Como o heroku é baseado em nuvem, seu endereço IP heroku não é estático. Uma solução de grupo de segurança não é adequada aqui. Eu usaria SSL com alguma autenticação (mesmo a autenticação HTTP é suficiente IMHO, mas eu não sou um especialista em segurança).
Se você quiser ir ao extremo, o SSL com o servidor & certificados de cliente é o caminho a percorrer.
Você pode usar o nginx como um proxy reverso para pesquisa elástica, se ele não suportar os recursos acima.