确保某些测试服务器(如域控制器)不会发出与生产系统交叉的网络流量的最低实现是什么?目的是设置一个不会以任何方式“意外”与生产系统交互的测试环境。
单独的 VLAN 就够简单了吗?
答案1
在构建网络和讨论信任边界时,需要牢记以下几点:
- 物理隔离
- 逻辑隔离
如果可能的话,您应该从物理隔离开始。这意味着测试网络不连接到生产网络所连接的相同交换机和其他网络设备。这可能并不总是可行的。例如,如果这是一个实验室环境,人们可以走进一个房间并与这个测试网络交互,那就太好了。或者,如果有一个 VPN 可以放置在该段前面以允许集中交互,这是另一种选择。
但是,还必须有逻辑隔离。这意味着网络路由(包括 VLAN)不得允许每个网络之间建立连接。跨越这些边界是我在渗透测试中使用的方法。闯入开发或 QA 环境然后向上转移通常比闯入生产环境更容易。
因此,这将取决于几个只有您才能回答的因素:
- 业务需求
- 能够协调网络隔离(包括网络结构配置)
- 考虑到以上两个因素,你愿意承担什么样的风险
正确构建网络涉及的内容远比我在这里能写的要多,而且其中很多内容取决于我不知道或不想知道的信息。这将包括网络的当前架构、正在运行的服务以及这些业务需求是什么。