Обеспечить удаленный доступ к корпоративной сети

Я хочу предоставить разработчикам в моей команде решение для удаленной работы.

В то время как каждый разработчик запускает свой стек для веб-приложений (сервер и инструменты), БД и многие другие приложения (например, sharepoint, кузница проекта) размещаются на виртуальных машинах внутри нашей корпоративной сети и закрыты для внешнего доступа. Для работы любому разработчику необходим доступ к локальной корпоративной сети (доменам?).

Наша физическая машина имеет доступ к Интернету (как я сейчас задаю этот вопрос).

Могу ли я установить какой-то отскок конечной точки туннеля на одном физическом компьютере (Entry Machine) в моей группе, который затем будет отправлять полученный трафик как свой собственный?

Я подумал о следующей настройке:

удаленная машина с членом команды, работающим дома: измените файл хоста, чтобы перенаправить все вызовы корпоративного домена на IP-адрес машины начального уровня.
какое-то туннельное соединение, чтобы пропускать трафик из Интернета на EntryMachine (безопасность входящего трафика здесь обязательна, верно?)
отправка трафика в корпоративную сеть, как если бы он шел с локальной машины.

Может сработать? С какими инструментами?

Существующие решения:

Наша служба поддержки предложила решение VPN (я думаю), которое позволяет менеджерам иметь доступ к почте и каталогам, но это 15% потребностей разработчика.
Существует также решение для управления удаленным рабочим столом через VPN, но разработка на удаленной машине имеет настолько низкое качество жизни, что побеждает профессионалов удаленной работы.

Они не открыты для обсуждения других решений (пока).

Извините, если это самый тупой вопрос, я недостаточно осведомлен, чтобы сам найти ответ.

Я очень хочу дать возможность своей команде работать удаленно; спасибо за любые указатели.

vpn remote-access

Ты говоришь "Я хочу предоставить разработчикам в моей команде решение для удаленной работы"но кажется, что управление сетью НЕ под вашим прямым контролем, как и вы НЕСПОСОБНЫЙ для прямого доступа к "вашим" услугам в Интернете (другими словами: вы не можете ВАШ ВМ прямо выставлена в Интернете). С другой стороны, ваши персональные компьютеры / рабочие станции ДЕЛАТЬ иметь полный доступ в Интернет.

Если приведенное выше верно (если нет, «прокомментируйте»), ваш сценарий довольно сложен, и подробное обсуждение, безусловно, требует гораздо больше места, чем то, что занимает этот ответ. Во всяком случае, поскольку вас, похоже, интересуют "указатели" ("... спасибо за любые указатели ..."), вот мои предложения.

«Я хочу предоставить разработчикам из моей команды решение для удаленной работы»

VPN, безусловно, ЯВЛЯЕТСЯ путь идти. Полная остановка.

Во всяком случае, вы сказали: "Наша служба поддержки предложила решение VPN (я думаю), которое позволяет менеджерам иметь доступ к почте и каталогам, но это 15% потребностей разработчика."

Я ясно вижу своего рода «несоответствие протоколов» между вами («разработчик») и администраторами сети («сетевик»): вы (оба) не говорите на одном языке и просто не понимаете друг друга. Это легко исправить:

записать ПОДРОБНЕЕ список (имя виртуальных машин, IP-адреса, порты TCP / UDP) всех служб, которые ваши сотрудники должны использовать для своей деятельности по разработке, и для всех них четко указать, является ли это «обязательным» (ОБЯЗАТЕЛЬНО), «желательным» (CAN) или «полезно» (НЕ СТРОГО НЕОБХОДИМО). Пожалуйста, не торопитесь, чтобы заполнить такой список, стараясь избегать типа: «Мне нужен полный доступ ко всему», так как это лучший способ не решить проблему несоответствия протокола, о которой я упоминал выше;
приложите все усилия, чтобы правильно понять, что предлагают существующие службы VPN. Для начала вы можете узнать подробности. Обратите внимание на то, что вы описываете как: "Решение VPN (я думаю), которое позволяет менеджерам иметь доступ к почте и каталогам"явно недостаточно и демонстрируют неоптимальное понимание существующей службы (это, опять же, серьезная проблема, как и для вышеупомянутой: проблема" несоответствия протокола "). В качестве отправных точек:
- имеете ли вы и / или ваши сотрудники право на получение VPN-доступа к корпоративной сети? если нет, то почему?
- если да, то какие серверы / службы (IP-адрес и порты) доступны при подключении через VPN?
- если ваши серверы "ОБЯЗАТЕЛЬНО" и "МОЖЕТ" отсутствовать, как правильно запрашивать добавление новых серверов / служб в сеть с поддержкой VPN?

После того, как два вышеуказанных вопроса будут решены ...

постарайтесь описать администраторам сети, что современные методы разработки программного обеспечения ДЕЛАТЬ требуется доступ к службам, которые должны быть совместно использованы командой (система отслеживания проблем; серверы сборки; тестовые серверы; платформы CI / CD и т. д.), что усиливает концепцию, согласно которой эти службы должны быть тесно связаны с командой разработчиков и, как таковая, отделенная от любой другой сети / услуг компании. Очевидно, я предполагаю, что ваши разработчики НЕ действовать напрямую в «производственных системах» и что у вас уже есть надлежащая цепочка разработки, первый этап которой осуществляется именно упомянутыми серверами / службами разработки (как таковые, полностью отделенными от «производственной»). Конечная «цель» состоит в том, чтобы такие системы были «ограничены» внутри надлежащего / выделенного сегмента сети, чтобы такая сеть могла получить доступность VPN.

Если в ходе различных обсуждений вам будут рассказывать о какой-либо «политике безопасности», которая эффективно «предотвращает» необходимую модификацию VPN-сервиса / политики:

помните, что «безопасность ИКТ» является ключевым компонентом практически любого бизнеса. В любом случае, его применение не является общим «да» или «нет»: в зависимости от компании, бизнеса и множества других факторов, «безопасность ИКТ» может применяться (сетевыми и системными администраторами) вместе с «программным обеспечением». <=> «жесткая» шкала с множеством промежуточных точек. Итак, если поставить перед «красным флагом», поднятым для общих проблем безопасности:
- попытайтесь убедить другие части, что вам требуется удаленный доступ к системам, которые должны считаться «принадлежащими разработчикам» и никоим образом не затрагивать PROD. Таким образом, если они «общие», их необходимо разделить, независимо от доступа (иначе: если есть проблема безопасности, ТАКЖЕ при доступе локально, внутри компании). Так что это может быть подходящим периодом для пересмотра границ сетей и безопасности;
- ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: СЛЕДУЮЩЕЕ ПРЕДСТАВЛЕНИЕ ЯВЛЯЕТСЯ ОЧЕНЬ РИСКОВЫМ / СЛОЖНЫМ АРГУМЕНТОМ, КАСАЮЩИЕСЯ НЕСКОЛЬКИХ КЛЮЧЕВЫХ ВОПРОСОВ ПОЛИТИКИ КОМПАНИИ. ПОЖАЛУЙСТА: ПОЛУЧИТЕ ЕЕ СОГЛАСНО !! если все предыдущие обсуждения потерпели неудачу, вы могли бы обсудить проблемы, вызванные безлимитным доступом в Интернет, уже предоставленным рабочим станциям группы разработчиков: в основном, с технической точки зрения (позвольте мне настаивать на ТЕХНИЧЕСКИЕ точки зрения), каждый разработчик может уже использовать программное обеспечение «удаленного подключения» на своем ПК, чтобы подключиться к такому ПК удаленно (просто введите «Программное обеспечение удаленного доступа» в предпочитаемой вами поисковой системе). На самом деле, если у вас действительно есть неограниченный Доступ в Интернет, вы даже можете разместить ВАШ VPN-сервер ВНЕ сеть компании, и построить целую «VPN-сеть», размещенную на 100% ВНЕ компании, с конечной точкой, размещенной на одной из ваших рабочих станций. Я не собираюсь спускаться по этому пути .... поскольку я действительно думаю, что это НЕ необходимо. Но нужно знать, что: 1) при безлимитном интернет-соединении это можно сделать; 2) Готов поспорить, что это на 100% НЕ СООТВЕТСТВУЕТ политике компании. так что, опять же, вам следует избегать этого.

Я собираюсь остановиться здесь. Как я уже сказал, это всего лишь «подсказки», которые помогут вам достичь цели - договориться о надлежащем доступе к существующему VPN-сервису.

У вас не может быть VPN-сервер на вашем EntryMachine внутри межсетевого экрана / NAT. Вместо этого вы должны использовать брандмауэр / маршрутизатор / UTM в качестве вашего VPN-сервера.

Кроме того, если вы не контролируете брандмауэр или если вам не разрешено использовать VPN-подключения к корпоративной сети, не пытайтесь его обойти. Это можно сделать, установив какое-то соединение от EntryMachine к третьей машине, имеющей общедоступный IP-адрес. Создание такого бэкдора, вероятно, противоречит политике компании. Определенно, это сделает внутреннюю сеть более уязвимой, поскольку она обходит все средства защиты от брандмауэра и предотвращения вторжений.

На работе мы использовали Openvpn для создания частной сети vpn, чтобы мы могли работать из дома, но подключаться к офисной сети. Каждый может иметь свой собственный профиль vpn, или вы можете создать общий профиль, для которого требуются личные учетные данные (например, учетные данные IPA).

В этом сценарии вам понадобится сервер openvpn, установленный в вашем офисе, который имеет доступ как к Интернету, так и к офисной сети, но вы заблокируете доступ к этому серверу, чтобы входящие / исходящие соединения (кроме порта подключения openvpn ) заблокированы. Вероятно, вам следует оставить порт 22 открытым для сервера для подключений, исходящих из офисной сети.

Если вы настраиваете собственный DNS-сервер в своем офисе, вам не нужно будет изменять файл hosts. Вам просто нужно изменить настройки сети, чтобы они указывали на DNS-сервер в вашем офисе.

Я думаю, что туннель IPsec между сайтами может быть излишним для того, что вы просите сделать. Обычно они используются для соединения двух сетей вместе.

Надеюсь, это немного поможет.

Либо доведите сеть до пользователей с какой-то VPN, или вывести пользователей в сеть с помощью виртуальный рабочий стол / удаленный рабочий стол. Что бы вы ни делали, расширение вашей сети должно быть спроектировано и утверждено как часть вашей политики безопасности.

Определите с пользователями минимальный набор приложений, чтобы сделать удаленный доступ полезным. Разработчик может работать с репозиторием git в автономном режиме, но если ему нужно взаимодействовать с трекером проблем, тестовыми серверами, электронной почтой и телефоном, для этого потребуется подключение.

Подвергните сомнению свои предположения о том, что такое VPN. В среде Microsoft Прямой доступ практически незаметен для пользователя и работает через любое подключение к Интернету.