Kubernetes nginx ingress предотвращает ответ от бэкэнда по умолчанию на https

Question

В настоящее время с входом nginx в кубернетах он всегда будет отвечать на прямые IP-запросы (например, http://1.1.1.1) с серверной частью по умолчанию, и, похоже, нет способа отключить его .

Хуже того, он также ответит на https://1.1.1.1 таким же образом с самоподписанным сертификатом (вы можете переопределить его, но, очевидно, даже если вы предоставите действительный сертификат, он все равно не будет действителен для IP-запроса). Это серьезная уязвимость системы безопасности, из-за которой любой сайт, использующий Kubernetes и nginx ingress, не сможет выполнить сканирование сети на соответствие PCI.

И нет способа отменить это поведение в ваше определение входящего трафика.

Я пытаюсь выяснить, как без взлома иметь возможность предотвратить ответ серверной части по умолчанию на https на IP-запрос, учитывая, что в производственной среде никогда не бывает случая, когда это будет безопасным и всегда будет вызывать сбой PCI.

Как сделать так, чтобы вход nginx не отвечал на https на IP-запрос? * 10 15 *

Answer 1

Итак, я, наконец, решил обойти это для целей PCI. Это не приносит удовлетворения, но работает, и они не волнуются. Просто примените сертификат по умолчанию, такой же, как для вашего сайта. Это недействительно, но поскольку оно исходит от действующего органа подписи, сканирование PCI позволяет ему пройти от go до

Что хромает, но что угодно.

Answer 2

Я пробовал поискать в Google и протестировал несколько идей, но ни одна из них не сработала.

Я также пробовал читать код nginx, но не нашел ничего удовлетворительного.

Я думаю, что Лучшее, что вы можете сделать, - это спросить разработчиков. Просто откройте проблему в репозитории nginx -ingress github .