Ich habe einige Dienste, die auf Google Cloud Functions laufen und die eine Verbindung zu einem Endpunkt auf AWS herstellen müssen. Da es keinen festen Satz von IPs gibt, die ich auf die Whitelist setzen kann, können Sie Ihre Gedanken dazu teilen, wie man das am besten handhaben kann? Ich verstehe, dass die IPs wie erklärt aufgelistet werden könnenHier, aber teilen Sie uns bitte Ihre Gedanken zum dynamischen Umgang damit/zur Überwachung der IP-Änderung mit.
Amazon stellt ein abonnierbares SNS-Thema bereit, in dem alle AWS-IPs aufgelistet sind. Wir haben Anwendungsfälle, in denen wir die Lambda-Funktion verwendet und ihr SNS-Thema abonniert haben, um unsere Sicherheitsgruppe auf dem neuesten Stand zu halten. Aber wir versuchen herauszufinden, wie man bei ähnlichen Anforderungen am besten mit Google umgeht.
Antwort1
Zum Schutz des eingehenden Datenverkehrs gibt es drei gängige Methoden:
- Wo: Die IP-Adresse des Datenverkehrs.
- Wer – Die Identität des Datenverkehrs (OAuth-Identitätstoken usw.)
- Was – Ein Geheimnis (geheimer Schlüssel, API-Schlüssel usw.), das der Datenverkehr besitzt.
Für Google Cloud Functions können Sie die erste Methode nicht zuverlässig verwenden. Google veröffentlicht noch keine IP-Netblocks für Cloud Functions. Es ist relativ einfach herauszufinden, aus welchen Netblocks Cloud Functions stammen, aber das schließt viele andere Google Cloud-Dienste ein.
Google Cloud Functions unterstützt die --service-accountBereitstellungsoption, bei der ein Dienstkonto verwendet wird, um ein OAuth-Identitätstoken im HTTP-Header „authorization: bearer“ bereitzustellen. Dies ist die normale Methode zur Überprüfung der Identität in der GCP-Welt (OAuth).
Die dritte Methode (geheimer Schlüssel) ist alles, was Sie wollen. Sie können einen benutzerdefinierten Header, eine benutzerdefinierte Nutzlast im Hauptteil usw. erstellen und Ihren geheimen Schlüssel einschließen.
Der Endpunkt oder das Gateway vor dem Endpunkt, das von Google Cloud Functions aufgerufen wird, muss die von Ihnen verwendete Methode validieren.