文档首页 > > SAP安全白皮书> 生产环境安全解决方案> 网络边界安全>

与开发测试环境边界

与开发测试环境边界

分享
更新时间:2020/05/13 GMT+08:00

由于测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化);由生产环境发起的对开发测试环境的访问,可以采用稍弱的访问控制策略。

安全策略

网络ACL“NACL-PRD-DMZ/APP/SAPDB-BUSI”关联生产环境相应子网,需严格按照最小化的原则控制访问开发测试环境的入方向策略,限制其仅能访问生产环境中特定的[IP]:[PORT];对于由生产环境发起的对开发测试环境的出方向策略,这里可以根据实际情况设置稍弱的访问控制策略。

强的、安全性高的、复杂的访问控制策略,会一定程度增加部署配置及运维成本,可以根据企业自身情况适当减少策略。

与开发测试环境边界的策略主要包括对DEV-DMZ区、对DEV-应用区、对DEV-DB区的策略,详细请参考表1表2表3表4表5表6

本节中提到的IP地址及端口号仅为示例,如有其它业务流,可根据实际情况增加策略。本节仅涉及开发测试区与生产环境策略。

表1 网络ACL“NACL-PRD-APP”入方向

规则 #

源 IP

协议

目的端口

允许/拒绝

说明

对DEV-应用区

172.22.4.0/24

TCP

2433

允许

允许测试环境DEV-应用区中的 VM访问生产环境PRD-应用区中服务器2433端口进行软件/代码推送更新。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则处理的入站数据流。

表2 网络ACL“NACL-PRD-APP”出方向

规则 #

目的 IP

协议

目的端口

允许/拒绝

说明

对DEV-应用区

172.22.8.0/24

TCP

ANY

允许

允许生产环境PRD-应用区中的 VM访问DEV-应用区域中服务器任意TCP端口。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站数据流。

表3 网络ACL“NACL-PRD-DMZ”入方向

规则 #

源 IP

协议

目的端口

允许/拒绝

说明

对DEV-DMZ区

172.22.3.0/24

TCP

1433

允许

允许测试环境DMZ区中的 VM访问生产环境PRD-DMZ区中服务器1433端口进行软件/代码推送更新。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则处理的入站数据流。

表4 网络ACL“NACL-PRD-DMZ”出方向

规则 #

目的 IP

协议

目的端口

允许/拒绝

说明

对DEV-DMZ区

172.22.4.0/24

TCP

ANY

允许

允许生产环境PRD-DMZ区中的 VM访问DEV-DMZ区域中服务器任意TCP端口。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站数据流。

表5 网络ACL“NACL-PRD-SAPDB-BUSI”入方向

规则 #

源 IP

协议

目的端口

允许/拒绝

说明

对DEV-SAP DB区

172.22.5.0/24

TCP

3433

允许

允许测试环境DEV-SAP DB区中的 VM访问生产环境PRD-SAP-DB区中服务器3433端口进行软件/代码推送更新。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则处理的入站数据流。

表6 网络ACL“NACL-PRD-SAPDB-BUSI”出方向

规则 #

目的 IP

协议

目的端口

允许/拒绝

说明

对DEV-SAP DB区

172.22.5.0/24

TCP

ANY

允许

允许生产环境PRD-SAP DB区中的 VM访问DEV- SAP DB区域中服务器任意TCP端口。

*

0.0.0.0/0

ANY

ANY

拒绝

拒绝所有未经前置规则 (不可修改) 处理的出站数据流。

分享:

    相关文档

    相关产品