更新时间:2022-02-10 GMT+08:00

与生产环境边界

由于测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化)。由生产环境发起的对开发测试环境的访问,可以采用稍弱的访问控制策略。

安全策略

图1 开发测试环境网络ACL分布图所示,网络ACL“NACL-DEV-APP”关联开发测试环境子相应网,需严格按照最小化的原则控制访问生产环境的出方向策略,限制其仅能访问生产环境中特定的[IP]:[PORT];对于由生产环境发起的对开发测试环境的入方向策略,这里可以根据实际情况设置稍弱的访问控制策略。

强的、安全性高的、复杂的访问控制策略,会一定程度增加部署配置及运维成本,可以根据企业自身情况适当减少策略。

图1 开发测试环境网络ACL分布图

与生产环境边界的策略主要包括对PRD-DMZ区、对PRD-应用区、对PRD-DB区的策略,详细请参考下方表1 网络ACL“NACL-DEV-APP”出方向表2

本节中提到的IP地址及端口号仅为示例,如有其它业务流,可根据实际情况增加策略。本节仅涉及开发测试区与生产环境策略。

表1 网络ACL“NACL-DEV-APP”出方向

规则 #

目的 IP

协议

目的端口

允许/拒绝

说明

对PRD-DMZ区

172.22.7.0/24

TCP

1433

允许

允许测试环境子网中的 VM访问生产环境PRD-DMZ区中服务器1433端口进行软件/代码推送更新。

对PRD-应用区

172.22.8.0/24

TCP

2433

允许

允许测试环境子网中的 VM访问生产环境PRD-应用区中服务器2433端口进行软件/代码推送更新。

对PRD-DB区

172.22.9.0/24

TCP

3443

允许

允许测试环境子网中的 VM访问生产环境PRD-DB区中服务器3443端口进行软件/代码推送更新。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则处理的入站数据流。

表2 网络ACL“NACL-DEV-APP”入方向

规则 #

源 IP

协议

目的端口

允许/拒绝

说明

对PRD-DMZ区

172.22.7.0/24

TCP

ANY

允许

允许生产环境PRD-DMZ区中的 VM访问本区域中服务器任意TCP端口。

对PRD-应用区

172.22.8.0/24

TCP

ANY

允许

允许生产环境PRD-应用区中的 VM访问本区域中服务器任意TCP端口。

对PRD-DB区

172.22.9.0/24

TCP

ANY

允许

允许生产环境PRD-DB区中的 VM访问本区域中服务器任意TCP端口。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站数据流。

安全组策略请见2.1节中相关内容。