Белый список IP-адресов
Статус IP allow-list на уровне организации для дашборда и API.
IP allow-list
Статус: roadmap. IP allow-list на уровне организации для сессий дашборда и трафика API не доступен как self-serve контроль. Эта страница — чтобы вы планировали честно.
Что работает сегодня
Ограничить, кто доходит до AACsearch, можно комбинацией контролей, которые уже доступны:
| Контроль | Где живёт | Страница |
|---|---|---|
| Allow-list по Origin (браузерные ключи) | На API-ключе | Allow-list по Origin |
| Scope на каждом API-ключе | На API-ключе | API-ключи |
| Rate limit на ключ | На API-ключе | API-ключи |
| Tenant-фильтр через scoped-токен | На сессии / пользователе | Scoped-токены |
| Принудительное SSO / SAML | На организации (Enterprise) | SSO и SCIM |
| Принудительная 2FA | На пользователе | Best practices |
Для большинства моделей угроз allow-list по Origin + жёсткий scope + 2FA дашборда перекрывают то, что давал бы IP allow-list.
Чего сегодня нет
- Тумблера «блокировать все входы в дашборд за пределами CIDR
203.0.113.0/24». - Тумблера «API-ключ принимает запросы только из этого CIDR».
- Пользовательской настройки «я хожу только с этих IP».
Если что-то похожее реализовать самостоятельно (WAF перед app.aacsearch.com), вы маршрутизируете трафик, который мы не сможем обойти через другой регион, и можете заблокировать наши healthcheck-и. Не рекомендуем.
Что работает для self-hosted / private
Если требование — «доступно только из офисной сети», поддерживаемый путь — это private deployment с сетевыми контролями на вашей стороне: ваш firewall, VPN или IP allow-list на балансере. См. Enterprise overview.
Тенант на общем кластере ограничить по IP сегодня нельзя.
Что можно сделать сейчас
- Hardening дашборда. Принудительная 2FA для каждого участника. Вместе с принудительным SSO (Enterprise) дашборд требует возможностный фактор сверх IdP.
- Allow-list по Origin для API-ключа. Браузерные ключи ограничьте своими доменами. См. Allow-list по Origin.
- Изоляция сервис-аккаунтов. Гоняйте ingest/admin-воркеры с известного набора egress-IP и сверяйтесь с аудитом по полю
ipAddress. - Свой WAF перед вашим вызывающим. Если AACsearch вызывает только ваш воркер, исходящий контроль на вашей стороне определяет, какие IP до нас достанут.
Roadmap
- IP allow-list для входа в дашборд. Блокировка сессий, IP которых не в CIDR-списке организации. Ожидается после принудительного SAML.
- IP allow-list на API-ключе. Список CIDR на ключе, проверяется рядом с Origin allow-list.
- Алертинг аудита по IP-аномалиям. Алерт, когда admin-действие приходит с ранее не виденного IP.
Если что-то из этого — buy-blocker, пишите на sales@aacsearch.com, расставим приоритеты. Анонсировать как GA на этой странице будем только тогда, когда это правда GA.
См. также
- Allow-list по Origin — ближайший существующий контроль
- Best practices — что доступно сейчас
- Enterprise overview — когда уместен private deployment