Mon organisation ajoute un pare-feu à nos piles de test, en utilisant AWS WAF. Nous aimerions autoriser tout le trafic à partir des SDK que nous avons créés pour faciliter les requêtes entre nos services.
Nous avons pensé le faire en utilisant un en-tête de requête personnalisé "X-", puis en utilisant les conditions de correspondance regex d'AWS WAF pour le vérifier par rapport à un motif "difficile à deviner".
Je comprends que cela donnerait un niveau de protection très minimal; l'idée est d'empêcher la navigation aléatoire des moteurs de recherche ou un accès facile pour quiconque connait le(s) URL(s). C'est-à-dire que nous n'avons pas besoin ou nous ne nous attendons pas à nous protéger contre des attaquants informés ou motivés de cette manière.
Je ne trouve aucun précédent en ligne pour cela. Y a-t-il des exemples similaires là-bas, ou de meilleures façons d'atteindre quelque chose de similaire à nos objectifs? (Pas une sécurité significative, mais un premier soupçon de confiance dans l'origine de la requête)
