«Трудно угадать» настраиваемый заголовок (или аналогичный) в белый список через брандмауэр
Моя организация добавляет брандмауэр в наши тестовые стеки, используя AWS WAF. Мы хотели бы внести в белый список весь трафик из SDK, которые мы создали для облегчения запросов между нашими сервисами.
Мы думали сделать это с помощью настраиваемого заголовка запроса «X-», а затем использовать условия совпадения регулярных выражений AWS WAF для проверки это против шаблона «нетривиально предположить».
Я понимаю, что это даст очень минимальный уровень защиты; идея состоит в том, чтобы предотвратить случайный просмотр из поисковых систем или легкий доступ для всех, кто знает URL-адреса. То есть мы не нуждаемся и не ожидаем такой защиты от информированных или мотивированных злоумышленников.
Я не могу найти прецедента для этого в Интернете. Есть ли какие-нибудь похожие примеры или какие-нибудь лучшие способы достичь чего-то похожего на наши цели? (Не значимая безопасность, но первая капля уверенности в происхождении запроса)
То, что вы описываете, по сути, аутентификация токена носителя - клиент должен будет представить действительный токен или ему будет отказано в доступе.
Вокруг правил практически нет что это за жетон -это может быть закодированная в base64 случайная строка , известная как серверу, так и клиенту, или она может иметь некоторые данные аутентификации, закодированные внутри, как токены JWT . В вашем случае вы можете просто генерировать и кодировать случайную строку (32 символа или около того) и использовать ее для базовой аутентификации.
Само собой разумеется, что это следует использовать только через HTTPS, чтобы никто не перешел на открытый текстовый трафик. Однако все сайты в наши дни должны использовать только HTTPS , так что это спорный вопрос;)
С другой стороны, если ваши тестеры происходят из известных мест, вам просто нужно иметь белый список одобренных IP-адресов в тестовом стеке и отвергать всех, кто приходит откуда-то еще
Надеюсь, что это поможет :)