Attualmente stiamo creando un sistema in cui possiamo creare ambienti demo per i potenziali clienti da utilizzare, dove ospitiamo quegli ambienti demo nella nostra DMZ. L'idea è che se un potenziale cliente vuole provare il nostro prodotto, creiamo un ambiente per loro, quindi fallo in modo che solo quel potenziale cliente possa accedere a quell'ambiente.
Alcuni dettagli:
- L'ambiente è CentOS 7;
- Il prodotto è costituito da 2 GUI con ambiente ospitato, supportate da numerosi servizi eseguiti anche nell'ambiente;
- La prospettiva dovrebbe avere per lo più pieno accesso all'ambiente (non root, ma cose come interagire con il file system, apportare modifiche ad alcuni software);
- Avremo un ambiente separato per ogni prospettiva e un potenziale cliente dovrebbe essere in grado di accedere a un solo ambiente.
Questo sistema è destinato principalmente a sostituire il nostro attuale processo soggetto a errori e laborioso di aiutare il potenziale cliente a configurare il sistema sulla rete locale.
Il problema che abbiamo è che dobbiamo dare la prospettiva di accesso all'ambiente su Internet, ma in modo tale che solo loro possono accedere solo a quel particolare ambiente a cui sono assegnati. Non vogliamo che nessuno, oltre alla prospettiva, acceda all'ambiente del potenziale cliente, e non vogliamo che la prospettiva acceda a un altro ambiente di un potenziale cliente e SICURAMENTE non altre macchine nella nostra DMZ.
La nostra attuale idea per risolvere questo problema è l'utilizzo dell'autenticazione a chiave privata, che da quello che raccogliamo è il modo corretto per consentire solo l'accesso a una sola parte. Tuttavia, abbiamo ancora bisogno di un modo sicuro per ottenere il file chiave per il potenziale cliente, che spesso è troppo lontano per consegnarlo di persona.
quindi 2 domande:
- Esiste un modo sicuro per fornire un potenziale cliente con un file chiave se non puoi consegnarlo di persona?
- related: l'autenticazione basata su file chiave è il modo migliore per garantire a un singolo client l'accesso a un singolo sistema?