Моя компания получает доступ к стороннему веб-сайту, который использует простой метод аутентификации по имени пользователя и паролю. Этот поставщик может ограничить доступ приложения (веб-сайта) к определенному диапазону IP. Мы пытаемся внедрить двухфакторную аутентификацию для защиты сайта. У нас нет доступа к исходному коду поставщика веб-сайта, поэтому мы не смогли реализовать на веб-сайте нативную 2FA.
Я думал создать экземпляр AWS EC2 с 2FA и ограничить веб-сайт стороннего поставщика только этим IP.
Другой вариант - создать прокси-сервер (с 2FA, я не знаю, возможно ли это) и ограничить IP-адрес только прокси.
Это лучшая практика? У кого-нибудь есть другая идея?
Могу ли я использовать ограничения IP доступа, которые поддерживает производитель, чтобы ограничить доступ к (обратному) прокси, а затем включить двухфакторную аутентификацию на прокси?
Да, можно, но это все равно не предлагает вам действительной двухфакторной аутентификации.
Проблема в том, что хотя от людей потребуется двухфакторная аутентификация на прокси-сервере, для входа на вебсайт их все равно попросят ввести имя пользователя и пароль. И ничто не мешает им использовать чужие имя пользователя и пароль вместо своего собственного для входа в систему.
UserA на прокси-сервере может войти в систему как UserB на стороннем сайте, что и должно быть предотвращено двойным фактором!
.Да, это обеспечит двойную аутентификацию, хотя:
1) Можно подделать IP-адреса, даже с помощью TCP - используя VPN (собственная VPN с собственными IP-адресами netowrk и взаимной аутентификацией, например, IPSEC или туннель ssh, а не дешевые службы анонимизации, которые вы увидите в Google при поиске 'VPN'), разрешат это
2) С помощью только одного прокси, ваша доступность уменьшается вдвое.
3) Можете ли вы реально контролировать, как исправлен "фиксированный" IP адрес прокси (подсказка: можете, если его "127.0.0.1")
Или же вы можете потратить огромные суммы денег на решение Privileged Access/Indetityty Management (а затем выяснить, насколько это ограничено на практике)
.