Как настроить защищенный доступ к корпоративному порталу?

Всем доброго времени суток!

Есть корпоративный портал DST Portal. В нем хранится вся информация о компании, клиентах, etc. Достаточно много конфиденциальной информации.
Архитектура сети следующая:
— роутер Микротик с VPN-туннелем L2TP+IPSec
— компьютер, аля «сервер» с Windows Server 2012 (настроен AD с политиками)
— виртуальная машина Bitrix на этом же «сервере»

Сам сервер стоит в отдельном месте, удаленном от офиса. Между офисом и «местом» поднят VPN-туннель. Так же удаленные пользователи могут подключаться по VPN.

Все работает хорошо и вроде даже удобно, но появилось одно НО. Появилось необходимость подключения к порталу клиентов и партнеров. И им уже неудобно/невозможно/неохота создавать VPN-подключение. Отсюда встает вопрос: как организовать защищенное подключения к порталу с минимальным риском взлома?

Вариант, как я понимаю один — вытаскивать сайт наружу. Что выбрать?

1. Хостинг
2. Оставить работать сайт на том же сервере

Начальство боится размещать сайт на хостинге, по причине возможной утечки данных. Я боюсь открывать доступ к сайту с сервера, поскольку, если сломают, то сломают все.

Какие есть удобные, качественные, эффективные способы получения доступа к порталу?

Использование ACL к внешним ip адресам как минимум. Если уж не хотят vpn делать партнеры.

Открыть наружу доступ по SSL для партнёров. Сервер выставить не напрямую, а через nginx с редиректом http -> https.

DST Portal отлично защищён от атак в лоб. Можно поставить какой либо snort в режиме бриджа — но это параноя_mod

Организация защищенного доступа к корпоративному порталу — критически важный аспект для любой компании. В вашей ситуации есть несколько оптимальных решений, которые позволят обеспечить безопасность при внешнем доступе.

Рекомендую рассмотреть вариант с обратным прокси-сервером (reverse proxy), который можно развернуть на отдельном сервере или виртуальной машине. Это позволит изолировать внешний доступ от основной инфраструктуры. Прокси будет выполнять функции фильтрации трафика и аутентификации пользователей.

Для защиты данных при внешнем доступе необходимо:

— Настроить SSL/TLS-шифрование

— Внедрить многофакторную аутентификацию

— Ограничить доступ по IP-адресам для особо важных разделов

— Регулярно проводить аудит безопасности

Что касается размещения — оптимальным будет гибридный подход: оставить основную базу данных на текущем сервере, а фронтенд вынести на отдельный сервер с обратным прокси. Это обеспечит баланс между безопасностью и доступностью.

Также стоит внедрить WAF (Web Application Firewall) для защиты от распространенных атак и IDS/IPS для мониторинга подозрительной активности.

В вашей ситуации важно найти баланс между доступностью портала для внешних пользователей и уровнем безопасности. Предлагаю рассмотреть следующие решения:

Для начала необходимо организовать DMZ-зону (демилитаризованную зону), где будет размещаться публичная часть портала. Это позволит изолировать основной сервер от прямого доступа из интернета.

Рекомендуется использовать балансировщик нагрузки с функцией обратного прокси, который будет:

— Шифровать трафик

— Контролировать сессии

— Фильтровать вредоносный трафик

Для защиты данных в DST Portal следует:

— Внедрить систему централизованной аутентификации

— Использовать токены доступа вместо паролей

— Настроить журналирование всех действий

— Регулярно делать резервные копии

Что касается размещения — можно оставить портал на текущем сервере, но обязательно:

— Настроить строгий фаервол

— Ограничить открытые порты

— Использовать современные протоколы шифрования

— Регулярно обновлять все компоненты системы

Дополнительно рекомендую рассмотреть возможность использования облачной инфраструктуры для размещения публичной части портала — это обеспечит дополнительный уровень отказоустойчивости и профессиональную защиту от DDoS-атак.

Важно помнить, что никакой способ не гарантирует 100% защиты, поэтому необходимо регулярно проводить тестирование на проникновение и обновлять меры безопасности.