Windows Azure VPN 和 IP 限制答案

【问题标题】：Windows Azure VPN and IP restrictionWindows Azure VPN 和 IP 限制
【发布时间】：2011-10-30 17:02:00
【问题描述】：

我们与第三方服务集成，我们可以在其中运行查询，这些查询现在使用 HTTPS 加密和用户名/密码进行保护。我们从运行在 Windows Azure 云上的服务发送查询。

第三方提供商希望迁移到更好的安全性，他们要求我们这样做

设置 VPN - 这是有问题的，因为我们需要使用 Azure Connect，而且他们必须自行安装客户端端点服务。
提供查询的来源 IP 地址，以便他们可以在防火墙级别过滤掉其他任何人 - 这是有问题的，因为 AFAIK 无法修复 Windows Azure 计算节点的 IP 地址。
建议另一个安全的替代方案 - 我唯一能想到的就是在非 Azure 服务器上设置 VPN，然后使用 Azure Connect 通过隧道传输请求 - 这显然对我们来说是额外的工作，而且如果它依赖于非云服务，那么在云上托管服务也会失去意义。

有什么想法吗？

他们能否在其 DMZ 网络上的另一台服务器上安装 Azure Connect 端点？即不是托管其服务的实际服务器？
我们能否以某种方式为他们提供静态 IP 以用于传入查询？
还有其他可扩展的解决方案吗？

谢谢

【问题讨论】：

标签： security azure vpn tunneling azure-connect

【解决方案1】：

恕我直言，HTTPS 已经很不错了；而且我不完全了解 VPN 如何使系统更加安全。特别是，VPN 不是灵丹妙药，如果您的虚拟机受到威胁，那么 VPN 连接也会受到威胁（HTTPS 也是如此）。另一方面，IP限制确实会减少攻击面。

那么，在云外使用服务器确实是个糟糕的主意。它不仅破坏了云的大部分好处（去过那里、做过那个并遭受了很多痛苦），而且它还使整个事情不太安全，具有更多的复杂性和更多的攻击面。 p>

此时，Windows Azure 不提供任何看起来像静态 IP 的东西。根据我们的经验，给定服务的 IP 地址会偶尔更改，即使该服务仅升级（且从未删除）。长期以来，静态 IP 地址一直是一项重要的功能请求，Microsoft 可能会在某个时候提供它，但可能仍需要几个月的时间。

【讨论】：

虽然我同意您所写的内容，但使用 HTTPS 并不是他们给我们的选项，因此我们必须找到替代方案。
那么，就是VPN。这不止一次让我们在 Lokad.com 的生活变得悲惨 :-) 希望您的情况会更轻松。
感谢您的跟进，但是，您如何想象 VPN 在这种情况下会发生？ :S Azure 客户端是否可以在与处理请求的实际服务器不同的机器上运行？还是说隧道？
我会说使用 2-way-SSL 的 HTTP 请求与 VPN 一样安全。 Azure 已经（2019 年）支持静态 IP 地址。

【解决方案2】：

如果我正确理解该场景，您的 Azure 服务是第三方服务的客户端。这种情况可以通过使用 Windows Azure AppFabric 服务总线来解决。您需要在第 3 方的数据中心安装代理应用程序，该应用程序负责建立与服务总线的连接。连接来自第 3 方的数据中心内部，因此防火墙中没有新的传入漏洞。该连接可以处理具有所有安全强度的 WCF 连接，并且可以使用 ACS 对用户进行身份验证。

这是一个起点：http://msdn.microsoft.com/en-us/library/ee732537.aspx

Windows Azure 平台培训工具包中有一个动手实验室，解释了您需要的大部分细节。

【讨论】：

谢谢格雷格。这是否意味着他们可以在其网络上的任何位置托管 Azure AppFabric 服务总线，而不必在运行服务的服务器上托管？
服务总线托管在 Windows Azure 中。代理应用程序是您需要创建并放入您的第 3 方数据中心某处的位。此代理应用程序将负责在服务总线中发布第三方服务的存在、验证请求以及从通过服务总线的调用将请求汇集到/来自它。
再次感谢 Greg - 如果您有任何关于如何设置服务总线的特定资源，以便它托管在第 3 方数据中心内的服务器 A 上，但将请求重定向到第 3 方内的服务器 B数据中心，请分享它们 - 我将不胜感激。