每个生产环境都必须有10个元素

一个最近的故事，一个程序员谁被解雇第一天的工作意外破坏一个生产数据库，是技术人员的噩梦。

不幸的前雇员在Red dit上发表的悲惨故事详细说明了一些令人不安的因素，如新雇用人员在生产中获得行政访问权、载有错误信息的概况介绍文件，以及最糟糕的是，数据库没有备份，这加剧了危机的影响。

任何公司或IT专业人士都可以从这场灾难中学到很多东西，因为它说明了生产环境的最佳做法。 考虑到这一点，这里有10个要素，每个生产环境都应该确保最大的正常运行时间、稳定性和维护它的人的工作安全。

1. 冗余

冗余可能是成功生产环境的最重要因素之一。 如果一个系统或服务对组织至关重要，要么通过产生收入，要么防止收入损失，就不应该有一个单一的例子。 使用应用程序以及系统冗余，以确保您能够承受整个服务器的损失。 电源和网络连接也应该是多余的。 一些组织甚至有整个站点冗余，这样他们就可以在完全不同的地点运行业务。

成本常常被认为是反对实施强有力的冗余的一个因素，但请记住，投资于冗余虽然在开始时可能是痛苦的，但可以在这条路上获得巨大的红利，即使只是为了它所提供的的平静。

2. 灾后恢复能力

“灾难”可能有一个模棱两可的含义。 它指的是任何意外的不幸或失败，从崩溃的应用程序到整个站点由于停电而丢失。 计划灾难，这将影响您运行生产环境的能力，并确保您有适当的解决方案到位。 一些例子：

3. 安全准入

如果公司遵循一个简单的准则：只向实际需要的个人提供生产访问，并配置权限以匹配他们的工作角色，那么涉及开发人员删除生产数据库的事件就永远不会发生。 将任何系统或服务帐户密码存储在安全、集中的密码数据库中。

除非有人从第一天起就直接在生产中工作，否则不要给他们这样做的钥匙。 如果他们确实需要访问，确定“读取”权限是否足够，这样他们就不能实际更改数据。

如果有生产通道的员工离开公司，请确保禁用或锁定他们的帐户。 如果具有生产访问权限的管理员离开，请更改所有涉及的密码，如根或管理员密码。

SEE：网络安全策略（技术研究）

4. 标准化准入

有多种方法来访问生产数据；通过Web浏览器、SSH连接、远程桌面、松鼠数据库客户端、安全FTP或各种其他方法。 确保用户对涉及同一客户端或门户的生产访问有一个标准方法。

一个“跳转框”或堡垒主机，让他们连接，然后访问生产也是有意义的。 例如，Windows服务器用户可以通过远程桌面登录，然后可以使用Putty、Squirrel或Fire fox等标准应用程序设置，以获得一致性和轻松支持其需求的能力。 这也有助于更好地保护生产环境。

5. 极简

您的生产系统应该只包含必要的服务/应用程序。 这意味着将有更少的故障排除和补丁，简单将确保一个更可预测和可管理的环境。 这一战略还将减少潜在的攻击足迹。

Web服务器应该只运行IIS或Apache/Tomcat。 FTP服务器应该只运行安全的FTP服务. 文件服务器应该只承载数据。 等等。 如果应用程序或服务不再使用，请删除它们。

6. 修补策略

说到修补，这是必要的邪恶。 制定修补机制，确保生产系统至少每月更新一次。

重新启动生产系统从来不是任何人的想法，一个有趣的时间，但遭受数据破坏使它看起来像野餐相比。 此外，如果您使用冗余，您应该能够修补和重新启动一对集群系统，例如，用户影响为零。 然而，在修补所有冗余系统之前，确保至少让一两天通过，以防补丁产生不利影响，这可能会消除您通过冗余实现的保护。

7. 隔离网络

您的生产系统不应该与您的其他服务器在同一个网络上，更不用说您的客户端工作站了。 将它们放在自己的专用子网上，并通过防火墙维护访问，防火墙只允许所需的系统通过必要的端口连接。 这将有助于确保安全，并有助于实现我上面提到的极简主义。

试图确定哪些端口需要在防火墙中打开可能是一件乏味的事情，但考虑到它是一项投资，可以更多地了解您的生产环境是如何工作的-当涉及到故障排除和支持时，这将带来好处。

8. 变革管理

变更管理是记录拟议的变更及其预期影响，然后提交审查和批准上述变更的请求的过程。 理想情况下，请求应该列出受影响的系统、更改计划、验证更改的方法(从系统管理员和最终用户的角度来看，以及备份计划。

其他技术人员应检查该过程中是否存在潜在的陷阱（称为同行评审），然后该请求必须由经理批准，然后才能实施更改。

大多数大公司，特别是金融机构，都遵循严格的变革管理准则，小公司也将从中受益。 它可能是繁重的，并引起繁忙的IT专业人员的不耐烦或不情愿，但它有助于确保对生产环境的负面影响最小。 如果变更导致意外中断，它也可以保留自己的工作，因为它是事先知道和批准的，而不是粗心的管理员的流氓行为。

SEE：系统管理和基础设施管理束（技术共和国学院）

9. 审计、记录和警报

如果不使用审计、日志记录和警报，上述许多步骤将变得不那么有效或毫无意义。 在生产系统上采取的每一项行动都应记录下来，并根据严重程度酌情触发警报。 例如，作为root登录应该向IT人员和/或安全组发送通知，以便他们能够评估正在发生的事情和是否正在发生非法行为。

同样适用于可能有故障的硬件。 有句话说：“你的用户应该是最后一个知道何时生产下降的用户。” 正在填充的硬盘应该页面负责的工作人员。 同样适用于过度带宽使用，低可用内存，间歇性连接问题或其他操作问题..

10. 适当的文件

一句中国谚语说：“最苍白的墨水胜过最美好的记忆。” 知识是一种强大的东西，但与他人适当分享知识的能力更强大。 员工流动是一个生活的事实，员工离开时只储存在大脑中的生产环境的关键信息代表了一个重大的公司损失。

生产环境的文件应全面并保持最新。 它应包括硬件、软件、网络细节、供应商信息、支持信息、对其他系统或应用程序的依赖以及维护秩序所需的任何其他细节。 每季度进行一次审查，确保所有负责生产环境的工作人员熟悉文件，并确保在发生灾害时安全备份文件。

通过跟上最新的网络安全新闻、解决方案和最佳实践，加强组织的IT安全防御。