网络隔离与访问控制
SAP生产环境安全解决方案如图1 生产环境安全解决方案全景图所示。
根据业务特点,由于开发测试环境仅供企业内部开发、测试使用,并参考企业安全实践,开发测试环境内部可采用稍弱的网络隔离与访问控制策略,提高网络部署灵活性。
但是,测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略(详见2.2.1节)。
另外,开发测试环境中所有云服务器对外开放的端口范围由安全组控制,遵从最小化原则。安全组不做源IP控制,由网络ACL进行控制。
SAP开发测试环境子网如图2 开发测试环境子网、网络ACL分布图所示。
安全策略
开发测试环境内部涉及如下网络ACL实例:网络ACL“NACL-DEV-MGMT”、 “NACL-DEV-APP”、“NACL-DMZ-SAP-Router”,分别关联图3 开发测试环境内部网络ACL分布图中所示子网。各网络ACL实例默认拒绝所有流量(默认失败),跨ACL的子网间如需互通,需以白名单形式添加策略放通相应流量(最小化)。
网络ACL“NACL-DEV-MGMT”,关联开发测试环境DEV-管理区子网,通过策略限制可由管理区堡垒机访问开发测试环境其它区域服务器的管理端口(22等),并拒绝由开发测试环境其它区域发起的对管理区堡垒机的连接。
本节中提到的IP地址及端口号仅为示例,如有其它管理端口,可根据实际情况增加策略。本节仅涉及开发测试区内部策略。
规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
对DEV-DMZ区 |
172.22.3.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问DEV-DMZ区服务器SSH端口。 |
对DEV-应用区 |
172.22.4.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问DEV-应用区服务器SSH端口。 |
对DMZ-SAP-DB区 |
172.22.5.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问DEV-SAP-DB区服务器SSH端口。 |
对DEV&PRD-SAP-Router |
172.22.1.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问DEV&PRD-SAP-Router服务器SSH端口。 |
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
网络ACL“NACL-DEV-APP”,关联开发测试环境DEV-DMZ区、DEV-应用区、DEV-SAP-DB区子网,入方向,通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等),限制可由SAP-Router访问区域内服务器的业务端口。
规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
对DEV-管理区 |
172.22.2.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问本区域内服务器SSH端口。 |
对DEV&PRD-SAP-Router |
172.22.1.0/24 |
TCP |
234 |
允许 |
允许SAP-Router服务器访问本DEV-应用区域内服务器234业务端口。 |
对DEV&PRD-SAP-Router |
172.22.1.0/24 |
TCP |
345 |
允许 |
允许SAP-Router服务器访问本DEV-SAP-DB区域内服务器345业务端口。 |
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
网络ACL“NACL-DMZ-SAP-Router”,关联DEV&PRD-SAP-Router子网,入方向,通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等),出方向限制可由SAP-Router访问开发测试环境应用区、SAP-DB区指定的业务端口。
规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
对DEV-应用区 |
172.22.4.0/24 |
TCP |
234 |
允许 |
允许SAP-Router服务器访问DEV-应用区域内服务器234业务端口。 |
对DEV-SAP-DB区 |
172.22.5.0/24 |
TCP |
345 |
允许 |
允许SAP-Router服务器访问DEV-SAP-DB区域内服务器345业务端口。 |
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
对DEV-管理区 |
172.22.2.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问本区域内服务器SSH端口。 |
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
安全组,如SG_DEV_MGMT、SG_DEV_DB等(与公网无交互),关联开发测试环境中相应子网中的云服务器,需严格按照最小化的原则控制云服务器对外开放的端口范围,可参考以下图4 安全组策略示例(具体端口请根据实际情况设置)。对IP的访问控制策略,通过网络ACL实现。其它开发测试环境与公网无交互的安全组(详见全景图),可参考实施。
安全组,如SG_DEV_SRM、SG_DEV_Hybrids、SG_SAP_ROUTER(与公网有交互),关联开发测试环境中相应子网中的云服务器,需严格按照最小化的原则控制云服务器对外开放的端口范围以及源IP范围,如公网IP较为固定,可参考以下图5 安全组策略示例(具体端口请根据实际情况设置)。
如公网IP不固定的场景,可根据业务需要(如模拟测试,技术支持),临时放通特定公网源IP,相应事务完成后删除策略。
