¿Cuáles son los riesgos de seguridad del Bus de servicio y cómo los mitiga?

Navega tus respuestas
6

El Service Bus es un software que puede ser instalado en Windows o alquilado en Azure y permite que alguien transmita información SOAP / WCF a través de Internet en forma de un XML sobre una carga útil HTTPS.

Un riesgo que veo es que esencialmente le permite a un usuario con solo acceso HTTP / S saliente aceptar llamadas WCF "entrantes" a través del proxy externo.

Aunque esto puede ser útil para hacer que una aplicación "simplemente funcione", vería esto como algo malo desde una perspectiva de seguridad. Tengo entendido que esta solución funciona al sondear un host externo de Microsoft para los datos entrantes.

Teniendo en cuenta que puede haber razones comerciales legítimas para esta tecnología, ¿cómo protegerá su red del uso no autorizado o malicioso de este relé?

    
pregunta random65537 22.11.2010 - 20:56
fuente

2 respuestas

4

Mi comprensión del bus de servicio es que funciona en puertos específicos en el rango 800, creo. Si deshabilita las conexiones salientes a través de esos puertos, entonces no puede salir al bus de servicio para recibir los mensajes. Además, cada bus de servicio tiene su propio punto final específico para el servicio en cuestión, por lo que podría bloquear el acceso a solo los puntos finales conocidos.

    
respondido por el Steve 22.11.2010 - 22:27
fuente
4

Cuando expone un servicio web a través del "Bus de servicio de Azure AppFabric", tiene varias formas de proteger ese punto final:

En primer lugar, puede configurar el propio bus de servicio [1], de modo que solo las personas autenticadas puedan enviar mensajes a su punto final. En este caso, permite que Microsoft haga cumplir su política de autorización.

Segundo, puede asegurar su servicio de manera integral, es decir, además de la aplicación básica (transporte) de nivel inferior realizada por Microsoft para usted, puede poner su propio modelo de seguridad en la parte superior, digamos mensaje basado en seguridad (WS-Security) en el caso de SOAP.

Usado en conjunto, Microsoft obliga a que solo las personas autenticadas envíen mensajes a su servicio y, dentro de su servicio, ejecute su propio modelo de seguridad.

Con respecto a la confidencialidad (cifrado), también tiene varias capas aquí: la capa de transporte protege los mensajes entre su cliente y Microsoft, y entre Microsoft y su servicio. La capa de mensajes proporciona seguridad de extremo a extremo entre su cliente y su servicio, de modo que Microsoft solo ve un cuerpo SOAP cifrado.

[1] Asegurar y autenticar una conexión de bus de servicio de AppFabric enlace

[2] Asegurando el Bus de Servicio .NET enlace

    
respondido por el chgeuer 16.08.2011 - 12:06
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA? nomenclatura de malware