【发布时间】:2017-12-15 13:34:15
【问题描述】:
我们将服务器上的客户端 IP 列入白名单。我们有一个新客户,客户告诉我们他们使用 AWS 服务器,他们说“您需要将他们的 (AWS) IP 列表从 us-east-1 区域列入白名单”。他们为我们提供了这些 IP (164 ip) 的电子表格。
客户使用来自 AWS 区域的所有 IP 似乎合理吗?
谢谢
【问题讨论】:
标签: amazon-ec2
【发布时间】:2017-12-15 13:34:15
【问题描述】:
他们会使用所有 IP 是没有意义的。他们不知道他们将提前使用的 IP 是有道理的,并且只能告诉您它将来自该 IP 列表。如果这是一个问题,那么您可以要求您的客户创建一个具有静态 IP 地址(AWS 弹性 IP)的 NAT 网关,然后您可以将其列入白名单。但是,这将需要增加每月费用,并为您的用户增加复杂性。
【讨论】:
-
谢谢马克。虽然,客户有现有的服务正在运行,他们只是将我们的需求集成到现有的服务中。他们难道不知道服务器 IP 吗?
-
谁说服务运行在单一IP的单一服务器上?它可能在一个自动缩放组中,根据需要添加和删除服务器,具体取决于流量。因此他们不会提前知道 IP 地址,只知道他们将使用的 IP 地址池。
-
有道理。那么这是否意味着我需要将所有这 164 个 IP 列入白名单?
-
如果您不想强迫您的客户使用 NAT 网关,它可以。当然,如果您将每个 AWS IP 都列入白名单,那么每个 AWS 客户都会被您的系统列入白名单。在我看来,这表明 IP 白名单在云计算时代是一个过时的想法。
-
是的。我正在使用 OAuth 并考虑添加白名单以增加安全性,所以我认为 Oauth 就足够了并且可以删除白名单?
NAT 网关并不是真正必须满足此要求的。
有两种可能:
- 您的客户将从具有公共静态 IP(弹性 IP)的单个服务器访问您的服务
- 您的客户将从单个服务器/多个没有公共静态 IP 的服务器访问您的服务
在第一种情况下,您可以简单地将客户端弹性 IP 列入白名单。
在第二种情况下,他们的所有流量都将通过 AWS 互联网网关路由,该网关肯定会有一个与之关联的 IP 地址。您只需将该 Internet 网关 IP 列入白名单,而不是将所有 IP 列入白名单
【讨论】: