Eu tenho dois aplicativos. Um deles fala para o mundo, mas precisa de alguns dados de uma API interna que hospedamos em outro lugar (no heroku).
Eu estava pensando em segurança. Atualmente, temos autorização de token funcionando - mas podemos fazer melhor. Como o escopo do aplicativo é totalmente interno, não há motivo para querermos expor a API desnecessariamente à Internet, mesmo que a autenticação já esteja em vigor.
Se não estivesse no heroku, eu poderia colocar na lista de permissões o IP do outro servidor no servidor da API e terminar com ele. Isso reduziria minha superfície de ataque significativamente. No entanto, eu entendo que o heroku não nos permite manipular tabelas ip, e pior ainda - dynos não têm garantia de IPs estáticos. No entanto, eu tenho domínios para cada uma dessas instâncias heroku.
Existe uma boa maneira de garantir que o meu servidor de API só possa falar com os outros aplicativos da heroku na minha conta? Ou estou preso movendo o servidor da API para um VPS dedicado?