Мы разрабатываем продукт, работающий на Windows Server 2008. Этот продукт устанавливается в клиентскую среду, работающую на выделенном оборудовании (которое принадлежит нам или, по крайней мере, обслуживается) с помощью Server 2008. Мы считаем это «устройством», хотя в основном это набор из X высокопроизводительных машин, на которых работает Server 2008. В любом случае нам необходимо удаленно управлять этими серверами в среде клиентов, и мы ищем самый простой безопасный способ управления ими.
VPN - очевидное решение, но поскольку каждый заказчик реализует свой собственный выбор VPN, нам очень сложно поддерживать его (здесь нам понадобится множество различных программных настроек VPN для удаленного доступа). Другой вариант - открыть клиенту порт для трафика RDP, чтобы мы могли удаленно подключаться к нашим серверам. Но это, конечно, рискованно (даже если мы выберем нестандартный порт), и ИТ-специалистам это очень не нравится.
Так что недавно я читал о TS Gateway (теперь RD Gateway в R2). Мне интересно, может ли это быть идеальным решением для нас. Если мы настроим это на одном из наших серверов на сайте клиента, а затем попросим их открыть порт 443 непосредственно для этого сервера, будет ли это для нас безопасным механизмом для RDP на всех наших серверах на сайте клиента? Похоже, их айтишники могут быть более восприимчивыми к этому.
Обратите внимание, что наши серверы 2008 года в клиентской среде не присоединены к домену, они представляют собой простую рабочую группу.
Мысли? Я что-то упускаю? Есть ли лучшие решения?
Таким образом, TS-Gateway на самом деле отличается от безопасности протокола RDP через TLS и RDP (оба были упомянуты в этом потоке. Это аналогичная защита потока протокола, поскольку он туннелирует трафик с использованием SSL для защиты (1024, 2048, вы создаете свой собственный Cert и решите, насколько он вам нужен). Ключевое различие для этой конкретной темы состоит в том, сколько внутренних <-> внешних переводов вы выполняете и какая часть внутренней сети подвергается воздействию извне. TS-Gateway не был представлен как лучший способ защитить трафик, но вместо этого для удовлетворения потребности, которую многие должны были обеспечить, чтобы, как и в случае с мостом SSH или конечной точкой SSL vpn, у вас была простая единая точка для подключения извне к вашей внутренней сети. TS-Gateway был разработан, чтобы позволить вы можете установить безопасное соединение с вашей границей и с этого момента вторично контролировать авторизацию для ваших внутренних сетевых ресурсов. TS-Gateway предоставляет возможность поддерживать детальный контроль над тем, какие люди (после аутентификации d к шлюзу) может подключаться к каким системам внутри границы. Он предназначен для создания буфера, который предотвращает прямые атаки на ваши внутренние системы с использованием протокола RDP в качестве вектора. Судя по вашему описанию, услуги TS-Gateway были разработаны, чтобы помочь удовлетворить эту конкретную потребность.
Я не уверен, что TS Gateway будет менее рискованным, чем настройка RDP. На самом деле, это может быть более рискованно, поскольку на рынке оно не так давно.
Другой вариант - настроить SSH на серверах, а затем использовать SSL-туннелирование для сеанса RDP. Это добавит уровень безопасности, если вы используете ключи аутентификации SSH.
Еще один уровень безопасности, который вы могли бы добавить, - это настройка чего-то вроде RSA SecureID, хотя я не уверен, что это будет слишком дорого для вашей установки.