确保网站管理面板访问安全的选项-只有受信任的用户才能访问它

Question

我想保护电子商务网站的管理面板，这样只有受信任的用户才能访问登录页面。以避免任何恶意的尝试，如蛮力等。

店面和管理面板是托管在不同的领域。完整堆栈托管在AWS上。我能想到的可能的解决办法是：

使用固定静态IP地址的travel.

• Employing

• 是一种可能的解决方案，但我们的许多员工可以从办公室外的移动设备访问面板，而许多来自不同城市的员工则可以在 WAF上限制登录尝试等。但是，对于不受信任的用户来说，也有可能通过专门的努力来黑进去。

我正在寻找一些方式，任何url，包括登录页面变得无法访问的不受信任的用户，而不使用IP阻塞策略。

Answer 1

如果你需要严密的保安，这是我要给你的。

• 将管理网站变为私有网站，并仅通过VPN提供。正如@ authentication(MFA)所提到的，
• 使用WAF来保护网站免受恶意攻击，并添加了多因素是进一步保护其安全的最佳方法。

要让网站通过VPN私密，你可以，

subnets

• setup

• 在私有上部署网站实例和负载均衡器，在公共instance
• Setup开放vpn登录凭据上为每个管理

部署开放vpn实例。

希望这能有所帮助

Answer 2

使用TOTP进行双因素身份验证(请注意，NIST强烈建议不要使用SMS，其他行业也应该这样做)，这可能是在不给用户带来不必要负担的情况下做到这一点的最佳方法。现在，AWS ALBs可以通过身份验证来做一些很酷的事情(从认知到OIDC到完全使用AWS风格的带有签名的请求授权)，但是这些事情都不是密码登录。

Answer 3

虽然VPN解决方案很好，但您所描述的常见方法是客户端证书。每个用户都会得到一个客户证书，并将其存储在自己的机器上。访问该页需要经过批准的证书。这也通常被称为“相互认证”。