Дано: Небольшая компания (до 20 чел.). Несколько сервисов: git, svn, багтрекер, ftp, сайт. Хочется в самом ближайшем будущем: 1C сервер, Sharepoint (он уже есть, но как SaaS), CRM, тоже на винде скорее всего. Малоопытный программер-и-местами-админ в лице меня.
Есть сейчас: Виндовый сервер с сайтом, багтрекером и вмварью, в которой на паре дебианов крутятся остальные сервисы.
Надо: Cпрятать всё, кроме сайта, за VPN. Вывести линуховые сервисы на отдельный сервак, быть готовым к раширению списка сервисов. Чтобы всё было надёжно и безопасно. Отдельно хочется защититься от целенаправленных взломов, которые могут быть.
Как пытаюсь сделать сейчас. Виндовый сервер с виндовыми сервисами оставляю как есть. Линуховые сервисы запустить под Xen, по ВМ на сервис. На одной из ВМ будет L2TP\OpenSWAN сервер, смотрящий наружу и дающий доступ в локалку. Всё бекапится на S3 централизовано через Bacula. Всё на дебиане, т.к. долго с ним работал. Был ещё опыт с Hardened Gentoo, и даже нравится с т.з. защищенности, но как оно будет в зене работать не понятно.
Не знаю как сделать: Хочется двухфакторную (USB-токен или OTP) авторизацию, единую для всех сервисов.
Покритикуйте пожалуйста то, как делаю сейчас. Посоветуйте, м.б., как лучше сделать. И что вообще можно почитать на тему планирования IT инфраструктуры вообще.
Ах да. В это всё надо впихнуть IP телефонию, желательно между офисами и выходом наружу.
PS: Разумное количество времени и денег выделено.
