Безопасность и конфиденциальность · Внедрено и используется

Закрытый доступ клиентов к сервисам лицензирования

Клиентские программы обращаются к нужным сервисам лицензирования, но не видят реальные адреса серверов и не получают доступ к остальной сети.

Что получил бизнес

Для поставщика ПО внедрён шлюз перед существующими сервисами лицензирования. Каждое зарегистрированное устройство клиента получает через WireGuard только назначенные виртуальные IP-адреса и порты. Портал самообслуживания позволяет получить или сменить конфигурацию, TOTP защищает вход, а аудит сохраняет историю выдачи и отзыва прав. Реальные адреса, порты и площадка размещения серверов лицензирования не попадают в клиентскую конфигурацию.

В кейсе не раскрываются реальные адреса и порты серверов лицензирования, площадки размещения, ключи, правила межсетевого экрана и рабочая топология.

Что изменилось после внедрения

Сервисы лицензирования не открыты наружу

Реальные IP-адреса и порты серверов лицензирования поставщика ПО не публикуются для произвольных подключений.

Доступ выдаётся отдельному устройству

Наличие WireGuard не открывает сеть: устройство может обратиться только к назначенным IP-адресам и портам профиля лицензирования.

Клиентская настройка не зависит от площадки

Устройство работает со стабильным виртуальным сервисом. Реальные серверы можно переносить между подготовленными площадками без раскрытия их адресов клиенту.

Самообслуживание остаётся управляемым

Клиент управляет своими устройствами, а поставщик контролирует профили доступа, TOTP, отзыв прав и полный журнал событий.

Почему сервисы лицензирования нельзя просто открыть в интернет

Корпоративное программное обеспечение у клиентов должно обращаться к сервисам выдачи, обновления и проверки лицензий. Но публичный сетевой адрес сделал бы эти сервисы поставщика ПО видимыми для сканирования и посторонних попыток подключения.

Обычный VPN тоже не решает задачу полностью. Полученная конфигурация не должна давать клиенту маршрут к целой внутренней сети или возможность искать другие сервисы поставщика.

Что получает клиент

Клиент входит в портал своей организации, регистрирует устройство и один раз получает персональную конфигурацию WireGuard. В портале показаны только назначенные профили, виртуальные адреса, разрешённые протоколы и порты.

Клиент может сменить ключ или отозвать своё устройство, но не может назначить себе новый профиль, увидеть реальный сервер или расширить доступ. Вход защищён паролем и TOTP.

  • отдельный ключ для каждого устройства
  • одноразовая выдача конфигурации или QR-кода
  • только назначенные сервисы лицензирования
  • самостоятельная смена и отзыв ключа
  • аудит значимых действий

Как клиент получает стабильный адрес без раскрытия внутренней инфраструктуры

Устройство обращается к стабильному виртуальному адресу внутри туннеля. Шлюз сначала проверяет точное разрешение, а затем направляет соединение к реальному сервису лицензирования по отдельному защищённому маршруту.

Реальные серверы лицензирования могут находиться в офисе, центре обработки данных, на выделенном сервере или другой подготовленной площадке. При переносе меняется внутренняя привязка на шлюзе, а клиент продолжает использовать тот же виртуальный сервис.

Лицензия и сетевой доступ проверяются отдельно

Платформа лицензирования решает, имеет ли установка право использовать программу и какие функции ей доступны. Шлюз отдельно решает, может ли конкретное устройство установить сетевое соединение с нужным сервисом.

Наличие VPN не заменяет действующую лицензию, а действующая лицензия не делает сервер доступным из интернета. Два независимых уровня уменьшают последствия ошибки или компрометации одного из них.

  • прикладная проверка лицензии
  • сетевое разрешение устройства
  • индивидуальный отзыв доступа
  • журнал выдачи и применения правил

Что настраивается под конкретную компанию

Для конкретного поставщика ПО настраиваются сервисы и порты существующей системы лицензирования, профили продуктов, организации и число устройств, обязательность TOTP, порядок выдачи и отзыва прав, срок хранения аудита, клиентские инструкции и площадки, к которым шлюз должен направлять разрешённый трафик.

Техническим специалистам

Каждое устройство имеет отдельный ключ и адрес `/32`. Сервер проверяет связку «устройство – профиль – виртуальный IP – протокол – порт» до преобразования адреса, после чего отдельная привилегированная служба применяет WireGuard, nftables и маршрут к реальному сервису лицензирования.

  • точное разрешение для каждого устройства и профиля
  • виртуальные адреса без раскрытия реальных серверов лицензирования
  • разделение непривилегированного портала и сетевой службы
  • запретительный режим при ошибке применения политики
  • желаемое, применённое и наблюдаемое состояние правил

Стек: Go, WireGuard, nftables, Linux, PostgreSQL, React, TOTP, Docker

Вопросы о решении

Видны ли реальные сервисы лицензирования из интернета?

Нет. Клиент подключается к шлюзу и использует только виртуальные адреса назначенных сервисов. Реальные серверы и их порты напрямую не публикуются.

Даёт ли конфигурация WireGuard доступ ко всей сети компании?

Нет. Для каждого устройства отдельно задаются разрешённые профили, IP-адреса, протоколы и порты. Любые другие направления блокируются.

Попадает ли реальная площадка размещения в клиентскую конфигурацию?

Нет. Клиент видит стабильный виртуальный адрес. Реальные адреса и маршрут к серверам лицензирования остаются во внутренней конфигурации поставщика.

Что делать при потере устройства или конфигурации?

Клиент или администратор отзывает конкретное устройство либо безопасно меняет его ключ. Остальные устройства организации продолжают работать.

Обсудить похожую задачу

Опишите текущий процесс, данные и программы, которыми пользуются сотрудники. Я предложу понятный следующий шаг.