Обеспечьте доступ VPN к ограниченной области нашего SaaS

Will Taylor

13.06.2023, 14:12

Наши корпоративные клиенты для нашего SaaS имеют конфиденциальные данные в своей учетной записи и хотели бы убедиться, что их команда получает доступ к своим учетным записям на нашей платформе только через свои существующие решения VPN.

Как мы реализуем это?

белый список IP-адресов
Разрешить им как-то настроить VPC, чтобы избежать подключения к Интернету? Это что-то вроде AWS PrivateLink?

Здесь я быстро выхожу из себя.

В идеале я бы искал сервис, в котором клиенты могут настроить подключение из своей частной сети к своей учетной записи в нашей SaaS без нашего вмешательства. Существует ли такой вариант?

Подробнее о нашей настройке

Наше основное приложение SaaS — это отдельный экземпляр приложения Ruby on Rails и API Ruby on Rails, размещенный на Heroku.

В настоящее время пользователи подключаются, входя на веб-сайт, где мы аутентифицируемся через Auth0, который сохраняет учетные данные пользователя в своем сеансе.

0 + 0

обмен файлами

Appleoddity

13.06.2023, 15:08

Есть много способов сделать это. Но вы не предоставили достаточно информации о размещенном приложении, чтобы даже начать предлагать варианты. Начните с уточнения своего поста и предоставления достаточной информации о том, как и где размещается ваше приложение, как сейчас подключаются клиенты и т. д.

Ответить

Will Taylor

13.06.2023, 16:04

Спасибо, @Appleoddity - этого достаточно? Цените помощь!

Ответить

Рейтинг:1

Server

drookie

14.06.2023, 07:55

Эти SaaSВаши эсы ничего толком не объясняют, это все равно, что постоянно упоминать «у меня есть компьютер».

Но, судя по моему опыту, обеспечение доступа к VPN в основном осуществляется путем внедрения IP-фильтров или, если вы используете веб-приложения, путем внедрения фильтров на основе HTTP на веб-серверах, повторного использования 403 страниц состояния для клиентов, которые пытаются получить доступ к приложению из внешний мир.

Для nginx это будет примерно так:

сервер {
    мой защищенный.из.внешнего.мира.сайт;
    слушать 80;

    разрешить 10.0.0.0/8;
    разрешить 192.168.0.0/16;
    разрешить 172.16.0.0/12;
    отрицать все;

    место расположения / {
        ...
    }
}

И IP-фильтрация для приложений и служб, не основанных на HTTP.

0 + 0

Will Taylor

14.06.2023, 12:40

Спасибо, Друки.

Ответить

Admin

Этот вопрос на других языках:

EN: Enforce VPN access to restricted area of our SaaS

TH: บังคับใช้การเข้าถึง VPN ไปยังพื้นที่จำกัดของ SaaS ของเรา

RO: Implementați accesul VPN în zona restricționată a SaaS

RU: Обеспечьте доступ VPN к ограниченной области нашего SaaS

VI: Thực thi quyền truy cập VPN vào khu vực hạn chế của SaaS của chúng tôi

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.