Безопасное подключение к мэйнфрейму из облака
Я предваряю это, говоря, что я архитектор решений, и у меня есть клиент, который хочет разместить приложение в облаке. Приложению требуется доступ к информации из SAP и других систем.
Каков наилучший способ безопасного подключения с облачной машины к системе erp в корпоративной сети? Я хотел бы сделать это без изменения брандмауэра. В идеале я хотел бы иметь какой-то туннель от приложения к серверу SAP.
Я видел компанию под названием RunMyProcess, в которой есть программный компонент, который вы устанавливаете на сервер за брандмауэром, который каким-то образом позволяет им получать доступ к вашим внутренним системам. Я думаю, что они используют Google Secure Data Connector.
Как это работает?
3 ответа
Ваше требование не изменять брандмауэр (под этим я предполагаю, что вы имеете в виду открытие любых дополнительных входящих портов в вашей корпоративной сети) означает, что вы, вероятно, хотите создать какой-то исходящий туннель для экземпляров в облаке и перенаправить внутренние адреса, к которым подключаются экземпляры вернуться или использовать сервер Windows VPN, если вы работаете в MS
Это тривиально делается с помощью некоторых инструментов для создания и поддержки постоянных соединений SSH и использования -R перенаправить ваши порты для корпоративных приложений в облако или в качестве службы Windows.
Например ssh user@cloudinstances -R 1080:localhost:1080 вы можете перенаправить прокси к экземпляру, который экземпляр может использовать для подключения обратно к портам SAP.
Вы можете использовать службу замазки и агент замазки, чтобы сделать все это прозрачным, если у вас есть клиенты и серверы Windows.
Кроме того, вы можете использовать openvpn, который больше подходит для диапазонов портов, связанных с приложениями SAP, создав мост между сетями. (В этой модели вы запускаете openvpn для каждого экземпляра облака)
Однако одной из основных проблем является то, как вы распространяете свои открытые ключи или другие пароли среди экземпляров, потому что теперь вы должны учитывать тот факт, что если ваши экземпляры скомпрометированы, то ваше приложение SAP уязвимо.
Есть несколько способов сделать это; это зависит от того, что вам удобно использовать и поддерживать, и сколько вы хотите заплатить. Виртуальное частное облако Amazon позволяет вам настроить сервер и подключиться к нему через туннель для расширения вашего центра обработки данных. Если вы просто собираетесь использовать один компьютер для размещенного сервера, вы можете просто установить туннель между этим компьютером и центром обработки данных практически с любым провайдером. Вы можете подойти к проблеме, как если бы удаленная система была просто кем-то, подключившим сервер из дома.
Я думаю, что ваша лучшая ставка будет какой-то VPN-туннель. Скорее всего, ваш брандмауэр поддерживает это, так как VPN являются стандартом по умолчанию, когда речь идет о безопасном соединении систем через ненадежную сеть (Интернет). Возможно, вы могли бы обратиться к администратору брандмауэра, чтобы узнать больше.