У меня есть два приложения. Один из них общается с миром, но ему нужны данные из внутреннего API, который мы размещаем где-то еще (на heroku).
Я думал о безопасности. В настоящее время у нас работает авторизация по токенам, но мы можем добиться большего. Поскольку область действия приложения полностью внутренняя, нет причин, по которым мы хотели бы без надобности открывать API в Интернете, даже если аутентификация уже существует.
Если бы этого не было на heroku, я мог бы внести IP-адрес другого сервера в белый список на сервере API и покончить с этим. Это значительно уменьшило бы мою поверхность атаки. Тем не менее, я понимаю, что heroku не позволяет нам манипулировать таблицами IP, и что еще хуже - у динамометрических станций не гарантируется наличие статических IP-адресов. Однако у меня есть домены для каждого из этих экземпляров heroku.
Есть ли хороший способ убедиться, что мой сервер API может общаться ТОЛЬКО с другими приложениями heroku в моей учетной записи? Или я застрял в переносе сервера api на выделенный VPS?