我是一家高度重视安全的金融服务公司的开发人员。作为一个团队,我们发现我们的 Windows 7 工作站安全策略阻碍了我们开展工作。我们在工作站上没有本地管理权限,只能安装/使用广告程序分发列表中的软件。此安全策略无法更改,并且已明确规定不会为任何人提供例外。
我正在尝试为允许开发人员在本地虚拟机上使用 VirtualBox 辩护。我确信他们会遇到一个问题,那就是虚拟机不是仅主机或内部的,这意味着我们无法访问内部网络中的各种环境。虚拟机不需要外部互联网访问。他们会说这是不安全的,因为恶意软件可能会安装在本地虚拟机上,然后感染公司网络。
由于我正在准备谈判:
我真正想要的
我们目前有一个可以使用 Cisco Connect 的 VPN 令牌在我们完全不安全的家用电脑上通过 VPN 连接到受限制子网中的公司网络。如果我们可以将本地虚拟机与此 VPN 网络适配器(并且仅与此 VPN 网络适配器)建立桥接网络连接,那么我觉得这可能是一个合适的解决方案。我们的本地虚拟机的安全性不会低于家用计算机。但是,我希望标准公司网络的选项对 VirtualBox 禁用或不可用在安装时。这可能吗?如果可以,那么如何实现?
这就是我愿意接受的
如果我可以在 VirtualBox 中设置仅主机网络,那么我们是否可以设置反向端口转发,以便客户操作系统可以通过主机作为代理访问特定的内部公司网络资源?仅在 VirtualBox 中可以做到这一点吗?还是需要设置额外的代理?
此外,VirtualBox 是否可以在禁用 NAT 和 Bridge 网络的情况下安装,以便只能创建主机和内部网络适配器?
我很感激任何关于如何实现这一目标的见解。
答案1
另一种选择是:为什么不在单独的“开发人员”子网上设置一堆开发人员机器呢?这些可以是虚拟机,用户可以使用远程桌面或 SSH(取决于平台)访问它们,并能够完成他们的工作。他们很可能被允许访问互联网,并且只允许在需要从那里进行 RDP 连接时与公司网络进行通信。
我认为您会发现这样做相当便宜(单个服务器就足够了)并且您可以让您的网络和安全团队参与进来,以确保该环境得到适当的沙盒处理。
Windows Server 中 VMware ESXi Hypervisor 或 Hyper-V 的免费版本可能非常适合这种用例。
作为此计划的变体,如果您真的不想让 IT 部门参与进行更改,那么根本没有任何规定说您必须让他们参与。您不必安装开发人员软件以在本地服务器上物理运行,因此不受 IT 管辖,而是使用云 VDI 解决方案可能会更成功。在 Google 上搜索云 VDI,我发现亚马逊最近推出了一项名为亚马逊工作区看了 30 秒之后,你似乎觉得它可能就是你想要的。
至于将这些云虚拟机与公司网络互连,您可以采取几种方法。最干净的解决方案(不幸的是,需要 IT 部门的批准)是建立一个使用 Amazon 虚拟私有云 (VPC) 服务的 IPsec VPN 链接。然后他们可以建立到这些服务器的隧道并适当锁定它们。如果您真的不想让 IT 参与,您可以看看是否可以安装现有的 VPN 软件。不过,在这种情况下,您真的不希望它重定向其默认网关,因此如果您的 VPN 客户端使客户端路由默认通过 VPN,则需要修复此问题。
如果您因为它“在云中”而遇到障碍,因此从安全角度来说是不可接受的,您也可以在主机托管设施中设置自己的服务器,获取专用硬件并运行自己的 VDI 解决方案,但这似乎不太灵活并且涉及更多的工作。