У меня есть веб-сервер, установленный в Microsoft Azure , и с ним связано доменное имя например www.example.com
. Этот веб-сервер очень важен, и я не хочу, чтобы кто-либо, кроме одного или двух человек, знал точный URL-адрес или его IP-адрес. Я считаю, что прямой доступ к этому веб-серверу будет огромной угрозой безопасности, и хочу предотвратить прямой доступ к нему моих рабочих.
Зачем нужны ограничения?
Даже с учетом этих ограничений я хочу, чтобы один или два человека по-прежнему имели доступ к этому веб-серверу напрямую (в случае возникновения чрезвычайной ситуации).
Мои мысли
Установить обратный прокси в моем офисе. Разрешить работникам доступ к моему веб-серверу, как если бы веб-сервер находился в нашей локальной сети.
Итак, когда пользователи набирают
172.16.10.1 <---> Reverse Proxy <---> www.example.com
, я уверен, возможно ли то, что я планирую сделать, или нет. Если у вас есть другие идеи, дайте мне знать.
В настоящее время я не настроен для предотвращения прямого доступа. Ничего не пробовал.
РЕДАКТИРОВАТЬ
Я не могу ограничить доступ к моему веб-серверу с помощью IP (есть и другие причины этого)
Если доступ к серверу имеют немногие люди, почему он находится в общедоступном Интернете? Попытка скрыть домен и IP-адрес не останавливает автоматические атаки, проходящие случайным образом через все общедоступные IP-адреса. Вероятна утечка информации о сверхсекретном доменном имени. Это неподходящий подход для критически важной службы.
Естественно, вы можете использовать брандмауэр, чтобы разрешить подключение только с общедоступных IP-адресов вашей офисной сети, но у Azure есть лучшая альтернатива: с Azure Виртуальная сеть , серверу вообще не нужно иметь публичный IP-адрес. Вместо этого сервер будет доступен через VPN типа "сеть-сеть" из локальной сети офиса с использованием частного IP-адреса. Это заставляет виртуальный сервер в облаке действовать так, как если бы у вас был локальный сервер.
Я не могу ограничить доступ к моему веб-серверу по IP-адресу (есть и другие причины этого)
Безопасность неизвестностью никогда не работает. Многие враждебные организации постоянно сканируют Интернет на предмет (уязвимых) хостов, поэтому, даже если вы где-то не публикуете точный URL или IP-адрес, его все равно можно найти (и поскольку вы используете общедоступное облако,он будет найден ).
Итак, когда пользователи вводят
172.16.10.1 <---> Обратный прокси <---> www.example.com
, я уверен возможно ли то, что я планирую делать, или нет. Если у тебя есть другие идеи, пожалуйста, дайте мне знать.
Вы всего лишь пытаетесь решить, как вы будете предоставлять свою службу внутренним пользователям, а не решаете проблему безопасности вообще.
Это невозможно обойти, если вы не ограничиваете на уровне сети, что по-прежнему является лучшим подходом для использования ресурса, расположенного в общедоступном облаке.
Вы можете двигаться в двух направлениях:
Второе решение основано на пароле, поэтому каждый пользователь, которому нужен доступ, должен пройти аутентификацию с использованием user: pass (база данных не требуется).
При первом решении никто не может подключиться, если ему не разрешено взаимодействовать с сервером (на основе брандмауэра)
Вы можете обновить DNS до записи c-name и перенаправить на нее с помощью приложения балансировщик нагрузки уровня, такой как шлюз приложений.
ასე უფრო სუფთა და უსაფრთხო, ვიდრე შემოთავაზებული ვარიანტი .
ან სხვა ვარიანტები