业务边界
根据业务特点,由于开发测试环境需与企业内部开放、测试使用,也有公网访问需求,需建立与企业内网(IDC)互联的VPN通道,同时需要设置云上与云下以及云上与互联网之间的访问控制策略。
VPN
由于开发测试环境供企业内部开放、测试使用,多为静态连接需求,综合考虑安全性与时延,推荐的优先级为:专线(DC)>VPN(IPSec)>SSL VPN。
华为VPN云服务当前仅提供专线和IPSec VPN形式,暂不支持SSL VPN,如需使用SSL VPN可选用第三方镜像产品自行部署。
安全策略
由于开发环境同时需要与企业内部通信,还需提供互联网的业务访问,综合考虑通过网络ACL进行相应的访问控制策略。
如图1 开发测试环境子网所示,网络ACL“NACL-DEV-APP”关联开发测试环境相应子网,需严格控制访问企业内网环境(IDC)的出方向策略,限制其仅能访问企业内网环境(IDC)中特定的[IP]:[PORT]。
对于由IDC发起的对开发测试环境的入方向策略,根据场景不同设置相应的访问控制策略。如AD服务器与保留系统,场景较为固定,应设置相应的策略,使其能够与云上特定[IP]:[PORT]互通。而对于End user,可限制能够访问的特定IP段与端口(业务端口)区间,以及22/3389等管理端口。
网络ACL“NACL-DEV-APP”“NACL-DMZ-SAP-Router”关联开发测试环境相应子网,需严格控制互联网访问的入方向策略,限制外网仅能访问开发测试环境特定的[IP]:[PORT]。
本节中提到的IP地址及端口号仅为示例。如公网IP不固定的场景,可根据业务需要(如技术支持),临时放通特定源IP,相应事务完成后删除策略。如有其它业务流,可根据实际情况增加策略。
规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
---|---|---|---|---|---|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则 (不可修改) 处理的入站数据流。 |
规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
---|---|---|---|---|---|
对SAP技术支持人员,SAP GU/软件服务器I等 |
123.123.123.0/24 |
TCP |
3299 |
允许 |
允许互联网SAP技术支持人员(特定源IP),SAP GUI/软件服务器等访问开发测试环境中的DEV&PRD-SAP-Router,进而访问后端业务。 |
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
---|---|---|---|---|---|
对AD/ADFS服务器 |
IDC-AD/ADFS网络 |
TCP |
AD/ADF端口 |
允许 |
允许与IDC内部AD/ADFS服务器进行对接。 |
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
---|---|---|---|---|---|
对Internet内部用户/顾问。 |
123.123.123.0/24 |
TCP |
80 |
允许 |
允许互联网特定IP的内部用户、顾问,访问开发测试环境中的WEB服务。 |
对Internet内部用户/顾问。 |
123.123.123.0/24 |
TCP |
443 |
允许 |
允许互联网特定IP的内部用户、顾问,访问开发测试环境中的WEB服务。 |
对IDC内部用户、顾问。 |
客户数据中心某子网-b |
TCP |
80 |
允许 |
允许客户数据中心某子网-b中的内部用户、顾问,访问开发测试环境中的WEB服务。 |
对IDC内部用户、顾问。 |
客户数据中心某子网-b |
TCP |
443 |
允许 |
允许客户数据中心某子网-b中的内部用户、顾问,访问开发测试环境中的WEB服务。 |
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
安全组策略请见2.1节中相关内容。
安全服务
- Anti-DDoS
根据业务特点,由于开发测试环境有公网访问需求,建议SAP-Router、SRM、Hybrids服务器部署Anti-DDoS防护,推荐使用华为云Anti-DDoS流量清洗服务,对相应的EIP进行DDoS防护。
- WAF
根据业务特点,由于开发测试环境需向互联网提供Web应用服务,建议部署Web应用防火墙,应对诸如OWASP TOP10 Web攻击,推荐华为云Web应用防火墙服务,创建WAF实例防护相应EIP。