← Сетевые угрозы: MITM, перех…Безопасность API и хранение… →

Firewall, наименьшие привилегии и сегментация

Чем меньше открыто и чем меньше у каждого прав — тем меньше ущерб, если что-то пойдёт не так.

Firewall (межсетевой экран) — фильтр, который пропускает или блокирует сетевой трафик по заданным правилам, ограничивая, кто и к каким сервисам может подключаться.

Что делает firewall

По умолчанию хороший firewall работает по принципу «запрещено всё, что явно не разрешено». Открыты только нужные порты: например, 443 для HTTPS наружу, а порт базы данных доступен лишь приложению во внутренней сети, но не из интернета. Так сокращается поверхность атаки — у злоумышленника просто меньше дверей, в которые можно постучать.

СервисКому доступен
Веб-сервер (443)всему интернету
База данныхтолько приложению из внутренней сети
SSH-доступтолько с доверенных адресов администраторов

Наименьшие привилегии в инфраструктуре

Принцип наименьших привилегий из первого раздела работает и здесь. Каждый сервис, контейнер, учётная запись получает минимум прав:

  • Сервису, который только читает из базы, не дают права на запись и удаление.
  • Приложение не запускают от имени суперпользователя (root) без необходимости.
  • Ключи доступа выдают узко: ключ для загрузки файлов не должен уметь удалять весь бакет.

Смысл прост: если такой компонент скомпрометируют, злоумышленник унаследует только его скромные права, а не власть над всей системой.

Сегментация сети

Сеть делят на изолированные зоны, чтобы пробой в одной не открывал доступ ко всему. Классический приём — вынести то, что смотрит в интернет, в отдельную зону (часто называют DMZ), отделив её от внутренних баз данных. Тогда взлом публичного веб-сервера не означает автоматический доступ к базе: между ними стоит ещё один барьер.

Это снова эшелонированная оборона: несколько барьеров вместо одного. Прорыв первого не означает проигрыша.

Доступ администраторов

  • SSH по ключам, не по паролям. Ключи практически невозможно подобрать перебором.
  • Ограничение источников. Управляющий доступ — только с известных адресов или через защищённый шлюз.
  • MFA на критичных консолях. Даже украденный пароль администратора не даст войти без второго фактора.
  • Аудит действий. Кто, когда и что сделал — записывается, чтобы можно было разобраться после инцидента.

Облако: группы безопасности и роли

В облаке те же принципы выражены через «security groups» (сетевые правила) и роли доступа (IAM). Правильная настройка — это снова «открыть только необходимое» и «выдать только нужные права». Распространённая причина утечек в облаке — слишком широкие права у роли или открытое наружу хранилище.

Итог

  • Firewall пропускает только нужный трафик по принципу «запрещено всё, что не разрешено».
  • Наименьшие привилегии ограничивают ущерб от компрометации любого компонента.
  • Сегментация сети — ещё один барьер: пробой одной зоны не открывает остальные.
  • Админ-доступ защищают ключами, ограничением источников, MFA и аудитом.
Проверьте себя
1. По какому принципу настраивают хороший firewall?
AРазрешено всё, что явно не запрещено
BЗапрещено всё, что явно не разрешено
CОткрыты все порты для удобства
DДоступ зависит от времени суток
2. Зачем сервису давать минимум прав?
AЧтобы он работал быстрее
BЧтобы при его компрометации злоумышленник унаследовал лишь скромные права
CЭто требование HTTPS
DЧтобы сэкономить память
3. Что даёт сегментация сети?
AУскоряет интернет
BИзолирует зоны, чтобы пробой одной не открывал доступ ко всем остальным
CШифрует пароли
DЗаменяет firewall полностью
Поддержать проект