我担任安全重金融服务公司的开发人员。 作为一个团队,我们发现我们的Windows 7工作站安全策略阻止了我们执行我们的工作。 我们对我们的工作站没有本地pipe理权限,只能从广告程序分发列表中安装/使用软件。 这个安全政策是不能改变的,而且已经明确指出,没有人会例外。
我试图让开发者在本地虚拟机上使用VirtualBox的情况。 我确定他们会遇到一个不是Host Only或Internal的虚拟机,这意味着我们无法访问我们内部networking中的各种环境。 外部互联网访问不需要从虚拟机。 他们打算说这是不安全的,因为恶意软件可以安装在本地虚拟机上,然后感染企业networking。
由于我正在准备谈判:
我们目前有一个VPN令牌,我们可以在我们完全不安全的家用计算机上使用思科连接,将VPN连接到企业networking的某个RESTRICTED子网上。 如果我们可以从本地虚拟机设置一个桥接networking连接到这个VPNnetworking适配器,只有这个VPNnetworking适配器,那么我觉得这可能是一个适当的解决scheme。 我们的本地虚拟机的安全性不及家用电脑。 标准的公司networking,但我希望这个选项在安装时被禁用或无法使用VirtualBox。 这是可能的,如果是的话,那么如何?
如果我可以在VirtualBox中build立一个Host Onlynetworking,那么我们是否可以设置反向端口转发,以便Guest OS能够以Host作为代理访问特定的公司内部networking资源? 这是可能的在VirtualBox单独或这将需要一个额外的代理设置?
而且,VirtualBox可以安装NAT和Bridgenetworking,因此只能创build主机和内部networking适配器。
我很欣赏任何有关如何实现这一目标的见解。
作为一个替代scheme:为什么不在一个单独的“开发者”子网上设置一堆开发者机器呢? 这些可能是虚拟机,用户可以使用远程桌面或SSH(取决于平台)来联系他们,并能够完成他们的工作。 他们可能被允许访问互联网,只能被允许与企业networking进行交stream,尽可能多的从他们那里进行RDP。
我认为你会发现这样做相当便宜(单台服务器可能就足够了),你可以让你的networking和安全团队来确保这个环境正确的沙箱化。
Windows Server中的VMware ESXi虚拟机pipe理程序或Hyper-V的免费版本可能会很适合这个用例。
作为这个计划的一个变种,如果你真的不想让你的IT部门参与进行修改,没有什么说你必须参与其中。 而不是安装开发人员软件在服务器上运行,或者在IT的司法pipe辖之下,使用云端VDI解决scheme可能会带来更多的运气。 谷歌search云VDI,我发现,亚马逊最近推出了一个名为亚马逊工作空间的服务,看了30秒后,似乎可能是你想要的。
至于将这些云虚拟机与您的公司networking相互连接,您可以采取一些方法。 最清洁的解决scheme(不幸的是,需要IT的祝福)将是使用亚马逊的虚拟私有云(VPC)服务build立IPsec VPN链接 。 然后他们可以build立一个通往这些服务器的隧道,并适当地locking它们。 如果你真的不想涉及IT,你可以看看你是否可以安装现有的VPN软件。 但是,你真的不希望它在这样的情况下redirect它的默认网关,所以如果你的VPN客户端通过VPN使默认的客户端路由,这将需要修复。
如果您因为“在云端”而遇到障碍,因此从安全的angular度来看是不可接受的,那么您也可以将自己的服务器放在托pipe设施中,获得专用硬件并运行您自己的VDI解决scheme,但这似乎不那么灵活,需要更多的工作。