如何限制/保护对互联网上托管的开发人员服务器的访问

我正在为我的初创公司设置两个 Ubuntu 虚拟专用服务器。“公共”服务器（我们称之为www.example.com）应包含公开的公司网站和受限制但（相对不太敏感）的服务，例如 LDAP 和邮件服务器。“开发”服务器（dev.example.com）将是公司的 Fort Knox，用于保存公司的源代码（GIT）、工件（Artifactory）和开发人员工具（Atlassian）。访问www.example.com应该对所有人开放，而开发服务器应该非常安全，只有极少数授权开发人员可以访问，其他公众最好甚至无法猜测该服务器的存在。两台服务器都将托管在托管公司（我们拥有完全的根访问权限）。

我计划使用相同的域名和虚拟主机设置 Web 访问。example.com将指向“公共”服务器。nginx安装在“公共”服务器上的将具有www.example.com虚拟主机（正常提供服务）和dev.example.com虚拟主机，对该主机的所有请求都将代理到运行另一个的“开发”服务器nginx。将设置“开发”服务器上的防火墙以拒绝除来自“公共”服务器的调用之外的所有传入流量HTTPS。SSH因此，不仅无法直接连接到 nginx运行“开发”服务器上的开发人员工具的服务器，而且我们还必须先登录公共服务器，然后才能通过 SSH 进入“开发”服务器。因此，潜在的黑客如果不先闯入公共服务器，就无法直接访问“开发”服务器。

如果重要的话，服务器可能会运行 Ubuntu 16.04（我们可以在 14.04、16.04、18.04 和其他 Linux 版本之间进行选择，但 Ubuntu 16.04 对我来说听起来不错）。我既不是安全专家也不是系统管理员。

我有两个问题。

1）这听起来像是一个符合“最佳实践”的良好安全设置，还是有更好的（更简单或更安全）的方法来实现相同的目标？

2） [主要问题]。如何限制 HTTPS 访问，以便只有开发人员可以访问 dev.example.com，而其他用户根本看不到此虚拟主机，即使他们猜出了 URL？到目前为止，我有两个想法。

• 需要 SSH 隧道。“公共”服务器上的 dev.example.com 虚拟主机nginx将设置为仅接受来自“公共”服务器 IP 地址本身的请求，因此开发人员必须设置到“公共”服务器的 SSH 隧道才能访问dev.example.com。使用 MyEnTunnel (Window) 等工具，可以轻松设置 SSH 隧道，以便在启动时自动建立。然而，我看到的最大缺点是每个开发人员都必须在其主机文件中定义引用"dev.example.com"（localhost或者还有其他方法吗？）

• 客户端证书。nginx在“公共”服务器上，基本上需要客户端证书才能访问dev.example.com。除了用于访问开发人员工具的常用登录名和密码外，每个开发人员都将拥有自己的客户端证书来访问 dev.example.com。但是，我对客户端证书不太熟悉，也不了解所有含义。我看到的一个缺点是，当未经授权的人尝试访问时，dev.example.com他/她可能会收到“客户端证书”错误，这将表明开发服务器在那里，而使用第一种方法，他们将无法连接。

你会给我什么建议？我们的想法是保持简单、便宜，同时尽可能安全，直到公司发展到可以负担得起系统管理员和自己的数据中心的程度。