Iframely, sebuah bisnis SaaS jarak jauh sedang mencari cara yang nyaman tetapi aman untuk melindungi lingkungan pementasan mereka yang tidak perlu memodifikasi aplikasi itu sendiri sehingga membuatnya berbeda dari versi live. Mereka menggunakan autentikasi HTTP Basic yang terbukti cukup rumit karena memerlukan berbagi kredensial di antara semua anggota tim (termasuk anggota tim sementara).

Mereka telah menerapkan pembatasan akses berbasis IP dan menggunakan server khusus ZenVPN untuk menyambungkan ke aplikasi pementasan mereka serta aplikasi back-office tertentu dari sekumpulan alamat IP tetap.

Juga penting bagi mereka untuk tidak menanamkan aturan perutean lalu lintas secara menyeluruh pada anggota tim mereka karena sebagian besar dari mereka menggunakan perangkat keras pribadi mereka untuk bekerja dan sebagian lagi adalah kontraktor independen yang tidak akan menerima tingkat kontrol klien atas mesin mereka. Menggunakan kanalisasi terpisah memungkinkan untuk mengatasi hal ini dengan mudah karena hanya trafik yang berhubungan dengan proyek yang dialihkan melalui VPN.

Akhirnya, perusahaan memilih untuk menambahkan lapisan keamanan ekstra dengan juga menerapkan daftar putih IP pada host benteng mereka yang mereka gunakan untuk akses ssh ke server aplikasi mereka.

Implementasi

Untuk pementasan dan aplikasi back-office, pembatasan IP diimplementasikan menggunakan modul Nginx ngx_http_access_module:

allow: "{{ shield_ips }}"
deny: all

Untuk host benteng, pembatasan diimplementasikan menggunakan grup keamanan AWS:

resource "aws_security_group" "bastion" { name = "bastion" vpc_id = aws_vpc.main.id ingress { description = "SSH from Internet" protocol = "tcp" from_port = 22 to_port = 22 cidr_blocks = shieldIps ipv6_cidr_blocks = shieldIpv6s } }

Kesimpulan

Menggunakan ZenVPN dengan pembatasan akses berbasis IP memberikan perusahaan ini cara yang tidak mengganggu untuk mengelola akses ke aplikasi pementasan dan back-office mereka dan memungkinkan mereka untuk fokus pada pengembangan penawaran inti mereka.