V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
ericbize
V2EX  ›  云计算

想知道 大厂 怎么做 内外网 还有 办公生产环境 是怎么隔离的

  •  
  •   ericbize · 2021-06-30 22:46:28 +08:00 · 5649 次点击
    这是一个创建于 1272 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前前司办公室网络有计算机被入侵,然后 顺藤摸瓜 侵入到了 IDC 和相关联的云上面。

    想知道大厂是怎么做 内外网 还有 办公生产环境隔离的。

    所以想学习一下大厂是怎么做的,谢谢赐教。
    16 条回复    2021-07-18 11:23:49 +08:00
    Jooooooooo
        1
    Jooooooooo  
       2021-06-30 22:48:36 +08:00
    内网相关的东西只有 vpn 才能访问
    llopppp
        2
    llopppp  
       2021-06-30 22:53:03 +08:00   ❤️ 1
    内网外网网关控制
    办公环境去往生产环境有堡垒机控制
    办公环境企业域
    办公环境身份认证(不同权限不同等级)
    访客权限管理
    全局访问管理
    生产环境权限管理
    关键设施权限管理
    邮箱安全措施
    Tianao
        3
    Tianao  
       2021-06-30 22:57:51 +08:00 via iPhone   ❤️ 2
    千言万语围绕一个思路:零信任。不要想着内网外网生产网办公网,划网分区可以,但一张网一个区的内部也要视作彼此不信任的。
    wangxn
        4
    wangxn  
       2021-06-30 23:07:24 +08:00
    办公环境下连各种内网网站(域名解析到非公网 IP )没有什么特别的隔离。但各种服务器需要用跳板机登录是免不了的。
    monkey110
        5
    monkey110  
       2021-06-30 23:36:21 +08:00
    没什么特殊 vlan 堡垒机 强密码 完了
    MarkLeeyun
        6
    MarkLeeyun  
       2021-07-01 00:44:34 +08:00
    就是给个不同的权限吧。。。
    lc1450
        7
    lc1450  
       2021-07-01 01:01:11 +08:00
    网段隔离 防火墙 vpn 重点机器用动态密码登录

    然后每个项目上线时开各种防火墙,刚进公司时一个跳板一周才搞定,最近还有个项目差点因为防火墙问题夭折
    cfanmark
        8
    cfanmark  
       2021-07-01 01:15:32 +08:00
    网络访问控制列表(ACL)
    Jat001
        9
    Jat001  
       2021-07-01 01:35:59 +08:00   ❤️ 1
    就是简单的内外网隔离,内网的服务器连不上外网,特别 sb,运维的水平还停留在 20 年前,堡垒机竟然用的是某国产软件魔改的 ssh,不支持 key based authentication,每次要输动态密码,连 scp 都不能用,幸好 openssh 自带的 ControlMaster 能实现 session 复用,不用每次都输,不然得累死。

    明明内网有 git 服务器,测试环境却不能访问,问其他人怎么传代码,竟然是 rz/sz,我十年前就开始玩 linux 了,都没听说过这玩意,还好运维没 sb 到只留一种文件传输方式,有个单独的 sftp 服务器,把文件传到 sftp 服务器再从上面传到目标机器上,我特想问运维听说过 rsync 吗。

    我之前待的小公司,都能做到开发测试环境全部容器化,数据库、存储、日志等等全都用的云服务,虽然没做内外网隔离,不过又不需要登录服务器搞那干嘛。现在到了大公司,什么都是自建,问题是运维的水平这么差,自建的服务比云服务商提供的差太多了,错误追踪、日志投递、ci/cd 统统没有,一下回到解放前。
    billlee
        10
    billlee  
       2021-07-01 03:50:51 +08:00   ❤️ 1
    登录服务器需要输 RSA token 上的动态口令。你就算物理进入办公室,没有 token 也登不上服务器
    msg7086
        11
    msg7086  
       2021-07-01 03:56:55 +08:00   ❤️ 2
    VPN 进内网需要 yubikey 鉴权。
    普通人只有开发机权限,没有生产机权限。
    能碰代码的人不能碰生产机,能碰生产机的人不能碰代码。
    密码 3 个月一换。
    笔记本全盘加密。
    bruce0
        12
    bruce0  
       2021-07-01 09:11:38 +08:00
    以前我们公司直接两台电脑,一台连公网,给你随便用,另一台只连内网,所有开发都在这台, 内外网传输东西,由 leader 控制
    Greenm
        13
    Greenm  
       2021-07-01 09:17:17 +08:00   ❤️ 2
    这玩意儿实施起来非常复杂和麻烦,要做好一套规模上万人的环境,起码得花个上百万。 但是说起来原理也比较简单,就是隔离。真正的难点是如何控制好安全和便利之间的平衡,在尽可能安全的前提下做到方便好用,是非常困难的。

    当然便利性只是普通的企业需要,GOV 等高度涉密的单位直接物理断网,信号屏蔽,USB 全封,安全拉满。
    lamesbond
        14
    lamesbond  
       2021-07-01 11:02:22 +08:00
    3 月份我司也被入侵了,电脑服务器都中招,当时就是没做好安全防护
    Eytoyes
        15
    Eytoyes  
       2021-07-01 16:16:54 +08:00   ❤️ 1
    可以参考符合《 GB/T 22239-2019 》等保要求的网络拓扑,各个级别都有明确的要求,大厂也都是在此基础上添砖加瓦的
    nightwitch
        16
    nightwitch  
       2021-07-18 11:23:49 +08:00
    电脑 ioa 标准化,敏感操作需要验证 token
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1007 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:20 · PVG 04:20 · LAX 12:20 · JFK 15:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.