内部のエアギャップエクストラネットにサービスを提供するにはどうすればいいですか

背景 - 「エクストラネット」

私たちには、私が「エクストラネットこれは物理的にプライマリLANと同じ場所にあるエアギャップLANです。エクストラネットLANは別の建物にある姉妹機関と共有しており、機器は当社が所有していますが、実際のルーターとスイッチは姉妹機関が管理しています。接続が当社の建物を出ると、姉妹機関のインフラストラクチャを通過し、そこで当社のユーザーのトラフィックが姉妹機関のユーザーのトラフィックと混ざり合います。最後に、専用回線を介して金融機関のネットワークにルーティングされ、すべてのユーザーが次のことができます。金融関連当社は、姉妹代理店および金融機関の両方と非公式および公式の契約を締結しており、そこには以下の制限事項が含まれています。

1. 一般的な業務を行う際に姉妹機関のインターネット接続を使用しているため、ユーザーのインターネット使用を合理的な量に制限するためウェブ関連
2. いかなる状況においても、プライマリ LAN からエクストラネット LAN へのパケットのルーティングは許可されません。

管理性の欠如: エクストラネットか、それとも余計な頭痛の種か?

エクストラネット コンピュータは、多かれ少なかれエアギャップ DMZ 上にあり、Active Directory で管理されておらず、ファイル、プリンタ、WSUS サービスはスタンドアロンのラックマウント サーバーから取得します。これにより、コンピュータの管理性が制限されます。制約 #2 により、バックアップや一般的な管理作業を実行するために、多少の苦労を強いられます。この部門に IT スタッフがいたときは、これはすべて順調でしたが、現在はそうではありません (やった! 予算削減!)。上司と私は、可能な限り既存のプラットフォームにそれらを移行し、2 つや 3 つではなく 1 つのシステムだけを維持するのが最善の方法であることに同意しました。

追加の災害からの回復そして事業継続性懸念事項。基本的に、現在の計画は、バックアップを含む LTO テープを持ってどこかへ行き、データを回復して出発するというものです。上司も私も、この計画が実行可能になる前に、いくつかの詳細が欠けていることに同意しています。ファイル サービスと同時に、この懸念事項にも対処できればよいと思います。

最後になりましたが、重要なことです...金融関連時間的制約があり、重要なものです。何百万ドルもの価値があるほど重要なのです。コンピューターとエクストラネット LAN の標準化、信頼性、セキュリティは必須条件です。シフト開始から数時間で現場にいて、問題に即座に対応できる IT スタッフがいない現在では、なおさらです。

当社のエクストラネット ユーザーの技術要件は、Windows 7 ワークステーション、ファイル、印刷、更新サービス、インターネット アクセス、および当社の金融パートナーが提供するいくつかのサード パーティ アプリケーションなど、ごく一般的なものです。

目標

私は次のことを達成したいと考えています。

• スタンドアロンサーバーを排除し、別の方法でファイル、印刷、更新サービスを提供する
• DR/BC の目的で何らかのウォーム スタンバイ ファイル サービスを取得する
• マシンの可視性と管理性を向上させる
• これらすべてを、姉妹代理店および金融パートナーとの契約に違反することなく実行します。

実際の質問

これにはどのようなテクノロジーとアーキテクチャの組み合わせが効果的でしょうか?

これは怪しい話のように聞こえるかもしれませんが、ショッピングのおすすめ私はこれを建築の問題として捉え、X/Yトラップ、お願いします必要に応じて自由に編集してください。

ファイル/印刷サービス

ファイルと印刷サービスにはいくつかのソリューションがあります。エクストラネットをVLANとして仮想化プラットフォームに拡張するだけで、ラックマウントサーバーと関連機器をなくすことができます。残念ながら、これはDR/BCサービスには適用されません。次のようなものを検討しています。Azure ファイル ストレージ、DFS ターゲットとして使用する Azure ベースの仮想マシン、または OneDrive for Business です。これらのテクノロジを結合して要件に対応する方法がわかりません。

理想的には、ファイル アクセスに何らかの「クラウド」サービスを使用するだけで済みますが、インターネットの使用 (制限 #1) と、サービス停止の場合にネットワーク上にローカル コピーを保持できないことが懸念されます。ここでは「両方を同時に実現する」ソリューションがあるように感じますが、私にはそれがわかりません。

可視性と管理

私は...するだろう、愛愛愛これらのコンピュータをActive Directoryドメインに参加させたいのですが、制限2を考慮すると、その方法がわかりません。Azure の Active Directoryしかし、正直なところ、私はそれをよく理解していませんし、シングル サインオン サービスに限定されているようにも思えます。私が本当に欲しいのは、GPO をそれらのマシンに取得し、中央認証ストアを持つ方法です。さらに、Active Directory ドメインは別のグループによって管理されているため、「拡張する」という提案は政治的および官僚的に困難ですが、不可能ではありません。私たちの AD チームは、何らかの DirSync を実装する組織全体の Office 365 テナントに取り組んでいますが、OneDrive for Business (ファイル サービスには対応できますが、構成管理には対応できません) 以外に何が得られるのかわかりません。

現在実装に取り​​組んでいますインターネットベースの構成管理帯域幅の問題 (制限事項 #1) を管理できれば、ハードウェア インベントリ、Windows 更新プログラム、サード パーティ アプリケーションの展開についてある程度の可視性が得られます。構成項目グループ ポリシーを置き換えるにはかなりハック的な方法ですが、いざというときには機能すると思います。

この問題に対処するために利用できるものはたくさんあります。かなり強力な仮想化環境 (Cisco UCS、vSphere、NetApp)、SCCM、Microsoft Azure、Office 365 (できれば近々)、そして、すでにライセンスを取得しているはずのほぼすべての Microsoft テクノロジーです。

もしかしたら、私が見逃した何かが皆さんには見えるかもしれません。