo, si se comunica con el resto de centros de datos a través de su servicio, será a través de la conexión segura. Puede ser que valga la pena añadir también una VPN entre los centros de datos utilizando algo así como el modo de túnel IPsec entre las pasarelas de Internet (routers) en cada centro de datos para agregar seguridad extra, así como un mayor control sobre el tráfico y el direccionamiento.
