Прямо сейчас моя компания находится на стадии предварительного запуска, и ей сходит с рук несколько грязных хаков. Самая большая из них заключается в том, что наши промежуточные блоки, блоки управления и мониторинга доступны на сайтах staging.ourcompany.com, ci.ourcompany.com и monitoring.ourcompany.com. Поскольку все они имеют приятные HTTP-интерфейсы, нажатие на эти URL-адреса в браузере покажет хороший веб-сайт - всем, кто проходит мимо, в нашей компании или нет.
В идеальном мире эти машины были бы недоступны, если пользователь не является одним из нас. Я не могу предсказать людей, работающих из дома и т. Д., Поэтому я не хочу просто заносить IP-адреса в белый список.
Насколько я понимаю, именно здесь VPC пригодится. Все наши машины размещены на EC2, поэтому я начал изучать VPC, и это заставило меня взорваться.
Что именно мне нужно в этом случае? Мое базовое, почти наверняка ошибочное понимание состоит в том, что мы будем использовать VPN в блоке с какой-то настраиваемой таблицей маршрутизации, а наш общедоступный DNS (например, staging.company.com) будет указывать на внутренний IP-адрес, который не разрешает ни для кого другого. Тогда трафик туннелируется через этот VPN-сервер?
Очевидно, это действительно важная вещь, но я явно не в себе. У меня очень солидное образование в области CS, и я много лет использую Linux-системы, но VPN и расширенные сети для меня действительно в новинку. Любая помощь могла бы быть полезна.
VPC действительно предназначен для расширения вашей корпоративной сети, также он работает иначе, чем общедоступное облако, и не все функции аналогичны общедоступному облаку.
Вам следует подумать о добавлении какой-либо альтернативной аутентификации или проверки IP к своим непроизводственным URL-адресам. Если вы используете ELB, группы безопасности вам тоже не помогут (нет возможности acl на самом ELB), вам нужно будет создать программный ACL с использованием заголовка X-Forwarded-For или аутентифицировать пользователей каким-либо другим способом.