API выставляет сервисы, работающие в локальной сети, для обслуживания сайта в DMZ

У меня есть команда разработчиков, которые пишут как интранет, так и внешний сайт.

Сайт состоит из двух серверов и балансировщика нагрузки внутри DMZ.

DMZ имеет отверстие, открытое для локальной сети (http/80), для предоставления услуг API из локальной сети.

например, WAN -> haproxy -> web01 (+web02) -> обскура -> услуги локальной сети (haproxy -> lan01/lan02)

Проблема в том, что разработчики разместили все свои сервисы в локальной сети - в том числе те, которые работают только на сайте. то есть web01/02 на данный момент просто действует как аггригатор.

Что еще хуже, сервисы локальной сети были привязаны к нашей инфраструктуре AD, а внутренний API открыт для DMZ, поскольку оба внутренних / внешних API работают на порте 80.

Разработчики не хотят разделять свои API, чтобы иметь "внутреннее" и "внешнее" представление, и в настоящее время эти API не имеют аутентификации / авторизации.

некоторые сервисы также работают только на 'lan01', а не 'lan02' из-за использования локального хранилища файлов, то есть из-за отсутствия высокой доступности.

В настоящее время существует зависимость от всей внутренней структуры корпорации (DNS,AD), чтобы позволить внешнему веб-сайту функционировать.

Не существует понятия о безопасных методах, то есть определенные LAN API работают как привилегии уровня "SYSTEM", и нет контроля над тем, с какими системами говорят разработчики (так как они имеют учетные данные администратора домена)

Я предложил перенести большинство сервисов, обслуживающих веб-сайты, обратно в DMZ и заблокировать эти сервисы, но мне сказали, что разработчики не могут сделать различие между тем, что такое приложение "LAN" и что является интернет-приложением.

Кто-нибудь получил какие-либо предложения о том, как с этим бороться? Это похоже на кошмар безопасности, ожидающий случиться.