SAP安全白皮书: 开发测试环境安全解决方案
目录
网络隔离与访问控制
安全策略
网络边界安全
与生产环境边界
安全策略
业务边界
VPN
安全策略
运维边界
安全策略
安全服务
安全管理
安全评估
网站监控
秘钥管理
主机安全
https://support.huaweicloud.com/swp-sap/sap_03_0009.html
网络隔离与访问控制
SAP生产环境安全解决方案如图1 生产环境安全解决方案全景图所示。
图1 开发测试环境安全解决方案全景图
根据业务特点,由于开发测试环境仅供企业内部开发、测试使用,并参考企业安全实践,开发测试环境内部可采用稍弱的网络隔离与访问控制策略,提高网络部署灵活性。
但是,测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略(详见2.2.1节)。
另外,开发测试环境中所有云服务器对外开放的端口范围由安全组控制,遵从最小化原则。安全组不做源IP控制,由网络ACL进行控制。
SAP开发测试环境子网如图2 开发测试环境子网、网络ACL分布图所示。
图2 开发测试环境子网、网络ACL分布图
安全策略
开发测试环境内部涉及如下网络ACL实例:网络ACL“NACL-DEV-MGMT”、 “NACL-DEV-APP”、“NACL-DMZ-SAP-Router”,分别关联图3 开发测试环境内部网络ACL分布图中所示子网。各网络ACL实例默认拒绝所有流量(默认失败),跨ACL的子网间如需互通,需以白名单形式添加策略放通相应流量(最小化)。
图3 开发测试环境内部网络ACL分布图
网络ACL“NACL-DEV-MGMT”,关联开发测试环境DEV-管理区子网,通过策略限制可由管理区堡垒机访问开发测试环境其它区域服务器的管理端口(22等),并拒绝由开发测试环境其它区域发起的对管理区堡垒机的连接。
说明:本节中提到的IP地址及端口号仅为示例,如有其它管理端口,可根据实际情况增加策略。本节仅涉及开发测试区内部策略。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对DEV-DMZ区 |
172.22.3.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问DEV-DMZ区服务器SSH端口。 |
| 对DEV-应用区 |
172.22.4.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问DEV-应用区服务器SSH端口。 |
| 对DMZ-SAP-DB区 |
172.22.5.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问DEV-SAP-DB区服务器SSH端口。 |
| 对DEV&PRD-SAP-Router |
172.22.1.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问DEV&PRD-SAP-Router服务器SSH端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
网络ACL“NACL-DEV-APP”,关联开发测试环境DEV-DMZ区、DEV-应用区、DEV-SAP-DB区子网,入方向,通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等),限制可由SAP-Router访问区域内服务器的业务端口。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对DEV-管理区 |
172.22.2.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问本区域内服务器SSH端口。 |
| 对DEV&PRD-SAP-Router |
172.22.1.0/24 |
TCP |
234 |
允许 |
允许SAP-Router服务器访问本DEV-应用区域内服务器234业务端口。 |
| 对DEV&PRD-SAP-Router |
172.22.1.0/24 |
TCP |
345 |
允许 |
允许SAP-Router服务器访问本DEV-SAP-DB区域内服务器345业务端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
网络ACL“NACL-DMZ-SAP-Router”,关联DEV&PRD-SAP-Router子网,入方向,通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等),出方向限制可由SAP-Router访问开发测试环境应用区、SAP-DB区指定的业务端口。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对DEV-应用区 |
172.22.4.0/24 |
TCP |
234 |
允许 |
允许SAP-Router服务器访问DEV-应用区域内服务器234业务端口。 |
| 对DEV-SAP-DB区 |
172.22.5.0/24 |
TCP |
345 |
允许 |
允许SAP-Router服务器访问DEV-SAP-DB区域内服务器345业务端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对DEV-管理区 |
172.22.2.0/24 |
TCP |
22 |
允许 |
允许测试环境管理区堡垒机访问本区域内服务器SSH端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
安全组,如SG_DEV_MGMT、SG_DEV_DB等(与公网无交互),关联开发测试环境中相应子网中的云服务器,需严格按照最小化的原则控制云服务器对外开放的端口范围,可参考以下图4 安全组策略示例(具体端口请根据实际情况设置)。对IP的访问控制策略,通过网络ACL实现。其它开发测试环境与公网无交互的安全组(详见全景图),可参考实施。
图4 安全组策略示例
安全组,如SG_DEV_SRM、SG_DEV_Hybrids、SG_SAP_ROUTER(与公网有交互),关联开发测试环境中相应子网中的云服务器,需严格按照最小化的原则控制云服务器对外开放的端口范围以及源IP范围,如公网IP较为固定,可参考以下图5 安全组策略示例(具体端口请根据实际情况设置)。
图5 安全组策略示例
如公网IP不固定的场景,可根据业务需要(如模拟测试,技术支持),临时放通特定公网源IP,相应事务完成后删除策略。
网络边界安全
与生产环境边界
由于测试环境仍属于安全级别较低的区域,安全风险较高,如需与生产环境互联,此边界需要特别关注,采用较严格的访问控制策略:由开发测试环境发起对生产环境的访问,需严格控制(默认失败),仅能访问生产环境中必要的[IP]:[PORT] (最小化)。由生产环境发起的对开发测试环境的访问,可以采用稍弱的访问控制策略。
安全策略
如图1 开发测试环境网络ACL分布图所示,网络ACL“NACL-DEV-APP”关联开发测试环境子相应网,需严格按照最小化的原则控制访问生产环境的出方向策略,限制其仅能访问生产环境中特定的[IP]:[PORT];对于由生产环境发起的对开发测试环境的入方向策略,这里可以根据实际情况设置稍弱的访问控制策略。
说明:强的、安全性高的、复杂的访问控制策略,会一定程度增加部署配置及运维成本,可以根据企业自身情况适当减少策略。
图1 开发测试环境网络ACL分布图
与生产环境边界的策略主要包括对PRD-DMZ区、对PRD-应用区、对PRD-DB区的策略,详细请参考下方表1 网络ACL“NACL-DEV-APP”出方向与表2。
说明:本节中提到的IP地址及端口号仅为示例,如有其它业务流,可根据实际情况增加策略。本节仅涉及开发测试区与生产环境策略。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对PRD-DMZ区 |
172.22.7.0/24 |
TCP |
1433 |
允许 |
允许测试环境子网中的 VM访问生产环境PRD-DMZ区中服务器1433端口进行软件/代码推送更新。 |
| 对PRD-应用区 |
172.22.8.0/24 |
TCP |
2433 |
允许 |
允许测试环境子网中的 VM访问生产环境PRD-应用区中服务器2433端口进行软件/代码推送更新。 |
| 对PRD-DB区 |
172.22.9.0/24 |
TCP |
3443 |
允许 |
允许测试环境子网中的 VM访问生产环境PRD-DB区中服务器3443端口进行软件/代码推送更新。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的入站数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对PRD-DMZ区 |
172.22.7.0/24 |
TCP |
ANY |
允许 |
允许生产环境PRD-DMZ区中的 VM访问本区域中服务器任意TCP端口。 |
| 对PRD-应用区 |
172.22.8.0/24 |
TCP |
ANY |
允许 |
允许生产环境PRD-应用区中的 VM访问本区域中服务器任意TCP端口。 |
| 对PRD-DB区 |
172.22.9.0/24 |
TCP |
ANY |
允许 |
允许生产环境PRD-DB区中的 VM访问本区域中服务器任意TCP端口。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则 (不可修改) 处理的出站数据流。 |
安全组策略请见2.1节中相关内容。
业务边界
根据业务特点,由于开发测试环境需与企业内部开放、测试使用,也有公网访问需求,需建立与企业内网(IDC)互联的VPN通道,同时需要设置云上与云下以及云上与互联网之间的访问控制策略。
VPN
由于开发测试环境供企业内部开放、测试使用,多为静态连接需求,综合考虑安全性与时延,推荐的优先级为:专线(DC)>VPN(IPSec)>SSL VPN。
说明:华为VPN云服务当前仅提供专线和IPSec VPN形式,暂不支持SSL VPN,如需使用SSL VPN可选用第三方镜像产品自行部署。
安全策略
由于开发环境同时需要与企业内部通信,还需提供互联网的业务访问,综合考虑通过网络ACL进行相应的访问控制策略。
图1 开发测试环境子网
如图1 开发测试环境子网所示,网络ACL“NACL-DEV-APP”关联开发测试环境相应子网,需严格控制访问企业内网环境(IDC)的出方向策略,限制其仅能访问企业内网环境(IDC)中特定的[IP]:[PORT]。
对于由IDC发起的对开发测试环境的入方向策略,根据场景不同设置相应的访问控制策略。如AD服务器与保留系统,场景较为固定,应设置相应的策略,使其能够与云上特定[IP]:[PORT]互通。而对于End user,可限制能够访问的特定IP段与端口(业务端口)区间,以及22/3389等管理端口。
网络ACL“NACL-DEV-APP”“NACL-DMZ-SAP-Router”关联开发测试环境相应子网,需严格控制互联网访问的入方向策略,限制外网仅能访问开发测试环境特定的[IP]:[PORT]。
说明:本节中提到的IP地址及端口号仅为示例。如公网IP不固定的场景,可根据业务需要(如技术支持),临时放通特定源IP,相应事务完成后删除策略。如有其它业务流,可根据实际情况增加策略。
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则 (不可修改) 处理的入站数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对SAP技术支持人员,SAP GU/软件服务器I等 |
123.123.123.0/24 |
TCP |
3299 |
允许 |
允许互联网SAP技术支持人员(特定源IP),SAP GUI/软件服务器等访问开发测试环境中的DEV&PRD-SAP-Router,进而访问后端业务。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对AD/ADFS服务器 |
IDC-AD/ADFS网络 |
TCP |
AD/ADF端口 |
允许 |
允许与IDC内部AD/ADFS服务器进行对接。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对Internet内部用户/顾问。 |
123.123.123.0/24 |
TCP |
80 |
允许 |
允许互联网特定IP的内部用户、顾问,访问开发测试环境中的WEB服务。 |
| 对Internet内部用户/顾问。 |
123.123.123.0/24 |
TCP |
443 |
允许 |
允许互联网特定IP的内部用户、顾问,访问开发测试环境中的WEB服务。 |
| 对IDC内部用户、顾问。 |
客户数据中心某子网-b |
TCP |
80 |
允许 |
允许客户数据中心某子网-b中的内部用户、顾问,访问开发测试环境中的WEB服务。 |
| 对IDC内部用户、顾问。 |
客户数据中心某子网-b |
TCP |
443 |
允许 |
允许客户数据中心某子网-b中的内部用户、顾问,访问开发测试环境中的WEB服务。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
安全组策略请见2.1节中相关内容。
安全服务
- Anti-DDoS
根据业务特点,由于开发测试环境有公网访问需求,建议SAP-Router、SRM、Hybrids服务器部署Anti-DDoS防护,推荐使用华为云Anti-DDoS流量清洗服务,对相应的EIP进行DDoS防护。
- WAF
根据业务特点,由于开发测试环境需向互联网提供Web应用服务,建议部署Web应用防火墙,应对诸如OWASP TOP10 Web攻击,推荐华为云Web应用防火墙服务,创建WAF实例防护相应EIP。
运维边界
由于管理区无公网访问需求,参考企业安全实践,仅需设置与IDC间的访问控制策略。
安全策略
图1 开发测试环境子网
如图1 开发测试环境子网所示,网络ACL“NACL-DEV-MGMT”关联生产环境管理区子网,对于由IDC发起的对生产环境的入方向策略(管理员),可限制能够访问管理区主机的22/3389等管理端口。
说明:本节中提到的IP地址及端口号仅为示例。管理员也可设置具备End Uesr角色相应的策略,使管理员可访问开发测试环境业务端口。
| 规则 # |
源 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 对管理员 |
客户数据中心某子网-a |
TCP |
22 |
允许 |
允许客户数据中心某子网-a中的管理员访问开发测试环境管理区的VM。 |
| 对管理员 |
客户数据中心某子网-a |
TCP |
3389 |
允许 |
允许客户数据中心某子网-a中的管理员访问开发测试环境管理区的VM。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
| 规则 # |
目的 IP |
协议 |
目的端口 |
允许/拒绝 |
说明 |
|---|---|---|---|---|---|
| 1 |
0.0.0.0/0 |
ANY |
ANY |
允许 |
对于由管理区发起的出方向流量不做限制。 |
| * |
0.0.0.0/0 |
ANY |
ANY |
拒绝 |
拒绝所有未经前置规则处理的数据流。 |
安全组策略请见2.1节中相关内容。
安全服务
参考企业安全实践,通过堡垒机实现运维/运营人员不接触系统账户密码(各系统部件账号托管在堡垒机系统),对运维人员通过堡垒机进行的操作范围进行权限控制,限制高危操作权限,并对运维人员操作全流程审计记录,做到事件可监控、可追踪、可回溯。堡垒机以云服务器模式部署于管理区子网中。
安全管理
安全评估
对于Web站点及关键主机,建议定期进行安全评估(安全体检服务-专业安全评估),以及时发现、规避安全风险。
- 服务测试范围包括:
- 网站类:SQL注入、XSS跨站、文件包含、任意文件上传、任意文件下载、Web弱口令、服务弱口令。
- 主机类:远程漏洞扫描、弱口令扫描、高危端口识别、高危服务识别、基线检查。
- 华为安全专家团队会对专业机构提交的体检报告进行审核,引导专业机构提高服务质量,给客户更佳的用户体验。
- 提供准确的漏洞信息和对应的修复建议,并可为用户定制整体安全解决方案,帮助用户构筑完善的安全防御机制。
网站监控
- 非法篡改监控(监测网页篡改行为,特别是一些越权篡改、暗链篡改等)。
- 坏链检测(如链接目的页面已经删除或转移;网站搬家导致链接无效,设置静态链接导致原内文章链接地址无法访问等)。
- 脆弱性检测(SQL注入、XSS跨站、文件包含、敏感信息泄露、任意文件下载等)。
- 可用性检测(通过全国多地监测和DNS解析监测监控网站的可用性)。
- 对外服务开放监测(定期对网站开放服务进行扫描,检测是否开放多余服务)。
- 敏感内容审计(定期对网站内容进行检测,对出现敏感内容页面进行告警)。
- 协同预警(协同技术小组根据最新漏洞与威胁跟踪结果提供预警)。
秘钥管理
业务系统中如有数据加密场景,建议使用华为云KMS服务进行密钥管理,以满足安全、合规等要求。
主机安全
与公网有交互的虚拟机建议参考华为云主机防暴力破解解决方案进行相应的加固。主要涉及系统加固,以及主机安全产品(HIDS/AV等)的应用。