Блог

Я хочу разработать службу WCF для моего клиента, которую можно вызвать через Интернет от делового партнера моего клиента. Какую стратегию безопасности WCF я должен применить, чтобы предотвратить сценарий, в котором бизнес-партнер передает свое имя пользователя / пароль для сервиса конкуренту моего клиента, позволяя конкуренту вызывать службу таким образом, чтобы служба думала, что звонит деловой партнер. I.o.w. есть ли способ в WCF security проверить, что вызывающий сервис действительно является деловым партнером, а не третьей стороной, использующей имя пользователя / пароль делового партнера? Любой совет был бы высоко оценен.

Обычно это регулируется соглашениями между партнерами. Ваш партнер должен подписать NDA с санкциями в размере $ $ $ за предоставление вашей конфиденциальной информации другой стороне.

Люди несут ответственность за защиту учетных данных. Вы никогда не сможете защитить свой сервис настолько, чтобы избежать любого раскрытия учетных данных. Даже сертификат клиента может быть установлен на другой машине.

Способы усложнить это выходят за рамки списков доступа WCF к IP-адресам, VPN-туннелям и т.д.

Вы можете смягчить это, используя взаимную аутентификацию по сертификатам, используя сертификат клиента SSL для идентификации клиента. Однако этого недостаточно, поскольку клиент-мошенник может экспортировать сертификат и передать конкуренту. Единственный другой способ, который я могу придумать, если вы знаете IP-адрес своего клиента, вы можете ограничить запрос на подключение только с этих IP-адресов, используя правила брандмауэра.