我们的 SaaS 企业客户的帐户内有敏感数据,并希望确保他们的团队只能通过现有的 VPN 解决方案访问我们平台上的帐户。
我们如何执行这个规定?
- IP 白名单
- 允许他们以某种方式设置 VPC 以避免连接进入互联网?这类似于 AWS PrivateLink 吗?
这是我很快就陷入困境的地方。
理想情况下,我希望找到一种服务,让客户无需我们的干预即可建立从其私有网络到我们 SaaS 上的帐户的连接。有这样的选择吗?
关于我们设置的更多细节
我们的主要 SaaS 应用程序是 Heroku 上托管的 Ruby on Rails 应用程序和 Ruby on Rails API 的单个实例。
用户当前通过登录网站进行连接,我们通过 Auth0 进行身份验证,Auth0 将用户凭据存储在他们的会话中。
答案1
你的这些SaaS话实际上并没有解释任何事情,就像总是提到“我有一台电脑”一样。
但根据我的经验,强制 VPN 访问主要是通过实施 IP 过滤器来完成的,或者,如果您使用 Web 应用程序,则通过在 Web 服务器中实施基于 HTTP 的过滤器,为尝试从外部世界访问应用程序的客户端返回 403 状态页面。
对于 nginx 来说,情况可能是这样的:
server {
my protected.from.outer.world.site;
listen 80;
allow 10.0.0.0/8;
allow 192.168.0.0/16;
allow 172.16.0.0/12;
deny all;
location / {
...
}
}
以及针对非基于 HTTP 的应用程序和服务的 IP 过滤。