与生产环境边界
由于测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化)。由生产环境发起的对开发测试环境的访问,可以采用稍弱的访问控制策略。
安全策略
如图1 开发测试环境网络ACL分布图所示,网络ACL“NACL-DEV-APP”关联开发测试环境子相应网,需严格按照最小化的原则控制访问生产环境的出方向策略,限制其仅能访问生产环境中特定的[IP]:[PORT];对于由生产环境发起的对开发测试环境的入方向策略,这里可以根据实际情况设置稍弱的访问控制策略。
强的、安全性高的、复杂的访问控制策略,会一定程度增加部署配置及运维成本,可以根据企业自身情况适当减少策略。
与生产环境边界的策略主要包括对PRD-DMZ区、对PRD-应用区、对PRD-DB区的策略,详细请参考下方表1 网络ACL“NACL-DEV-APP”出方向与表2。
本节中提到的IP地址及端口号仅为示例,如有其它业务流,可根据实际情况增加策略。本节仅涉及开发测试区与生产环境策略。
|
规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
|
对PRD-DMZ区 |
172.22.7.0/24 |
TCP |
1433 |
允许 |
允许测试环境子网中的 VM访问生产环境PRD-DMZ区中服务器1433端口进行软件/代码推送更新。 |
|
对PRD-应用区 |
172.22.8.0/24 |
TCP |
2433 |
允许 |
允许测试环境子网中的 VM访问生产环境PRD-应用区中服务器2433端口进行软件/代码推送更新。 |
|
对PRD-DB区 |
172.22.9.0/24 |
TCP |
3443 |
允许 |
允许测试环境子网中的 VM访问生产环境PRD-DB区中服务器3443端口进行软件/代码推送更新。 |
|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
|
规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
|
对PRD-DMZ区 |
172.22.7.0/24 |
TCP |
ANY |
允许 |
允许生产环境PRD-DMZ区中的 VM访问本区域中服务器任意TCP端口。 |
|
对PRD-应用区 |
172.22.8.0/24 |
TCP |
ANY |
允许 |
允许生产环境PRD-应用区中的 VM访问本区域中服务器任意TCP端口。 |
|
对PRD-DB区 |
172.22.9.0/24 |
TCP |
ANY |
允许 |
允许生产环境PRD-DB区中的 VM访问本区域中服务器任意TCP端口。 |
|
* |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则 (不可修改) 处理的出站数据流。 |
安全组策略请见2.1节中相关内容。
