En nuestro entorno de producción, nos estamos conectando con algunos proveedores de servicios externos centrales a través de sus API, y se nos exige que bloqueen todos los demás servicios (PCI DSS).
Actualmente tenemos un firewall que admite el filtrado de egreso por dirección IP, por lo que todas las direcciones no esenciales se bloquean en función de las reglas de firewall creadas de forma estática (rechazar todo, permitir 1.2.3.4:443, etc.)
Hasta ahora, todo está bien, ahora este es el problema, uno de nuestros proveedores de servicios (un gran banco) está cambiando a una API alojada en Edge / cdn para uno de sus servicios y la IP de los servicios va a cambiar varios veces al día.
He leído otros artículos sobre el filtrado de egreso: Filtrado de egreso del cortafuegos / lista rápida de listas
... así como posiblemente usar scripts para modificar un firewall basado en iptables basado en una consulta de DNS. enlace
... pero estas soluciones parecen complicadas
¿Hay cortafuegos que podamos usar que tengan reglas basadas en el dominio, en lugar de IP, de modo que nuestras solicitudes de API continúen llegando sin interrupciones pero seguimos bloqueando todas las demás conexiones salientes?