Thực thi quyền truy cập VPN vào khu vực hạn chế của SaaS của chúng tôi

Các khách hàng Doanh nghiệp cho SaaS của chúng tôi có dữ liệu nhạy cảm bên trong tài khoản của họ và muốn đảm bảo rằng nhóm của họ chỉ truy cập vào tài khoản của họ trên nền tảng của chúng tôi thông qua các giải pháp VPN hiện có của họ.

Làm thế nào để chúng tôi thực thi điều này?

• danh sách trắng IP
• Cho phép họ bằng cách nào đó thiết lập VPC để tránh kết nối với internet? Đây có phải là một cái gì đó giống như AWS PrivateLink không?

Đây là nơi tôi nhanh chóng thoát ra khỏi chiều sâu của mình.

Lý tưởng nhất là tôi đang tìm kiếm một dịch vụ mà khách hàng có thể thiết lập kết nối từ mạng riêng của họ đến tài khoản của họ trên SaaS của chúng tôi mà không cần sự can thiệp của chúng tôi. Có một tùy chọn như vậy tồn tại?

Thêm chi tiết về thiết lập của chúng tôi

Ứng dụng SaaS chính của chúng tôi là một phiên bản duy nhất của ứng dụng Ruby on Rails và API Ruby on Rails được lưu trữ trên Heroku.

Người dùng hiện kết nối bằng cách đăng nhập vào trang web, nơi chúng tôi xác thực qua Auth0, nơi lưu trữ thông tin đăng nhập của người dùng trong phiên của họ.

Này SaaSCủa bạn không thực sự giải thích bất cứ điều gì, nó giống như đề cập đến "Tôi có một máy tính" mọi lúc.

Nhưng theo kinh nghiệm của tôi, việc thực thi quyền truy cập VPN chủ yếu được thực hiện bằng cách triển khai bộ lọc IP hoặc, nếu bạn sử dụng ứng dụng Web, bằng cách triển khai bộ lọc dựa trên HTTP trong máy chủ web, giữ lại các trang trạng thái 403 cho các máy khách cố gắng truy cập ứng dụng từ máy chủ. thê giơi bên ngoai.

Đối với nginx, nó sẽ giống như thế này:

người phục vụ {
    protected.from.outer.world.site của tôi;
    nghe 80;

    cho phép 10.0.0.0/8;
    cho phép 192.168.0.0/16;
    cho phép 172.16.0.0/12;
    Phủ nhận tất cả;

    địa điểm / {
        ...
    }
}

Và lọc IP cho các ứng dụng và dịch vụ không dựa trên HTTP.