我建立了一个网站,该网站将由我的公司IT部门部署和维护。我的网站后端需要访问互联网上的第三方API。IT部门表示,不允许从该网站访问外部网络。这是可以接受的安全限制吗?进行外部API调用的安全方法是什么?
您的IT部门之所以希望限制对任意外部网站的访问,理论上是为了在黑客成功上传并执行某些任意代码的情况下,更难将任何数据从web服务器转移到另一台服务器。
这并不是一个完全不合理的政策,因为它确实有助于减轻攻击,即使它不能完全阻止攻击。
允许连接到外部世界的标准方法是由您的IT部门设置一个代理,然后您的应用程序应该通过该代理与其他网站建立所有连接。代理应该有一个允许代码连接的所有域的白名单,阻止所有其他请求。
这应该可以让你的软件做它需要做的事情,同时仍然可以降低黑客从服务器上转移数据的可能性。
顺便说一句,如果你的IT部门有能力,你应该能够配置代理,这样对非白名单网站的任何请求都会触发警报,因为这表明服务器可能受到入侵,而且它现在正在运行黑客上传的代码。