1. дома
  2. Вопрос и ответ
  3. Должен ли мы разработать код на локальной машине в VLAN?

Должен ли мы разработать код на локальной машине в VLAN?

2010-05-17 4 views
1

Из-за соображений безопасности мы не сможем использовать IIS на наших локальных машинах. Я уверен, что многие из вас столкнулись с одной и той же проблемой, и как вы ее разрешили? Вот варианты, которые мы рассматриваем:Должен ли мы разработать код на локальной машине в VLAN?

  1. Создайте VLAN, изолированную от сети для разработки. Это позволит нам использовать любое программное обеспечение, в том числе IIS, которое мы хотим. Недостатком является тестирование веб-служб с внешними организациями, которые можно преодолеть с помощью заглушек.

  2. Не использовать VLAN и использовать только сервер разработки ASP.NET, который поставляется с Visual Studio, а затем развертывание этого кода на сервере разработки. Это имеет недостаток, заключающийся в невозможности репликации производственной среды во время локального развития. Кроме того, по крайней мере один разработчик нуждается в IIS для разработки ГИС, поэтому он не мог развиваться локально.

Благодарим за комментарии или предложения, которые могут возникнуть у вас!

источник

2010-05-17 Toby Artisan

ответ

0

Создайте локальную виртуальную машину с помощью виртуального ПК. Не предоставляйте этой виртуальной машине сетевое соединение.

Edit: Примечание можно иметь unnetworked виртуальная машина будет доступна через сеть безопасно двумя способами:

  1. Share настройки виртуальной машины и жесткий диск через сетевой ресурс. Только один человек может использовать виртуальную машину за раз. Я подозреваю, что использование отменить диски с умным способом может устранить это ограничение, но оно не поддерживается.

  2. Используйте решение на базе виртуальной машины на базе сервера, такое как VMWare. Если ваша компания еще не делает этого, это требует денег и ресурсов для создания. Преимущество этого заключается в том, что каждый может сразу смотреть на машину.

Обратите внимание, что в обоих этих решениях пользователи напрямую обращаются к виртуальной машине, а не к ней. Таким образом, сама машина фактически не попадает в сеть, и поэтому нет возможности взломать vm без получения доступа к машине, на которой размещена виртуальная машина (например, через общий ресурс, как в # 1). Это больше похоже на удаленный рабочий стол, чем на внешний веб-сайт, но удаленный рабочий стол оставляет машину, которую вы удаляете, чтобы видеть компьютеры напрямую, поэтому это не так безопасно, как это.

Tautology: Машина не может обслуживать содержимое других машин, если эти машины не доступны (прямо или косвенно) к ней. Поэтому, если у вас есть виртуальная машина, работающая с IIS, и вы хотите рассматривать ее как внешний веб-сервер, но не имеете доступа к компьютерам в своей сети, вы сталкиваетесь с противоречивыми требованиями. Любой трюк, связанный с отправкой трафика каким-то круговым способом, просто превращает дыры в безопасности в более кольцевые отверстия безопасности (хотя и не крутые с точки зрения хакеров).

Технически оба # 1 и # 2 также делают виртуальную машину доступной по сети, но сама виртуальная машина не видит сеть (вместо этого машина, на которой размещена виртуальная машина, видит сеть).

источник

2010-05-17 13:22:59 Brian

+0

Это возможное решение. Можно ли подключать разные виртуальные машины друг к другу по сети, но все же они изолированы от сети? –

+0

@Red Tiger: Отредактировано для ответа на вопрос, который в ретроспективе - это не то, что вы только что попросили. – Brian

+1

@Red Tiger: Virtual PC имеет настройку, специально предназначенную для решения этой проблемы. «вы можете подключить виртуальную сеть к локальной сети. Локальная сеть - это частная сеть для связи только между виртуальными машинами». - http://support.microsoft.com/kb/833134 – Brian

0

Вы можете настроить IIS с ограничениями на IP-адрес, включая белый список. Например. ограничить kust 127.0.0.1.

Я подозреваю, что это можно сделать из групповой политики, чтобы максимально обеспечить соблюдение.

источник

2010-05-17 12:59:02 Richard

+0

Хорошая идея; однако наш охранник не пошел на это. Он считает, что нет смягчения, и что только наличие IIS на настольной (не серверной) ОС представляет слишком много уязвимостей безопасности. И они не хотят создавать новые автоматические исправления для исправления IIS (не серверной ОС). –

+0

@redtiger: ваш охранник кажется очень консервативным: для исправления расскажите ему о WUS. А затем идите к ответственным бизнесменам и расскажите им о стоимости безопасности, что сделает вещи сложнее, реальные цифры помогут, некоторые дополнительные или $ цифры. Безопасность должна служить бизнесу: запретить все, и все будут обеспечивать большую безопасность, но никто (включая людей безопасности) не получит работу. – Richard

1

Мы разрабатываем серверы с использованием удаленного рабочего стола. Дает вам правильную мощность и позволяет настраивать и тестировать приложения сразу на правой ОС.

источник

2010-05-17 13:25:42 cjk

+0

Спасибо за предложение, но это не будет одобрено, потому что серверы с IIS находятся в сети, и они не позволят нам вносить изменения в IIS, который находится на сервере. –

+0

Это может также помочь knwo, что у разработчиков есть учетная запись домена d-username, которая предоставляет повышенные разрешения для использования на серверах. Они должны дать вам свободу, или вы никогда не сможете ничего сделать. – cjk

0

Основываясь на комментариях, похоже, что вам нужна изолированная среда. Комбинация маршрутизатора/брандмауэра и леса AD в одностороннем порядке [1] должна позволить вашим (разработкам) системам получать доступ к корпоративным ресурсам, которые вам нужны, но не наоборот.

Сетевая часть может быть выполнена с помощью VLAN, но если IIS является такой большой проблемой, VLAN кажется маловероятной изоляцией.

Я работал в таких условиях, и он был в значительной степени прозрачным для работы по разработке (и, в том числе позволяя нам разработчикам обладать необходимыми местными правами), в то же время мы не могли вмешиваться в корпоративные ИТ-операции.

[1] I.e. развитие лесов AD доверяет корпоративному лесу AD, а не наоборот.

источник

2010-05-17 15:58:22 Richard

 Смежные вопросы

  • Нет связанных вопросов^_^