¿Cómo aislar el acceso de un servidor web IIS interno en una red?

¿Cómo aislar el acceso de un servidor web IIS interno en una red?

Uno de nuestro departamento está trabajando con una aplicación web interna.

Breve descripción general sobre el estado real de la aplicación web:

  • La aplicación web fue desarrollada por una empresa externa.
  • La aplicación web se ejecuta en una VM en nuestro entorno.
  • La aplicación web se instala con Windows Server 2016 e incluye el rol IIS.
  • Se puede acceder a la URL de la aplicación web a través de LAN desde cada usuario del dominio (alrededor de 500 usuarios).

Nuestra solicitud:

Esta aplicación tiene una gran relevancia en materia de seguridad para nosotros. Es por eso que nos gustaría activar todas las configuraciones de seguridad posibles para que solo los usuarios autorizados accedan a esta aplicación web.

Lo que nosotros queremos:

  • Incluso esta aplicación tiene un inicio de sesión web, este sitio web no debería ser accesible para 500 usuarios en nuestro dominio desde cualquier lugar de nuestra red.
  • Nos gustaría eliminar el acceso a este sitio web a través de nuestro entorno Citrix (incluso si lo intenta un miembro del equipo pequeño)
  • Hay un pequeño equipo que está trabajando con esta aplicación web y tiene acceso a esta aplicación web a través de URL. Sólo deberíamos hacer accesible este sitio web para estos pocos usuarios. (esto debería suceder, sin cambiar la aplicación (código o lo que sea) – incluso si nos gustaría eso, no podríamos porque no lo hemos desarrollado nosotros)

Lo que imaginamos:

  • Algo que podemos definir en el lado del servidor, que solo debe aceptar solicitudes de una dirección IP/rango de IP específico.

o

  • Algo donde podamos definir una lista de Usuarios de Dominio, si solicitan este sitio web, debería estar permitido. Pero solo si tienen una dirección IP/rango interno que sea XYZ.

La pregunta es:

  • ¿Cómo podríamos hacer eso?
  • ¿Es esto algo que deberíamos hacer en el Firewall de Windows Server? En caso afirmativo, ¿qué propondría?
  • ¿Existe alguna configuración en las opciones de IIS que podamos configurar?
  • ¿Algo sobre GPO?

Gracias de antemano.

información relacionada