Сервисы лицензирования не открыты наружу
Реальные IP-адреса и порты серверов лицензирования поставщика ПО не публикуются для произвольных подключений.
Безопасность и конфиденциальность · Внедрено и используется
Клиентские программы обращаются к нужным сервисам лицензирования, но не видят реальные адреса серверов и не получают доступ к остальной сети.
Результат
Для поставщика ПО внедрён шлюз перед существующими сервисами лицензирования. Каждое зарегистрированное устройство клиента получает через WireGuard только назначенные виртуальные IP-адреса и порты. Портал самообслуживания позволяет получить или сменить конфигурацию, TOTP защищает вход, а аудит сохраняет историю выдачи и отзыва прав. Реальные адреса, порты и площадка размещения серверов лицензирования не попадают в клиентскую конфигурацию.
В кейсе не раскрываются реальные адреса и порты серверов лицензирования, площадки размещения, ключи, правила межсетевого экрана и рабочая топология.
Ценность
Реальные IP-адреса и порты серверов лицензирования поставщика ПО не публикуются для произвольных подключений.
Наличие WireGuard не открывает сеть: устройство может обратиться только к назначенным IP-адресам и портам профиля лицензирования.
Устройство работает со стабильным виртуальным сервисом. Реальные серверы можно переносить между подготовленными площадками без раскрытия их адресов клиенту.
Клиент управляет своими устройствами, а поставщик контролирует профили доступа, TOTP, отзыв прав и полный журнал событий.
Корпоративное программное обеспечение у клиентов должно обращаться к сервисам выдачи, обновления и проверки лицензий. Но публичный сетевой адрес сделал бы эти сервисы поставщика ПО видимыми для сканирования и посторонних попыток подключения.
Обычный VPN тоже не решает задачу полностью. Полученная конфигурация не должна давать клиенту маршрут к целой внутренней сети или возможность искать другие сервисы поставщика.
Клиент входит в портал своей организации, регистрирует устройство и один раз получает персональную конфигурацию WireGuard. В портале показаны только назначенные профили, виртуальные адреса, разрешённые протоколы и порты.
Клиент может сменить ключ или отозвать своё устройство, но не может назначить себе новый профиль, увидеть реальный сервер или расширить доступ. Вход защищён паролем и TOTP.
Устройство обращается к стабильному виртуальному адресу внутри туннеля. Шлюз сначала проверяет точное разрешение, а затем направляет соединение к реальному сервису лицензирования по отдельному защищённому маршруту.
Реальные серверы лицензирования могут находиться в офисе, центре обработки данных, на выделенном сервере или другой подготовленной площадке. При переносе меняется внутренняя привязка на шлюзе, а клиент продолжает использовать тот же виртуальный сервис.
Платформа лицензирования решает, имеет ли установка право использовать программу и какие функции ей доступны. Шлюз отдельно решает, может ли конкретное устройство установить сетевое соединение с нужным сервисом.
Наличие VPN не заменяет действующую лицензию, а действующая лицензия не делает сервер доступным из интернета. Два независимых уровня уменьшают последствия ошибки или компрометации одного из них.
Адаптация
Для конкретного поставщика ПО настраиваются сервисы и порты существующей системы лицензирования, профили продуктов, организации и число устройств, обязательность TOTP, порядок выдачи и отзыва прав, срок хранения аудита, клиентские инструкции и площадки, к которым шлюз должен направлять разрешённый трафик.
Каждое устройство имеет отдельный ключ и адрес `/32`. Сервер проверяет связку «устройство – профиль – виртуальный IP – протокол – порт» до преобразования адреса, после чего отдельная привилегированная служба применяет WireGuard, nftables и маршрут к реальному сервису лицензирования.
Стек: Go, WireGuard, nftables, Linux, PostgreSQL, React, TOTP, Docker
Подробнее
Практические разборы внедрения, безопасности и работы с корпоративными данными.
Проект
Нет. Клиент подключается к шлюзу и использует только виртуальные адреса назначенных сервисов. Реальные серверы и их порты напрямую не публикуются.
Нет. Для каждого устройства отдельно задаются разрешённые профили, IP-адреса, протоколы и порты. Любые другие направления блокируются.
Нет. Клиент видит стабильный виртуальный адрес. Реальные адреса и маршрут к серверам лицензирования остаются во внутренней конфигурации поставщика.
Клиент или администратор отзывает конкретное устройство либо безопасно меняет его ключ. Остальные устройства организации продолжают работать.
Обсудить задачу
Опишите текущий процесс, данные и программы, которыми пользуются сотрудники. Я предложу понятный следующий шаг.