Должны ли мы разрабатывать код на локальной машине в VLAN?
По соображениям безопасности мы не сможем использовать IIS на наших локальных компьютерах. Я уверен, что многие из вас столкнулись с той же проблемой, так как вы решили ее? Вот варианты, на которые мы смотрим:
Создайте VLAN, изолированную от сети, для разработки. Это позволит нам использовать любое программное обеспечение, включая IIS, которое мы хотим. Недостатком является тестирование веб-сервисов с внешними организациями, которые можно преодолеть с помощью заглушек.
Не используйте VLAN и используйте только сервер разработки ASP.NET, поставляемый с Visual Studio, а затем разверните этот код на сервере разработки. Это имеет недостаток, заключающийся в невозможности реплицировать производственную среду во время локальной разработки. Кроме того, как минимум одному разработчику нужен IIS для разработки ГИС, поэтому он не мог разрабатывать локально.
Спасибо за комментарии или предложения, которые вы можете иметь!
4 ответа
Создайте локальную виртуальную машину с помощью виртуального ПК. Не предоставляйте этой виртуальной машине сетевое соединение.
Редактировать: Обратите внимание, что виртуальная машина без сети может быть безопасно доступна по сети двумя способами:
Поделитесь настройками виртуальной машины и жесткого диска через сетевой ресурс. Только один человек может использовать виртуальную машину одновременно. Я подозреваю, что использование отмененных дисков умным способом может снять это ограничение, но оно не поддерживается.
Используйте серверное решение для виртуальной машины, такое как VMWare. Если ваша компания еще этого не делает, это требует денег и ресурсов для настройки. Преимущество этого в том, что каждый может посмотреть на машину сразу.
Обратите внимание, что в обоих этих решениях пользователи обращаются к виртуальной машине напрямую, а не к ней. Таким образом, сама машина фактически не подключается к сети, и, таким образом, нет способа взломать виртуальную машину без получения доступа к машине, на которой размещена виртуальная машина (сначала через общий ресурс, как в #1). Это больше похоже на удаленный рабочий стол, чем на внешний веб-сайт, но удаленный рабочий стол оставляет машину, с которой вы работаете, возможность видеть компьютеры напрямую, поэтому он не так безопасен, как этот.
Тавтология: Машина не может передавать контент другим машинам, если эти машины не доступны (прямо или косвенно) для нее. Поэтому, если у вас есть виртуальная машина с IIS и вы хотите работать с ней как с внешним веб-сервером, но у вас нет доступа к компьютерам в вашей сети, вы сталкиваетесь с противоречивыми требованиями. Любой трюк, связанный с отправкой трафика каким-то окольным путем, просто превращает дыры в безопасности в более окольные дыры в безопасности (хотя и не с точки зрения хакеров).
Технически и # 1, и #2 также делают виртуальную машину доступной по сети, но сама виртуальная машина не видит сеть (вместо этого машина, на которой размещена виртуальная машина, видит сеть).
Мы разрабатываем на серверах с использованием удаленного рабочего стола. Предоставляет вам необходимые возможности и позволяет сразу настраивать и тестировать приложения в нужной ОС.
Вы можете настроить IIS с ограничениями IP-адресов, в том числе на основе белого списка. Например, ограничить Куст 127.0.0.1.
Я подозреваю, что это может быть сделано из групповой политики, чтобы максимизировать исполнение.
Судя по комментариям, вам кажется, что вам нужна изолированная среда. Комбинация маршрутизатора / брандмауэра и леса AD с односторонним доверием [1] должна позволить вашим (разрабатываемым) системам получать доступ к нужным вам корпоративным ресурсам, но не наоборот.
Сетевая часть может быть реализована с помощью VLAN, но если IIS представляет собой большую проблему, VLAN вряд ли будет достаточно изолированной.
Я работал в такой среде, и она была в значительной степени прозрачной для работы разработчиков (и, в том числе, позволяя нам, разработчикам, получать местные административные права, в которых мы нуждались), в то время как в результате мы не могли вмешиваться в корпоративные операции ИТ.
[1] Т.е. разработка AD forest доверяет корпоративному лесу AD, а не наоборот.