【idea】云机器安全组设置IP白名单的体验提升

现状:

1、对外提供网站服务,RDS数据库的数据管理,除了允许固定的ECS服务器访问,还要让我能在办公室访问到

2、ECS服务器开放了某个端口服务,我希望对我办公室所在的ip授权访问

问题:

1、办公室的互联网是电信提供的,给的是100网段的 私网地址,由电信控制最后NAT转换的公网地址,可能不会轻易变换,但是一两个月就会变一次

2、这样导致我无法设置有效的IP白名单,程序在办公室访问云服务器会出现限制访问(公网IP变化后),业务就中断,晚上时分就无法去维护

问题根因:

安全的IP白名单和办公室变化的公网IP,看上去是不可调和的问题。实际上是安全组,缺少一种帐号/密码授权的机制

解决方案:

方案1、云服务提供动态接入IP白名单的特性,用户本地配置帐号和密码(授权信息),即可拉起程序,从办公室定时访问云服务的IP白名单(心跳)云端比较源IP,变化了则更新IP白名单(动态接入类的,把旧的IP删掉)

方案2、提供一个综合的云维优客户端软件, 里面开启一个功能选项:允许帐号鉴权通过的用户使用云端机器,不受IP白名单限制。该客户端自动和云服务安全组保持心跳,保证IP可用

商业价值:

1、增加安全组的可用性的同时,又不降低它的安全性(不会被攻击)

posted @ 2020-04-14 14:30  有来有去1980  阅读(280)  评论(0)    收藏  举报