Я работаю разработчиком в компании, предоставляющей финансовые услуги в сфере безопасности. Как группа, мы обнаруживаем, что наша политика безопасности рабочих станций Windows 7 мешает нам выполнять нашу работу. У нас нет прав локального администратора на наших рабочих станциях, и мы можем устанавливать / использовать только программное обеспечение из списка рассылки Объявленных программ. Эту политику безопасности нельзя изменить, и было ясно, что исключения не делаются ни для кого.
Я пытаюсь убедить разработчиков использовать VirtualBox на локальных виртуальных машинах. Я уверен, что у них возникнет проблема с виртуальной машиной, которая не является хостовой или внутренней, что означает, что мы не можем получить доступ к нашим различным средам в нашей внутренней сети. Внешний доступ в Интернет с виртуальной машины не требуется. Они собираются заявить, что это небезопасно, потому что вредоносное ПО может быть установлено на локальной виртуальной машине, которая затем заражает корпоративную сеть.
Поскольку я готовлюсь к переговорам:
В настоящее время у нас есть токен VPN, который мы можем использовать Cisco Connect. на нашем полностью незащищенном домашнем компьютере подключиться к VPN в корпоративную сеть в несколько ОГРАНИЧЕННОЙ подсети. Если бы мы могли установить соединение Bridged Network от нашей локальной виртуальной машины к этому сетевому адаптеру VPN и ТОЛЬКО ЭТОМ СЕТЕВОЙ АДАПТЕР VPN, я считаю, что это могло бы быть адекватным решением. Наша локальная виртуальная машина не может быть менее защищенной, чем домашний компьютер. Стандартная корпоративная сеть, однако я бы хотел, чтобы эта опция была отключена или недоступна для VirtualBox. во время установки. Возможно ли это, и если да, то как?
Если я могу настроить сеть только для хоста в VirtualBox, то можем ли мы настроить обратную переадресацию портов, чтобы гостевая ОС могла достигать определенных внутренних ресурсов корпоративной сети с хостом в качестве прокси? Возможно ли это только в VirtualBox или для этого потребуется дополнительный прокси-сервер?
Кроме того, можно ли установить VirtualBox с отключенными сетевыми функциями NAT и Bridge, чтобы можно было создавать только сетевые адаптеры Host и Internal?
Я ценю любое понимание того, как этого можно достичь.
В качестве альтернативы: почему бы вам просто не настроить кучу машин разработчиков в отдельной подсети «для разработчиков»? Это могут быть виртуальные машины, и пользователи могут использовать удаленный рабочий стол или SSH (в зависимости от платформы), чтобы связаться с ними и выполнять свою работу. Им вполне может быть разрешен доступ к Интернету и разрешено разговаривать с корпоративной сетью только столько, сколько требуется для их подключения по протоколу RDP оттуда.
Я думаю, вы сочтете, что это довольно недорого (вполне может быть достаточно одного сервера), и вы могли бы привлечь свою сеть и команду безопасности, чтобы убедиться, что эта среда правильно изолирована.
Бесплатная версия гипервизора VMware ESXi или Hyper-V в Windows Server, вероятно, вполне подходит для этого варианта использования.
В качестве варианта этого плана, если вы действительно не хотите вовлекать свой ИТ-отдел для внесения изменений, ничто не говорит о том, что вы вообще должны их вовлекать. Вместо того, чтобы устанавливать программное обеспечение разработчика для работы на сервере физически локально и, следовательно, под юрисдикцией ИТ-отдела, вам может быть больше повезло с использованием решения Cloud VDI. Погуглив Cloud VDI, я обнаружил, что Amazon недавно запустила сервис под названием Amazon Workspaces после 30 секунд взгляда кажется, что это может быть то, что вы хотите.
Что касается соединения этих облачных виртуальных машин с вашей корпоративной сетью, вы можете использовать несколько подходов. Самым чистым решением (к сожалению, требующим благословения ИТ-специалистов) было бы создание Соединение IPsec VPN с использованием сервиса Amazon Virtual Private Cloud (VPC). Затем они могут настроить туннель к этим серверам и соответствующим образом заблокировать их. Если вы действительно не хотите привлекать ИТ-специалистов, вы можете просто посмотреть, сможете ли вы установить существующее программное обеспечение VPN. Однако вы действительно не хотите, чтобы он перенаправлял свой шлюз по умолчанию в подобном сценарии, поэтому, если ваш VPN-клиент использует маршрут клиента по умолчанию через VPN, это необходимо исправить.
Если вы столкнетесь с препятствием из-за того, что он находится «в облаке» и, следовательно, неприемлем с точки зрения безопасности, вы также можете разместить свой собственный сервер в объекте размещения, получить выделенное оборудование и запустить собственное решение VDI, но это может показаться быть менее гибким и требовать гораздо больше работы.