API expondo serviços em execução na LAN para servir o site na DMZ

Eu tenho uma equipe de desenvolvedores que está escrevendo uma intranet e um site externo.

O site consiste em dois servidores e um balanceador de carga, dentro de uma DMZ.

A DMZ tem um orifício aberto para a LAN (http / 80), para expor os serviços da API da LAN.

por exemplo. WAN - > haproxy - > web01 (+ web02) - > pinhole - > Serviços de LAN (haproxy - > lan01 / lan02)

O problema é que os desenvolvedores colocaram todos seus serviços na LAN - incluindo aqueles que só executam o site. ou seja, web01 / 02 neste momento está apenas agindo como um aggrigator.

Para piorar, os serviços da LAN foram ligados à nossa infra-estrutura do AD - e APIs internas expostas à DMZ - já que ambas as APIs internas / externas estão sendo executadas na porta 80.

Os desenvolvedores não querem dividir suas APIs para ter uma visualização "interna" e "externa", e atualmente essas APIs não têm autenticação / autorização.

alguns serviços também são executados apenas em 'lan01' e não em 'lan02' devido ao uso de armazenamento de arquivos local, ou seja, sem alta disponibilidade.

Existe agora uma dependência em toda a infra-estrutura corporativa interna (DNS, AD) para permitir que o site externo funcione.

Não há nenhuma noção de práticas seguras, ou seja, certas APIs da LAN estão sendo executadas como privs no nível "SYSTEM" e nenhum controle sobre quais sistemas os desenvolvedores falam (já que possuem credenciais de administrador de domínio)

Sugeri transferir a maioria dos serviços de serviço de site para o DMZ e bloquear esses serviços, mas foi informado que os desenvolvedores não podem fazer a distinção entre o que é um aplicativo "LAN" e o que é um aplicativo de internet.

Alguém tem alguma sugestão sobre como lidar com isso? Parece um pesadelo de segurança esperando para acontecer.