文档首页 > > SAP安全白皮书> 生产环境安全解决方案> 网络边界安全> 运维边界

运维边界

分享
更新时间:2020/05/13 GMT+08:00

由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。

安全策略

图2 生产环境子网、网络ACL分布图所示,网络ACL“NACL-PRD-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。

本节中提到的IP地址及端口号仅为示例,如有其它管理端口,可根据实际情况增加策略。

表1 网络ACL“NACL-PRD-MGMT”入方向

规则 #

源 IP

协议

目的端口

允许/拒绝

说明

对管理员

客户数据中心某子网-a

TCP

22

允许

允许客户数据中心某子网-a中的管理员访问生产环境管理区的VM。

对管理员

客户数据中心某子网-a

TCP

3389

允许

允许客户数据中心某子网-a中的管理员访问生产环境管理区的VM。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则处理的数据流。

表2 网络ACL“NACL-PRD-MGMT”出方向

规则 #

目的 IP

协议

目的端口

允许/拒绝

说明

1

0.0.0.0/0

ANY

ANY

允许

对于由管理区发起的出方向流量不做限制。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则处理的数据流。

安全服务

参考企业安全实践,通过堡垒机实现运维/运营人员不接触系统账户密码(各系统部件账号托管在堡垒机系统),对运维人员通过堡垒机进行的操作范围进行权限控制,限制高危操作权限,并对运维人员操作全流程审计记录,做到事件可监控、可追踪、可回溯。堡垒机以云服务器模式部署于管理区子网中。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问