AWS 凭借其类似“乐高积木”的基础设施组件,让将想法从概念验证变为全面可销售的解决方案变得轻而易举。
一个项目可以从单个 EC2 扩展到几个负载平衡的 Web 服务器,根据需要添加 S3 存储,然后将其全部放在 CDN(CloudFront)后面,依此类推。根据需要。
然而,我们不可避免地会问到这样的问题:
“我们应该将哪些 IP 列入白名单?”
快速的 Google 搜索将返回大量堆栈交换问题以及关于在 AWS 服务前添加或模仿静态 IP 的问题。
- https://security.stackexchange.com/questions/33616/how-to-whitelist-an-amazon-elb-in-any-firewall
- 亚马逊在哪里发布按区域用于 EC2 实例的 IP 地址范围?
- 使用 IP 地址指向 Amazon S3 存储 (rmalayter 回答中的讽刺语气促使我问了这个问题)
我知道我不是唯一一个质疑这种知识产权痴迷的人。
不管是什么情况,通常都会有办法,但让我不解的是,这通常是为了取悦客户的 IT 部门而提出的。这与改进产品无关。
(例如,当他们需要我们的服务器的 IP 地址来与他们的 API 交互时,我可以接受,但有时他们似乎只是想在开始使用可供公众访问的服务之前将某些内容列入白名单)
通常,这甚至会阻碍未来的架构改进,因为我们无法再根据需要自由添加 AWS Lego 积木。
屈服并找到获取静态 IP 地址的方法是否正确?
或者应该深入研究“云”的工作原理,以期让“IT 部门”感到困惑,以至于他们接受没有 IP 地址列入白名单?(这种方法以前奏效过)。
是否有一个答案可以让最“有安全意识”的运营团队退缩,同时又保持友好。