5

Sep

Windows Azure – AppFabric Service Bus – Sicurezza

Dal punto di vista della sicurezza, si è cercato di fare il possibile per limitare la superficie d’attacco dei famosi “utenti malintenzionati”, per cui bisognerà aspettarsi che per fare funzionare AppFabric SB siano necessarie le minime configurazioni del firewall. Sicuramente saranno da permettere le comunicazioni Outbound sulle porte 80 e 443; inoltre, per tutti i relaybindings relativi al TCP, anche le porte 9350,9351 e 9352 saranno necessarie. Secondo la documentazione infatti:

image

Inoltre per enfatizzare la sicurezza abbiamo a disposizione anche gli indirizzi IP dei LB di SB, che sono:

United States (South/Central)
70.37.48.0/20, 70.37.64.0/18, 65.52.32.0/21, 70.37.160.0/21

United States (North/Central)
65.52.0.0/19, 65.52.192.0/19, 65.52.48.0/20

Europe (North)
94.245.97.0/24, 65.52.128.0/19, 94.245.112.0/20, 94.245.88.0/21, 94.245.104.0/21, 65.52.64.0/20

Asia (Southeast)
111.221.64.0/22, 65.52.160.0/19, 111.221.16.0/21, 111.221.80.0/20, 111.221.96.0/20

Così possiamo raffinare ancora di più le regole dei firewall. Chiaramete rimangono problemi potenziali, nel caso in cui qualcuno interno all’organizzazione, sfrutti il tunneling di SB per creare un proxy, per esempio. A questo punto l’unico scenario percorribile è un firewall con stateful inspection.

Infine una nota sulla crittografia: SSL basterebbe per rendere sicure tutte le comunicazioni da e verso l’AppFabric. Tuttavia all’interno del fabric di SB, i messaggi viaggiano in chiaro e quindi, se non ci fidiamo di Microsoft o abbiamo dati confidenziali, è il caso di implementare una crittografia di messaggio end-to-end.

by Roberto Freato on 9/5/2011
Post archive