【问题标题】:Secure access to backend services in Hybrid Cloud安全访问混合云中的后端服务
【发布时间】:2018-02-14 23:54:03
【问题描述】:

我对允许从 AWS 或 Azure 等公共云访问我的公司后端服务最合适的方式有一些疑问,反之亦然。在我们的例子中,我们需要一个 AWS 应用程序来调用我们后端公开的一些 HTTP Rest 服务。

我得出了至少两个选择:

  • 第一个是在应用程序和我们的后端之间设置 AWS Virtual Private Cloud,并通过它路由所有流量。
  • 第二个选项是通过反向代理公开 HTTP 服务并在代理中设置 IP 过滤以仅允许来自 AWS 的收入连接。我们不希望 HTTP 服务可以从 Internet 公开访问,我认为无论我们选择一个选项还是另一个选项都可以满足此要求。此外,我们可能需要在 AWS 和我们的后端之间集成更多服务 (TCP/UDP),例如 FTP 传输、监控等。

我的主要目标是建立一种标准方式来完成这种集成,因此我们不需要根据服务或应用程序的类型使用不同的配置。

我认为这是混合云场景中非常常见的需求,因此我想采用最佳实践。

如果您有任何建议,我将不胜感激。

【问题讨论】:

  • 这个问题真的没有正确的答案——这是一个非常广泛和征求意见的讨论问题。与拥有本地网络安全性的人讨论的好话题(讨论 IP 白名单、vpn 等)。还有诸如服务总线等软件解决方案(也与您的问题正交,但您应该考虑 HTTPS,而不是 HTTP)。哦,每个云供应商都可能有自己的特定于云的解决方案。
  • 谢谢大卫。我只是希望有一种“事实上的标准”,至少在谈到 AWS 和 Azure 云时。无论如何,你会怎么做?问候。

标签: security azure amazon-web-services cloud hybrid-cloud


【解决方案1】:

您的选项 #2 似乎不错。由于您拥有 AWS VPC,因此您可以通过反向代理获取 IP 以列入白名单。

还有另一种方法。也就是说,将您的后端公开为受 Oauth 令牌保护的 API。为此,您需要某种 API 管理解决方案。然后,您的 Node.js 应用可以使用令牌调用这些 API。

WSO2 API Cloud 允许您在云中创建这些 API 并在您的数据中心运行 api 网关。然后 Node.js api 调用将访问本地网关,它将验证令牌并让请求转到后端。您无需将后端服务公开到 Internet。请参阅此博客文章。 https://wso2.com/blogs/cloud/going-hybrid-on-premises-api-gateways/

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2014-12-30
    • 1970-01-01
    • 2023-01-19
    • 2016-03-14
    • 2017-04-17
    • 1970-01-01
    相关资源
    最近更新 更多