Блог

Главная - Вопросы по программированию - Безопасность в кэшировании Appfabric

Безопасность в кэшировании Appfabric

#security #caching #appfabric

#Безопасность #кэширование #appfabric

Вопрос:

Мы разрабатываем систему с кэшированием Appfabric. Нас интересует безопасность.

Как сервер, на котором находится элемент кэша, узнает, что запрос на элемент поступает с другого сервера в кластере кэша или с авторизованного сервера?

Нас беспокоит следующее: может ли кто-либо, имеющий доступ к порту кэша Appfabric, читать элементы из кэша?

Ответ №1:

Нет, доступа к порту недостаточно для чтения элементов кэша.

Кэш AppFabric использует внутреннюю связь WCF через net.tcp. Таким образом, безопасность Windows включена по умолчанию. Когда ваш клиентский код обращается к кэшу, это приводит к передаче идентификатора процесса. В кластере кэша проверяется идентификатор, и если вы не предоставили доступ к кешу для этого идентификатора, запрос отклоняется (вам это кажется странным: «Произошел временный сбой. Пожалуйста, повторите попытку позже»).

Обычно создается специальная учетная запись для запуска вашего пула процессов / приложений. Вы можете предоставить доступ с помощью администрирования кэширования Windows PowerShell:

 PS C:Windowssystem32> Grant-CacheAllowedClientAccount YOURDOMAINProcessAccount

Чтобы проверить доступ, используйте следующую команду:

 PS C:Windowssystem32> Get-CacheAllowedClientAccounts
Administrators
NETWORKSERVICE
IIS APPPOOLASP.NET v4.0
YOURDOMAINProcessAccount

Надеюсь, это поможет.

Комментарии:

1. очень хорошо, как вы предоставляете разрешение для пользователя: IIS APPPOOLASP.NET версия 4.0? какое именно имя пользователя вы пишете?

2. Предоставить-CacheAllowedClientAccount «IIS APPPOOLASP.NET версия 4.0». Или вы можете ввести команду без параметров, и она запросит имя учетной записи, где вы можете записать его без кавычек.

3. Это обеспечит безопасность соединения, но не содержимого кэша.

4. В моем случае это сработало, когда я подал заявку (заглавные буквы) Предоставьте CacheAllowedClientAccount NETWORKSERVICE, а затем остановите CacheCluster и запустите CacheCluster

5. Если это среда разработки, возможно, вам придется предоставлять разрешение пользователям iis? (IIS_IUSRS)

Ответ №2:

Кэш appfabric можно настроить для шифрования и аутентификации подключений от клиента.

Однако мы используем алгоритм шифрования для хранения конфиденциальных данных в кэше и серверной части SQL. Таким образом, мы можем быть уверены, что все данные, хранящиеся в обеих системах, защищены.