Прямо сейчас у всех разработчиков в нашей организации есть ноутбуки, поэтому они могут время от времени работать дома или оказывать поддержку в нерабочее время. К сожалению, наша спецификация оборудования для ноутбуков является спецификацией бизнес-ноутбуков, и нам пришлось нелегко, пытаясь заставить их обновить с 2 до 4 ГБ.
Я преследую инициативу по созданию более совершенных машин «класса разработчиков» для наших разработчиков и ищу варианты, позволяющие по-прежнему предоставлять доступ из дома.
Один из вариантов, который мы рассматривали, - предоставить дополнительный нетбук, заблокированный, чтобы разрешить RDP для своих рабочих столов, но мы хотели бы позволить разработчикам просто использовать VPN со своих домашних компьютеров и получать доступ к своим рабочим столам через RDP.
Наша организация, однако, имеет очень строгие ограничения на то, что может получить доступ к нашей сети, и (в настоящее время) требует, чтобы доступ был разрешен только корпоративным и контролируемым устройствам. Аргументы в пользу этого веские. . . они хотят быть уверенными, что все, что вводится в нашу сеть, достаточно защищено от вирусов, и они хотят гарантировать, что конфиденциальные данные компании / данные о конфиденциальности не попадут в неконтролируемую среду.
Однако меня интересовало, есть ли способ предоставить нашим разработчикам безопасный доступ только по протоколу RDP? У нас уже есть инфраструктура SecurID. Если это возможно, пожалуйста, помогите мне разумно поговорить с нашим поставщиком инфраструктуры, чтобы узнать, сможем ли мы воплотить это в жизнь.
Это зависит от вашей инфраструктуры VPN. В общем, если вы можете завершить работу VPN за брандмауэром, который достаточно настраиваемый, чтобы ограничить трафик VPN-клиента, то вы в деле.
В качестве примера я завершаю работу Microsoft PPTP VPN на одном сайте клиента за межсетевым экраном на базе Linux. Существуют правила iptables, разрешающие VPN-серверу доступ к серверу RADIUS в локальной сети, и правила, разрешающие VPN-клиентам доступ RDP к различным подсетям локальной сети. Весь остальной трафик, поступающий от клиентов VPN в LAN, отбрасывается.
Я очень доволен этой конфигурацией. Я не беспокоюсь о том, что вредоносные программы на клиентских компьютерах VPN попадут в мою локальную сеть (по крайней мере, пока ... В конце концов, кто-то напишет целевую атаку, которая использует возможности вторичного канала протокола RDP, чтобы делать неприятные вещи с удаленным end, или для регистрации нажатий клавиш или данных экрана в рамках сеанса RDP и т. д.)
Опубликуйте немного больше о том, что вы используете для завершения работы VPN, и мы, вероятно, сможем быть более полезными. В конечном счете, ключевым моментом является возможность проверки декапсулированного трафика VPN в «узкой точке», прежде чем он попадет в вашу локальную сеть.
Другой вариант - предоставить разработчикам виртуальную машину, например, для VirtualBox, настроенную вашей ИТ-командой по своему усмотрению. Разрешите виртуальной машине доступ к VPN. Вы можете попробовать ограничить исходящий трафик в виртуальной машине, чтобы разрешить RDP только через VPN. (конечно, эта последняя идея мне не по силам :-))