Вначале я скажу, что я архитектор решений, и у меня есть клиент, который хочет разместить приложение в облаке. Приложению требуется доступ к информации из SAP и других систем.
Как лучше всего безопасно подключиться с облачной машины к ERP-системе в корпоративной сети? Я бы хотел сделать это, не меняя брандмауэр. В идеале я хотел бы иметь какой-то туннель от приложения к серверу SAP.
Я видел компанию под названием RunMyProcess, у которой есть программный компонент, который вы устанавливаете на сервере за брандмауэром, который каким-то образом позволяет им получить доступ к вашим внутренним системам. Я думаю, они используют Google Secure Data Connector.
Как это работает?
Есть несколько способов сделать это; это зависит от того, что вам удобно использовать и поддерживать, и сколько вы хотите заплатить. «Виртуальное частное облако» Amazon позволяет вам настроить сервер и подключиться к нему с помощью туннеля для расширения вашего центра обработки данных. Если вы собираетесь использовать только один компьютер в качестве размещенного сервера, вы можете просто настроить туннель между этим компьютером и вашим центром обработки данных практически с любым провайдером. Вы можете подойти к проблеме так, как если бы удаленная система была просто кем-то, подключающим сервер из дома.
Ваше требование не изменять брандмауэр (под этим я предполагаю, вы имеете в виду открытие любых дополнительных входящих портов в вашу корпоративную сеть) означает, что вы, вероятно, собираетесь создать некоторый исходящий туннель к экземплярам в облаке, и пересылка внутренних адресов к которому экземпляры подключаются обратно, или используя Сервер Windows VPN если у вас MS
Это легко сделать с помощью некоторых инструментов для создания и поддержки постоянный SSH-соединения и использование -R
к перенаправить ваши порты для корпоративных приложений в облаке или в качестве службы Windows.
Например ssh user@cloudinstances -R 1080:localhost:1080
вы можете перенаправить прокси на экземпляр, который экземпляр может использовать для обратного подключения к SAP-порты.
Вы можете использовать службу шпатлевки и агент шпатлевки, чтобы сделать все это прозрачным, если у вас есть клиенты и серверы Windows.
В качестве альтернативы вы можете использовать openvpn, который может быть более подходящим для диапазонов портов, связанных с приложениями SAP, путем создания моста между сетями. (В этой модели вы должны запустить openvpn на каждом экземпляре облака)
Однако одна из основных проблем заключается в том, как вы распространяете свои открытые ключи или другие пароли на экземпляры, потому что теперь вы должны учитывать тот факт, что если ваши экземпляры скомпрометированы, ваше приложение SAP будет уязвимо.
Я думаю, что лучше всего было бы VPN-туннель. Скорее всего, ваш брандмауэр поддерживает это, поскольку виртуальные частные сети фактически являются стандартом, когда речь идет о безопасном соединении систем через ненадежную сеть (Интернет). Может быть, вы могли бы попросить администратора вашего брандмауэра рассказать подробнее.