Ответ прост: используйте облачные сервисы сборки, такие как Azure DevOps (ex VSTS), но оставьте хотя бы один сервер сборки для подписи с использованием аппаратного токена.
Azure DevOps (бывшая Visual Studio Team Services) работает в Azure, но вы можете зарегистрировать своих собственных агентов, работающих на вашей территории. Для них просто требуется исходящее HTTPS-соединение от Агента до DevOps Azure (например, VSTS). Соединение может даже проходить через веб-прокси, что делает вашу сеть и администраторов безопасности счастливыми.
Это очень легко, и у меня это работает во многих местах.
Настройка задокументирована здесь и здесь .