Безопасный доступ к базовым сервисам в Hybrid Cloud

У меня есть некоторые сомнения относительно того, какой способ является наиболее подходящим для предоставления доступа к внутренним службам моей компании из общедоступных облаков, таких как AWS или Azure, и наоборот. В нашем случае нам нужно приложение AWS для вызова некоторых HTTP Rest Services, предоставляемых в нашей серверной части.

У меня вышло как минимум два варианта:

• Первый - настроить виртуальное частное облако AWS между приложением и нашим бэкэндом и направить весь трафик через него.
• Второй вариант - открыть службу HTTP через обратный прокси-сервер и настроить IP-фильтрацию в прокси-сервере, чтобы разрешить только доходные соединения от AWS. Мы не хотим, чтобы служба HTTP была общедоступной из Интернета, и я думаю, что она будет удовлетворена, независимо от того, выберем ли мы тот или иной вариант. Также нам, вероятно, потребуется интегрировать больше сервисов (TCP/UDP) между AWS и нашим бэкэндом, таких как FTP-передачи, мониторинг и т. Д.

Моя главная цель - настроить стандартный способ выполнения этой интеграции, поэтому нам не нужно использовать разные конфигурации в зависимости от типа услуги или приложения.

Я думаю, что это очень распространенная потребность в гибридных облачных сценариях, поэтому я просто хотел бы использовать лучшие практики.

Я был бы очень признателен за любые советы от вас.