对于PCI,我们需要确保绝对没有响应出来,这是不是在TLS与有效的证书。这意味着,即使响应与证书不匹配的域是不允许的。这意味着,在所有直接响应的IP地址是不允许的。
所以我试着配置K8,这样它就不会对请求做出任何响应,除非有规则匹配。(也就是说,完全禁用默认的后端,没有响应。)
我用的是nginx.ingress.
有没有一种方法可以让它在没有规则匹配的情况下不响应?
对于PCI,我们需要确保绝对没有响应出来,这是不是在TLS与有效的证书。这意味着,即使响应与证书不匹配的域是不允许的。这意味着,在所有直接响应的IP地址是不允许的。
所以我试着配置K8,这样它就不会对请求做出任何响应,除非有规则匹配。(也就是说,完全禁用默认的后端,没有响应。)
我用的是nginx.ingress.
有没有一种方法可以让它在没有规则匹配的情况下不响应?
1条答案
按热度按时间lf5gs5x21#
正如
larks所说,使用普通的k8s实现不可能限制HTTP客户端完成初始握手,但是使用WAF(Web应用防火墙)或类似的解决方案可以实现相同的效果,WAF或类似的解决方案可以充当屏蔽,并具有多种配置,因此初始验证甚至在到达您的环境之前就发生了,您可以使用WAF根据需要强制执行严格的规则。