O que é uma boa prática para proteger / autorizar um serviço REST para comunicação servidor a servidor?

1

Quais boas técnicas existem para proteger a comunicação REST de servidor para servidor? Para comunicação envolvendo dispositivos humanos, como navegadores, telefone celular, OAuth e SAML, são boas opções, mas também são a melhor opção para transações de servidor para servidor?

Estou mais interessado em técnicas de protocolo / camada de aplicação.

    
por Jörg Asmussen 02.03.2016 / 02:45

1 resposta

1

Essa é uma pergunta muito ampla, na qual você não terá um único tamanho para cada solução e, com bastante frequência, poderá empilhar várias abordagens.

Você pode proteger e autenticar principalmente na camada de rede, executando seus serviços apenas em um segmento de rede específico. A exigência de uma conexão VPN ou IPSec também se enquadra nessa abordagem.

Os firewalls são sempre uma boa ideia, negue tudo por padrão, abra somente o que é explicitamente permitido. Os servidores geralmente têm endereços IP estáticos, permitindo ACLs muito mais restritivas em comparação com os serviços públicos.

Você pode querer proteger e autenticar na camada de protocolo, https e nome de usuário / senha simples (ou outra autenticação) ou HTTPS e autenticação mútua com certificados de cliente.

Você pode querer proteger e autenticar as mensagens que são transmitidas e considerar algo como o HMAC.

E provavelmente muito mais, dependendo também de quanto do ambiente você controla.

    
por 02.03.2016 / 07:34

Tags