目前,我们组织中的所有开发人员都拥有笔记本电脑,因此他们既可以偶尔在家工作,也可以在非工作时间提供支持。不幸的是,我们的笔记本电脑硬件规格是商务笔记本电脑规格,我们费了很大劲才让他们将笔记本电脑从 2 GB 升级到 4 GB。
我正在推行一项计划,为我们的开发人员提供更好的“开发人员级”机器,并寻找仍然可以从家提供访问的选项。
我们一直在研究的一个选项是提供一台补充上网本,锁定以允许 RDP 访问他们的桌面,但希望能够允许开发人员简单地从他们的家用计算机使用 VPN 并通过 RDP 访问他们的桌面。
然而,我们的组织对哪些设备可以访问我们的网络有着非常严格的限制,并且(目前)要求只有公司拥有和控制的设备才允许访问。这样做的理由是合理的……他们希望确保我们网络上引入的任何东西都具有足够的病毒防护,并且他们希望确保公司机密/隐私数据不会进入不受控制的环境中。
不过,我想知道的是,是否有任何方法可以为我们的开发人员提供安全的 RDP 访问权限?我们已经建立了 SecurID 基础设施。如果可以的话,请帮助我与我们的基础设施提供商进行明智的沟通,看看我们能否实现这一点。
答案1
这取决于您的 VPN 基础设施。一般来说,如果您可以在防火墙设备后面终止 VPN,并且该防火墙设备具有足够的可配置性,可以限制 VPN 客户端流量,那么您就可以开始工作了。
举例来说,我在基于 Linux 的防火墙后面的一个客户站点终止 Microsoft PPTP VPN。有 iptables 规则允许 VPN 服务器访问 LAN 上的 RADIUS 服务器,还有规则允许 VPN 客户端 RDP 访问各种 LAN 子网。从 VPN 客户端进入 LAN 的所有其他流量均被丢弃。
我对这个配置非常满意。我不用担心 VPN 客户端计算机上的恶意软件会进入我的 LAN(至少现在还不用担心……最终会有人编写一个有针对性的攻击,利用 RDP 协议的辅助通道功能对远程端进行恶意攻击,或者在 RDP 会话中记录击键或屏幕数据等)。
具体来说,发布一些有关您用于终止 VPN 的内容,我们可能会提供更多帮助。最终,关键是能够在解封装的 VPN 流量到达 LAN 之前,在“瓶颈”处对其进行检查。
答案2
另一个选择是向开发人员提供虚拟机,例如由您的 IT 团队按照他们的意愿配置的 VirtualBox。允许虚拟机访问 VPN。您可以尝试限制虚拟机中的出站流量,以仅允许通过 VPN 进行 RDP。(当然,最后这个想法超出了我的能力 :-) )