В случае использования коробочного Битрикс24, администратор сети компании должен учитывать в политике безопасности необходимость открытия доступа для входящих/исходящих запросов rest-приложений.

Для Битрикс24 необходимо открыть:

• Исходящие запросы на oauth.bitrix.info (для механизма приложений) и http://www.1c-bitrix.ru/buy_tmp/b24_app.php (для работы витрины приложений).
• *.bitrixsoft.com. Без доступа к данному ресурсу не работает раздел "Разработчики" для создания интеграций и вебхуков.
• Входящие запросы от серверов приложения (адреса зависят от конкретных приложений).

Если разработка приложения ведётся на своем сервере, необходимо открыть:

• Исходящие https запросы на oauth.bitrix.info.
• Исходящие https запросы на конкретный сервер коробочного Битрикс24.
• Входящие http/s запросы от группы серверов mp_actions-*, если приложение использует механизмы событий, роботов или кастомные действия бизнес-процессов.

Входящие http/s запросы могут приходить с динамической(scale-based) группы серверов с разными IP-адресами. Список таких IP-адресов можно заранее получить запросом на адрес https://dl.bitrix24.com/webhook/app.json.

Пример запроса через curl:

$ curl https://dl.bitrix24.com/webhook/app.json
{
"nodes": ["195.208.184.200", "89.208.230.2"]
}

Полученный в ответе список IP-адресов в массиве nodes, надо использовать для изменения правил фаервола для входящих коннектов в корпоративной сети или на коробочной ВМ.

Частота опроса вышеуказанного URI - максимум 1 раз в минуту, а лучше сделать раз в 5-10 минут. В механизме масштабирования пула ВМ будет предусмотрено, что за 5-10 минут до того, как с нового адреса начнут приходить веб-хуки, - она уже будет присутствовать в списке nodes.