Eu preciso ser capaz de expor um conjunto de sites "internos" para os usuários da Internet de alguma forma. Por favor, tenha paciência comigo, pois a engenharia de rede não é o meu strong. Eu apreciaria qualquer insight ou sugestões para esta tarefa. Aqui estão as noções básicas:
Temos uma rede que só está disponível conectando-se ao Cisco AnyConnect Secure Mobility Client. Nós usamos a autenticação de dois fatores. Nós temos um perfil de VPN.
A rede é principalmente baseada na Microsoft com usuários no diretório ativo (AD). Depois de me conectar à rede, posso entrar em quatro sites diferentes. Os sites estão sendo executados em um único servidor IIS e usamos a conta do AD do usuário para autenticação junto com a associação do grupo do AD para autorização.
Windows Server 2012 com o IIS 8.5. Tudo é virtualizado com o VMWare. Os sites são baseados em webforms ASP.NET.
Precisamos tornar os sites acessíveis a partir da Internet.
Não podemos exigir uma VPN. Assim, os sites precisam estar disponíveis sem usar uma VPN.
Eu preferiria usar o provedor interno de armazenamento / identidade do usuário do AD, se possível.
Precisamos exigir autenticação de dois fatores. Portanto, o usuário deve efetuar login com um nome de usuário e senha e, provavelmente, um mecanismo de autenticação de token RSA.
Eu sei que isso parece tolo em alguns aspectos, mas o cerne do problema é que nosso principal cliente precisa acessar nossos sites internos e eles têm strongs restrições sobre o que eles podem e não podem fazer. Cada usuário no site do cliente só tem permissão para um perfil de VPN e esse perfil já está em uso. Da mesma forma, eles têm severas restrições quanto ao uso da Internet, mas podemos abrir uma regra de firewall para que eles possam acessar nosso "portal" e, consequentemente, nossos sites.
Portanto, eu preciso de algum tipo de portal ou dispositivo ou algo que fique exposto à Internet com todas as proteções de firewall e zonas necessárias, mas que permita acesso não-VPN com autenticação de dois fatores e exponha os sites internos.Este dispositivo precisará fazer a própria conexão VPN. Idealmente, poderíamos passar as credenciais do usuário para autorização e autenticação.
Minha pesquisa atual apontou para a direção do Sophos UTM & Firewall de última geração . No entanto, achei que gostaria de receber alguns conselhos de especialistas enquanto pesquiso minhas opções.
Eu aprecio qualquer insight sobre como realizar essa tarefa.