Estudio de caso: Proveedor de tecnología de Internet

Plantilla: 7 + autónomos - Solicitudes: 2 - Costes: 100$/mes (Plan ZenVPN Business + Servidor VPN Dedicado + Servidor Failover)

Iframely, una empresa de SaaS totalmente remota, buscaba una forma cómoda pero segura de proteger su entorno de ensayo que no requiriera modificar la propia aplicación, diferenciándola así de la versión activa. Utilizaban la autenticación HTTP Basic, que resultó bastante engorrosa, ya que requería compartir credenciales entre todos los miembros del equipo (incluidos los temporales).

Han implementado la restricción de acceso basada en IP y utilizan servidores dedicados ZenVPN para conectarse a su aplicación de puesta en escena, así como a una determinada aplicación de back-office desde un conjunto fijo de direcciones IP.

También era importante para ellos no inculcar reglas de enrutamiento de tráfico generales a los miembros de su equipo, ya que la mayoría de ellos utilizan su hardware privado para trabajar y algunos son contratistas independientes que no aceptarían este nivel de control del cliente sobre su máquina. El uso de túneles divididos permitió solucionar fácilmente este problema, ya que sólo el tráfico relacionado con el proyecto se enrutaba a través de la VPN.

Por último, la empresa decidió añadir una capa de seguridad adicional implementando también listas blancas de IP en su host bastión, que utilizan para el acceso ssh a sus servidores de aplicaciones.

Aplicación

Para la puesta en escena y la aplicación de back-office, la restricción de IP se implementó utilizando el módulo ngx_http_access_module de Nginx:

allow: "{{ shield_ips }}"

    deny: all

Para el host bastión la restricción se implementó utilizando grupos de seguridad de AWS:

resource "aws_security_group" "bastion" {
  name   = "bastion"
  vpc_id = aws_vpc.main.id

  ingress {
    description      = "SSH from Internet"
    protocol         = "tcp"
    from_port        = 22
    to_port          = 22
    cidr_blocks      = shieldIps
    ipv6_cidr_blocks = shieldIpv6s
  }
}

Conclusión

El uso de ZenVPN con restricciones de acceso basadas en IP proporcionó a esta empresa una forma discreta de gestionar el acceso a sus aplicaciones de puesta en marcha y back-office y les permitió centrarse en el desarrollo de sus ofertas principales.