Я пытаюсь выяснить, как правильно настроить межсетевой экран для моих сервисов, работающих в AWS через Cloudflare.В настоящее время у меня есть настройка с:
- Все мои службы работают в AWS и доступны через ELB.
- Группы безопасности AWS ELB допускают только IP-адреса Cloudflare.
- Я блокирую весь трафик в брандмауэре Cloudflare, просто перечисляя белый IP-адрес моего клиента.
- Предположим, что для домена указано
A, а для учетной записи домена - CFA
Пока все работает, но проблема в том, что у меня зарегистрирован другой домен в Cloudflare, скажем, B в учетной записи CFB.И я иду и добавляю A как CNAME к B, то есть:
User U --> DNS lookup B ---> DNS Value A --> via Cloudflare --> Origin Server
Это означает, что Cloudflare собирается и говорит с сервером происхождения от имени пользователя U, чтопо сути, означает, что все правила Cloudflare в учетной записи CFA будут недействительными.Потому что в конце дня CFB также будет использовать один из IP-адресов Cloudflare для связи с исходным сервером.Это значит, что мои услуги открыты для всего мира, что меня пугает (только сейчас).
Есть идеи, какая часть моего понимания неверна?