Ai-je besoin de sécurité entre ma demande ASP.net et un service WCF?

Question

[Je sais que cela est tout à fait subjective et dépend de diverses considérations, donc je suis en train de terminer des idées pour voir ce que les gens pensent à ce sujet, et quelles sont les considérations qu'ils prennent ...]

Nous avons une application asp.net exposée publiquement (authentification nom d'utilisateur / mot de passe requis), qui, à son tour, utilise un ensemble de services WCF dans le dos.

Je suis en train de décider quel liant à utiliser pour ces services, et plus particulièrement - les éléments de sécurité, le cas échéant, nous devrions utiliser.

toutes les applications (extrémité avant de la bande et l'ensemble des services) résident sur la même batterie de serveurs, derrière un pare-feu, qui bloque tous les accès à des services autres que de l'application web. Dans ces circonstances - diriez-vous que ce ne est pas acceptable d'avoir des éléments de sécurité

(et donc, sans doute, ont des performances accrues?)

Pour être complet, je dirais que nous nous attendons à exposer certains services, à l'extérieur, à un moment donné, mais ce sera fait via un point final différent, avec une adresse différente, en utilisant des éléments de haute sécurité, y compris l'identité fédérée pour l'authentification

Answer 1

La sécurité est comme un mur. Plus murs mieux.

C'est pourquoi nous avons des mots de passe sécurisés pour les bases de données qui sont internes mais accessibles à partir de l'application Web de, et pourquoi nous chiffrons les données sensibles dans ces bases de données.

Si la sécurité ne va pas être une douleur importante, ajoutez-le.

Answer 2

Vous devez faire vos services username trop et mot de passe protégé comme l'utilisation de l'authentification Digest etc. Le nom d'utilisateur et mot de passe qui seront fournis seront en interne par votre application. Ainsi vous augmentez une couche de sécurité.