Je me suis inscrit pour aider un service à déplacer des bâtiments et à mettre à niveau son infrastructure désuète. Ce département compte environ 40 employés, 25 postes de travail, un ancien serveur Novell et une poignée de machines de traitement de laboratoire avec des systèmes connectés. À l'ancien emplacement, ce service disposait de deux réseaux - un réseau local sans accès extérieur que ce soit sur un commutateur entièrement séparé et quelques machines avec accès extérieur.
Nous essayons de moderniser un peu cette configuration car à peu près tous les utilisateurs ont besoin d'accéder à leurs e-mails et au système de suivi du temps.
L'organisation mère (~ 10 000 employés) dispose d'un grand service informatique qui est en charge de la connexion et du système téléphonique au nouvel emplacement hors site. Le département informatique. avait uverse et installé un VPN sur leur réseau central. Chaque poste de travail doit être enregistré dans le système / site Web du service informatique pour obtenir une adresse IP (statique). Chaque adresse IP donnée est accessible à l'extérieur sur n'importe quel port disposant d'un service à l'écoute sur la machine cliente.
Le serveur contient des données confidentielles (HIPPA), les ordinateurs de bureau ont des lecteurs réseau mappés pour accéder à (certaines) de ces données. Un LIS client / serveur est également en place.
Ma question est la suivante: cela vaut-il la peine de faire une puanteur que toutes ces machines soient accessibles à l'extérieur?
Devrions-nous:
- Demander un NAT pour extraire l'extérieur de l'intérieur, ainsi qu'un pare-feu qui bloque tout le trafic non explicitement défini comme autorisé? Si tel est le cas, quel argument puis-je faire valoir pour le NAT / pare-feu qui l'emporte sur les avantages d'avoir chaque machine enregistrée dans leur système? Je relayerais toutes les demandes liées aux TI des utilisateurs finaux au service informatique dans les deux cas - il ne semble donc pas très nécessaire de les associer à des adresses spécifiques dans leur système. Plus important encore, cela ressemble à un cauchemar de gérer des pare-feu séparés sur chaque bureau (différentes plates-formes / générations) et sur le serveur.
- Demandez le service informatique. bloquez tout le trafic entrant vers chaque IP accessible au WAN sur les pare-feu existants qu'ils ont en place
- Gardez le réseau local des départements complètement isolé d'Internet. Les utilisateurs doivent partager des machines dédiées pour accéder au courrier électronique, à Internet et au système de suivi du temps.
Merci d'avance pour tout commentaire ou conseil à ce sujet.