供应商PRD环境访问控制方案

方案概述

本方案旨在加强对供应商在PRD环境的访问控制，确保生产环境的稳定性和安全性。通过实施严格的权限管控和临时授权机制，平衡安全需求与运维灵活性，同时确保所有代码部署通过标准化流程执行。

核心目标

提高系统安全性，减少未授权访问风险
确保所有代码部署按照标准流程执行
建立明确的临时授权机制，满足紧急需求
保持系统稳定性，减少人为操作错误

预期收益

降低生产环境安全风险
提高代码部署质量和可追溯性
减少意外操作导致的系统故障
建立更规范的开发与运维流程

实施范围

所有供应商团队
所有生产环境服务器
所有代码部署流程
所有系统配置修改操作

当前架构

环境部署

AWS

UAT

PRD

部署模式

EC2

基于Amazon EC2的虚拟机部署

主要应用服务器

ECS

Amazon Elastic Container Service

容器化应用

EKS

Amazon Elastic Kubernetes Service

微服务架构

当前供应商团队拥有以下访问权限：

直接通过Jumpserver访问生产服务器
UAT/PRD环境全部的访问权限
代码部署权限
系统配置修改权限

这种访问模式存在以下风险：

缺乏及时的操作审计和追踪（目前Jumpserver有录屏）
可能导致未经授权的配置更改
代码部署可能会绕开我们DevOps标准化流程
系统安全性和稳定性受到威胁

权限管控方案

PRD环境权限调整

永久禁用：供应商在PRD环境的发布和部署权限
保留权限：只读权限用于监控和日志查看
访问通道：通过JumpServer作为唯一访问入口, 严格控制 PRD EC2 的直接访问权限
AWS权限：供应商不直接拥有AWS控制台权限

临时授权流程

需求申请：供应商通过工单系统提交访问需求
审批流程：Cloud Hosting和ITBP&LPO 多重审批
权限授予：通过JumpServer临时开通必要权限
时间限制：权限默认4小时有效，可延长
操作审计：所有操作记录完整日志，以及屏幕录屏
权限回收：任务完成后立即禁用权限

临时授权流程图

flowchart TD A[供应商提交申请] --> B{Cloud Hosting 团队审批} B -->|通过| C{ITBP and LPO 审批} B -->|拒绝| D[通知供应商] C -->|通过| E[开通临时权限] C -->|拒绝| D E --> F[4小时有效期] F --> G{任务完成?} G -->|是| H[立即禁用权限] G -->|否| I[申请延长] I --> B H --> J[记录审计日志] style A fill:#d0e8ff,stroke:#1a73e8,stroke-width:2px style B fill:#fff8e1,stroke:#f4b400,stroke-width:2px style C fill:#fff8e1,stroke:#f4b400,stroke-width:2px style E fill:#e8f5e9,stroke:#0f9d58,stroke-width:2px style H fill:#e8f5e9,stroke:#0f9d58,stroke-width:2px style J fill:#e8f5e9,stroke:#0f9d58,stroke-width:2px

权限管控架构

flowchart LR A[供应商] --> B[JumpServer] B --> C[PRD环境] C --> D[EC2/ECS/EKS] style A fill:#d0e8ff,stroke:#1a73e8,stroke-width:2px style B fill:#fff8e1,stroke:#f4b400,stroke-width:2px style C fill:#ffebee,stroke:#db4437,stroke-width:2px style D fill:#e8f5e9,stroke:#0f9d58,stroke-width:2px

权限类型	供应商（常规）	供应商（临时授权）	内部运维
服务器登录	禁止	允许	允许
代码部署	禁止	有限允许	允许
配置修改	禁止	有限允许	允许
日志查看	允许	允许	允许
监控访问	允许	允许	允许

适用场景

补丁更新

安全补丁或关键功能更新

系统安全漏洞修复
关键功能Bug修复
性能优化更新

安全升级

紧急安全漏洞修复

零日漏洞应急响应
安全框架升级
加密算法更新

故障修复

生产环境问题诊断和修复

系统崩溃恢复
性能瓶颈排查
数据异常修复

DevOps流程

所有代码部署将通过DevOps平台进行，确保每次部署都经过审批和审核：

代码部署流程

flowchart LR A[供应商提交代码] --> B[代码审核] B --> C[自动化测试] C --> D{审批} D -->|通过| E[DevOps部署] D -->|拒绝| F[返回修改] E --> G[部署完成] F --> A style A fill:#d0e8ff,stroke:#1a73e8,stroke-width:2px style B fill:#fff8e1,stroke:#f4b400,stroke-width:2px style C fill:#fff8e1,stroke:#f4b400,stroke-width:2px style D fill:#fff8e1,stroke:#f4b400,stroke-width:2px style E fill:#e8f5e9,stroke:#0f9d58,stroke-width:2px style G fill:#e8f5e9,stroke:#0f9d58,stroke-width:2px

沟通计划

内部沟通

内部团队沟通

通知方式：向所有相关团队发送变更通知邮件
培训会议：组织内部培训会议说明新流程
文档更新：更新内部文档和操作手册
反馈渠道：建立内部反馈渠道，收集优化建议

邮件模板：内部团队通知

主题：【重要】供应商PRD环境访问控制方案实施通知

收件人：所有内部团队

正文：

各位同事：

为提高系统安全性并确保所有代码部署按照标准流程执行，我们将于2025年5月1日起实施供应商PRD环境访问控制方案。主要变更包括：

回收供应商在PRD环境的直接访问权限
所有代码部署将通过DevOps流程完成
建立临时授权机制处理紧急需求

详细方案请查看附件或访问内部文档中心。我们将于4月30日14:00在会议室A举行培训会议，请相关人员务必参加。

如有任何疑问，请联系安全团队或运维团队。

供应商沟通

供应商沟通计划

正式通知：发送正式邮件通知权限变更
操作指南：提供详细的临时权限申请指南
紧急渠道：设立专用沟通渠道处理紧急请求
定期反馈：定期收集供应商反馈优化流程

邮件模板：供应商通知

主题：【重要】关于PRD环境访问权限变更的通知

收件人：所有供应商

正文：

尊敬的合作伙伴：

为提高系统安全性并确保所有代码部署按照标准流程执行，我们将于2025年5月1日起调整PRD环境的访问控制策略。主要变更包括：

停止供应商对生产环境服务器的直接访问权限
所有代码部署将通过DevOps自动化流程进行
建立临时授权机制处理紧急需求

我们已准备了详细的操作指南（见附件），并将于4月28日举行在线培训会议，请贵司相关技术人员务必参加。

如有任何疑问，请随时联系您的项目经理或发送邮件至support@example.com。

反馈机制

反馈收集与优化

定期会议：每月与供应商举行反馈会议
问题跟踪：建立问题跟踪系统记录所有反馈
流程优化：根据反馈定期优化授权流程
满意度调查：每季度进行一次满意度调查

反馈表单示例

问题类型	描述	优先级	状态
流程问题	临时授权申请流程耗时过长	高	处理中
技术问题	JumpServer连接不稳定	中	已解决
建议	增加批量授权功能	低	计划中

实施时间表

2025/4/25

方案评审

安全团队完成方案最终评审

负责人: 安全团队

2025/4/28

权限调整

运维团队完成系统权限配置

负责人: 运维团队

2025/4/30

流程培训

对内部团队和供应商进行培训

负责人: 所有团队

2025/5/1

全面实施

方案正式生效并开始执行

负责人: 所有团队

阶段	时间	任务	负责人	状态
准备阶段	2025/4/23-24	完成方案文档	安全团队	已完成
准备阶段	2025/4/25	方案评审会议	安全团队	进行中
技术实施	2025/4/26-27	JumpServer配置	运维团队	计划中
技术实施	2025/4/28-29	权限调整与测试	运维团队	计划中
沟通培训	2025/4/28	供应商通知	项目管理	计划中
沟通培训	2025/4/30	内部培训	安全团队	计划中
沟通培训	2025/4/30	供应商培训	运维团队	计划中
正式实施	2025/5/1	方案生效	所有团队	计划中
后续跟踪	2025/5/15	第一次评估	安全团队	计划中

风险管理

潜在风险与应对策略

响应时间延长

风险：临时授权流程可能导致紧急问题响应时间延长

应对：建立快速审批通道，为紧急情况设置绿色通道

供应商抵触

风险：供应商可能对新流程产生抵触情绪

应对：充分沟通解释，提供详细培训，收集反馈并及时优化

工作效率下降

风险：新流程可能导致短期内工作效率下降

应对：逐步实施，优化审批流程，加强自动化工具支持