Блог

В AWS в нашем контейнере EC2 размещено приложение, которое работает как на внутреннем, так и на внешнем сервере. Внешний сервер — это наше приложение, ориентированное на клиента, которое мы хотим открыть для общественности, а на нашем внутреннем сервере размещена панель администратора, доступ к которой из Интернета должны иметь ТОЛЬКО администраторы и разработчики.

Обычно мы могли бы просто создать группу безопасности, чтобы отфильтровать, кто может получить доступ к приложению. Однако это также приведет к блокировке доступа пользователей к интерфейсному приложению.

Мы ищем решение, которое может различать не только IP-адрес пользователя, но также учитывает, пытается ли он получить доступ к интерфейсному URL-адресу или к внутреннему URL-адресу.

Есть предложения? Спасибо!

Эта логика принимает решение от защиты сетевого уровня к прикладному уровню, вместо этого вы пытаетесь запретить доступ на основе URI, чтобы такие функции, как группы безопасности или списки NaCl, не работали.

Вместо этого можно было бы использовать WAF в качестве защитного слоя перед вашим приложением.

Для этого вы должны добавить IP-адреса разработчиков в набор IP—адресов, а затем применить упорядочение через группу правил, чтобы всегда разрешать запрос, если он поступает с этих IP-адресов. После этого второе правило будет оценивать путь запроса и блокировать, если он соответствует определенному шаблону. Наконец, все остальные запросы будут разрешены.

WAF необходимо будет подключить либо к балансировщику нагрузки приложения, либо к CloudFront, поскольку он не может быть напрямую подключен к экземпляру EC2.