دراسة حالة: مزود تكنولوجيا الإنترنت

الموظفون: 7 + موظفين مستقلين - التطبيقات: 2 - التكاليف: 100 دولار شهريًا (خطة zenVPN للأعمال + خادم VPN مخصص + خادم تجاوز الفشل)

كانت شركة Iframely، وهي شركة برمجيات كخدمة عن بُعد، تبحث عن طريقة مريحة وآمنة في الوقت نفسه لحماية بيئة التدريج الخاصة بها والتي لا تتطلب تعديل التطبيق نفسه وبالتالي جعله مختلفًا عن الإصدار المباشر. كانوا يستخدمون مصادقة HTTP الأساسية التي أثبتت أنها مرهقة للغاية لأنها تتطلب مشاركة بيانات الاعتماد بين جميع أعضاء الفريق (بما في ذلك المؤقتين).

لقد نشروا تقييد الوصول المستند إلى بروتوكول الإنترنت واستخدموا خوادم zenVPN المخصصة للاتصال بتطبيقهم المرحلي بالإضافة إلى تطبيق معين للمكتب الخلفي من مجموعة ثابتة من عناوين بروتوكول الإنترنت.

كان من المهم أيضًا بالنسبة لهم عدم فرض قواعد شاملة لتوجيه حركة المرور على أعضاء فريقهم لأن معظمهم يستخدمون أجهزتهم الخاصة للعمل وبعضهم متعاقدون مستقلون لن يقبلوا هذا المستوى من تحكم العميل في أجهزتهم. وقد سمح استخدام التقسيم النفقي المقسم بمعالجة هذا الأمر بسهولة، حيث تم توجيه حركة المرور المتعلقة بالمشروع فقط عبر الشبكة الافتراضية الخاصة.

وأخيراً، اختارت الشركة إضافة طبقة أمان إضافية من خلال تطبيق قائمة IP البيضاء على مضيفها المعقل الذي تستخدمه للوصول إلى خوادم التطبيقات الخاصة بها.

التنفيذ

بالنسبة للتطبيق المرحلي وتطبيق المكتب الخلفي، تم تنفيذ تقييد IP باستخدام الوحدة النمطية Nginx ngx_http_acttp_access_module:

allow: "{{ shield_ips }}"
deny: all

بالنسبة لمضيف المعقل تم تنفيذ التقييد باستخدام مجموعات أمان AWS:

resource "aws_security_group" "bastion" { name = "bastion" vpc_id = aws_vpc.main.id ingress { description = "SSH from Internet" protocol = "tcp" from_port = 22 to_port = 22 cidr_blocks = shieldIps ipv6_cidr_blocks = shieldIpv6s } }

الخاتمة

لقد وفّر استخدام zenVPN مع قيود الوصول المستندة إلى بروتوكول الإنترنت لهذه الشركة طريقة غير مزعجة لإدارة الوصول إلى تطبيقاتها المرحلية وتطبيقات المكاتب الخلفية وسمح لها بالتركيز على تطوير عروضها الأساسية.