Моя компания получает доступ к стороннему веб-сайту, который использует простой метод аутентификации по имени пользователя и паролю. Этот поставщик может ограничить доступ приложения (веб-сайта) к определенному диапазону IP. Мы пытаемся внедрить двухфакторную аутентификацию для защиты сайта. У нас нет доступа к исходному коду поставщика веб-сайта, поэтому мы не смогли реализовать на сайте нативную двухфакторную аутентификацию.
Я думал создать экземпляр AWS EC2 с 2FA и ограничить веб-сайт стороннего поставщика только этим IP.
Другой вариант - создать прокси-сервер (с 2FA, я не знаю, возможно ли это) и ограничить IP-адрес только прокси.
Это лучшая практика? У кого-нибудь есть другая идея?
Да, это обеспечит двойную аутентификацию, хотя:
1) IP-адреса можно подделывать даже с TCP - с помощью VPN (подходящей VPN с собственными IP-адресами netowrk и взаимной аутентификацией, например IPSEC или ssh-туннелем, а не дешевых анонимных сервисов, которые вы увидите в Google, если вы ищете "VPN") решит эту проблему
2) При наличии только одного прокси ваша доступность уменьшается вдвое.
3) Вы действительно можете контролировать, насколько фиксирован «фиксированный» IP-адрес прокси (подсказка: вы можете, если его «127.0.0.1»)
В качестве альтернативы вы можете потратить огромный суммы денег решения Privileged Access / Indetity Management (а затем выясните, насколько это ограничительно на практике).
Могу ли я использовать ограничения доступа по IP, поддерживаемые поставщиком, чтобы ограничить доступ к (обратному) прокси-серверу, а затем включить двухфакторную аутентификацию на прокси-сервере?
Да, вы могли бы, но это все еще не предлагает вам фактическую двухфакторную аутентификацию.
Проблема в том, что, хотя люди должны будут проходить аутентификацию с использованием двойного фактора на прокси-сервере, для входа на веб-сайт у них все равно будет запрашиваться имя пользователя и пароль. И ничто не мешает им использовать для входа чужие логин и пароль, а не свои.
UserA на прокси-сервере может войти в систему как UserB на стороннем веб-сайте, что и должен предотвратить двойной фактор!