想知道 大厂 怎么做 内外网 还有 办公生产环境 是怎么隔离的

2021-06-30 22:46:28 +08:00
 ericbize
前前司办公室网络有计算机被入侵,然后 顺藤摸瓜 侵入到了 IDC 和相关联的云上面。

想知道大厂是怎么做 内外网 还有 办公生产环境隔离的。

所以想学习一下大厂是怎么做的,谢谢赐教。
5649 次点击
所在节点    云计算
16 条回复
Jooooooooo
2021-06-30 22:48:36 +08:00
内网相关的东西只有 vpn 才能访问
llopppp
2021-06-30 22:53:03 +08:00
内网外网网关控制
办公环境去往生产环境有堡垒机控制
办公环境企业域
办公环境身份认证(不同权限不同等级)
访客权限管理
全局访问管理
生产环境权限管理
关键设施权限管理
邮箱安全措施
Tianao
2021-06-30 22:57:51 +08:00
千言万语围绕一个思路:零信任。不要想着内网外网生产网办公网,划网分区可以,但一张网一个区的内部也要视作彼此不信任的。
wangxn
2021-06-30 23:07:24 +08:00
办公环境下连各种内网网站(域名解析到非公网 IP )没有什么特别的隔离。但各种服务器需要用跳板机登录是免不了的。
monkey110
2021-06-30 23:36:21 +08:00
没什么特殊 vlan 堡垒机 强密码 完了
MarkLeeyun
2021-07-01 00:44:34 +08:00
就是给个不同的权限吧。。。
lc1450
2021-07-01 01:01:11 +08:00
网段隔离 防火墙 vpn 重点机器用动态密码登录

然后每个项目上线时开各种防火墙,刚进公司时一个跳板一周才搞定,最近还有个项目差点因为防火墙问题夭折
cfanmark
2021-07-01 01:15:32 +08:00
网络访问控制列表(ACL)
Jat001
2021-07-01 01:35:59 +08:00
就是简单的内外网隔离,内网的服务器连不上外网,特别 sb,运维的水平还停留在 20 年前,堡垒机竟然用的是某国产软件魔改的 ssh,不支持 key based authentication,每次要输动态密码,连 scp 都不能用,幸好 openssh 自带的 ControlMaster 能实现 session 复用,不用每次都输,不然得累死。

明明内网有 git 服务器,测试环境却不能访问,问其他人怎么传代码,竟然是 rz/sz,我十年前就开始玩 linux 了,都没听说过这玩意,还好运维没 sb 到只留一种文件传输方式,有个单独的 sftp 服务器,把文件传到 sftp 服务器再从上面传到目标机器上,我特想问运维听说过 rsync 吗。

我之前待的小公司,都能做到开发测试环境全部容器化,数据库、存储、日志等等全都用的云服务,虽然没做内外网隔离,不过又不需要登录服务器搞那干嘛。现在到了大公司,什么都是自建,问题是运维的水平这么差,自建的服务比云服务商提供的差太多了,错误追踪、日志投递、ci/cd 统统没有,一下回到解放前。
billlee
2021-07-01 03:50:51 +08:00
登录服务器需要输 RSA token 上的动态口令。你就算物理进入办公室,没有 token 也登不上服务器
msg7086
2021-07-01 03:56:55 +08:00
VPN 进内网需要 yubikey 鉴权。
普通人只有开发机权限,没有生产机权限。
能碰代码的人不能碰生产机,能碰生产机的人不能碰代码。
密码 3 个月一换。
笔记本全盘加密。
bruce0
2021-07-01 09:11:38 +08:00
以前我们公司直接两台电脑,一台连公网,给你随便用,另一台只连内网,所有开发都在这台, 内外网传输东西,由 leader 控制
Greenm
2021-07-01 09:17:17 +08:00
这玩意儿实施起来非常复杂和麻烦,要做好一套规模上万人的环境,起码得花个上百万。 但是说起来原理也比较简单,就是隔离。真正的难点是如何控制好安全和便利之间的平衡,在尽可能安全的前提下做到方便好用,是非常困难的。

当然便利性只是普通的企业需要,GOV 等高度涉密的单位直接物理断网,信号屏蔽,USB 全封,安全拉满。
lamesbond
2021-07-01 11:02:22 +08:00
3 月份我司也被入侵了,电脑服务器都中招,当时就是没做好安全防护
Eytoyes
2021-07-01 16:16:54 +08:00
可以参考符合《 GB/T 22239-2019 》等保要求的网络拓扑,各个级别都有明确的要求,大厂也都是在此基础上添砖加瓦的
nightwitch
2021-07-18 11:23:49 +08:00
电脑 ioa 标准化,敏感操作需要验证 token

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/786787

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX