Como devo proteger uma SOA com inter-serviço de comunicação entre centros de dados?
https://stackoverflow.com/questions/2249661
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Para o meu projeto de estimação, eu já decidiu sobre serviços de arquitetura (sim, a palavra de ordem SOA), porque eu posso escala de cada serviço independente dos outros, distribuí-los geograficamente, onde eles serão utilizados mais de outros serviços, etc.
O truque é que alguns dos serviços que precisa para comunicar-se em particular com cada um dos outros (e publicamente com os usuários finais).Esses serviços serão localizados em diferentes centros de dados sem qualquer built-in privado tubulação entre eles (eu acho SoftLayer tem como).
Eu pouco se importam se a comunicação é um pouco lento devido à encriptação.Eu, principalmente, o cuidado sobre ataques MITM e espionagem.Que seja, eu quero que os serviços para ter certeza de que estão falando com um amigo de serviço e não um impostor.
As opções para tal inter-comunicação de serviço, como eu vejo são:
- HTTP com TLS
- TCP/IP (alguns protocolo personalizado) com TLS
- Espalhe Toolkit (não tenho certeza sobre a criptografia aqui)
- HTTP personalizado ou TCP/IP através de túnel SSH
- criar uma VPN entre os centros de dados
- certificados de cliente?a verificação mútua de certificados?
Claro que eu tenho um monte de mumbo jumbo na minha cabeça.Ajuda!
O que você acha?Você já fez isso antes?Quais são suas experiências?O que "funciona bem"?
Se você escolher VPN, VPN sistema você recomenda?O OpenVPN?Como são temporários partições de rede tratada com tais sistemas de VPN?Eles se auto-curar/reconectar?
Suponho que a solução de VPN irá encriptar todas as conexões, mas eu só precisava de algumas ligações para ser criptografada.Talvez um túnel SSH está em ordem, então.
Obrigado por seus conselhos.
Solução
A menos que você tenha muito mais tráfego que passa entre os seus centros de dados que não apenas os seus serviços conversando uns com os outros, então realmente não há necessidade de configurar e manter a segurança das infra-estruturas de transportes, como VPNs ou túneis SSH o que pode custar mais e na verdade causar mais dor de cabeça.
Eu recomendo usar Sockets SSL para que você não terá de se preocupar com a camada inferior túneis seguros de ser ativo, se você se comunicar com o outro centro de dados através do seu serviço, ele será através de conexão segura.Pode valer a pena-embora também adicionar uma VPN entre a data-centers usando algo como o modo de túnel IPsec entre a internet gateways (roteadores) em cada centro de dados para adicionar extra de segurança, bem como maior controle sobre o seu tráfego e de endereçamento.
