Usando o APT em uma rede isolada com um proxy ou espelho

Vou implantar um número de máquinas x86_64 executando o Ubuntu 16.04 em uma rede IP isolada. Eu terei acesso VPN à rede, mas a rede não terá acesso à internet.

Minha principal preocupação com essa configuração é poder instalar atualizações nas máquinas na rede. Por exemplo, se houver uma nova versão do kernel lançada depois que eu instalar o Ubuntu na máquina e colocá-lo na rede, é importante que haja uma maneira de instalar a nova versão do kernel na máquina. Idealmente, gostaria de poder usar apt update && apt upgrade (ou alguma variante) para instalar essas atualizações.

Estas são as possíveis soluções que estou considerando atualmente:

1. Use uma máquina na rede isolada como um proxy HTTP: essa é a solução que eu prefiro, pois é muito simples de configurar, mas não tenho certeza se será possível ou se seria violação da política de segurança.
2. Use uma máquina na rede isolada como um espelho / repositório local do APT: essa solução pode funcionar melhor, pois provavelmente é fácil configurar o APT para usar um espelho, embora possa ser mais difícil, pois precisarei descobrir como instalar os pacotes espelhados (e outros arquivos necessários) no espelho, sempre que houver atualizações disponíveis. Eu acho que faria mais sentido agendar essa ação regularmente.

Eu já sei como configurar a primeira solução, mas duvido que ela seja permitida pela operadora de rede. Espero que a segunda solução seja a melhor por esse motivo; como eu iria fazer isso? O que tal sistema exigiria? Alternativamente, existe alguma outra solução que funcione melhor?