我当前正在构建一个高度安全的Web应用程序。我想在用户使用2FA进行身份验证后将IP列入白名单。我之前没有将大量IP动态列入白名单,尽管我认为使用apache配置可能更有意义,但我确实很喜欢使用安全组的想法。就像来自不在安全组中的IP发出的请求一样,它也不会发送到服务器。通过使用安全组,我可以从不可通过Web访问的系统服务器控制所有这些。但是,由于每个安全组只能有60个入站规则,而每个网络接口只能有5个安全组,因此我计划将用户分配给使用后台服务创建的小型服务器场。
基本上,我会定期启动并销毁服务器,同时还会在路由53中为链接到它们的随机子域(如43a3fas3a2.mywebsite.com)创建记录。后台服务还将创建IP规则并将其分配给服务器安全组,还将创建,分配和销毁该规则。因此,当某人成功使用2FA登录时,其IP将通过场进行注册,并且用户浏览器将重定向到该子域。
这很奇怪,但似乎应该可以使用。我以为我想问一下是否有更好的设置,然后再继续进行构建。