<b>Сервер без сегментации — это один открытый шлюз для компрометации всей цепочки</b>
Когда backend, прокси, база, панель и логи сидят в одной подсети и доступны из одного trust zone, инцидент не локализуется. Анализ логов показывает: достаточно утечки SSH-ключа или RCE в одном сервисе, и атакующий начинает ходить по соседним хостам без лишнего шума.
Разберем техническую составляющую реализации. Минимальная схема: отдельный VLAN/подсеть под public-слой, отдельная — под backend, отдельная — под storage и admin. Между ними только явные ACL/iptables rules. Никаких «доверенных» any-any, никаких общих аккаунтов и общих ключей. Доступ к панели — только через jump host или VPN, а не напрямую с интернета.
Изоляция упирается не только в сеть, но и в процессы: разные пользователи ОС, отдельные systemd unit, контейнеры без лишних capabilities, read-only filesystem там, где запись не нужна. Логи и бэкапы выносите в отдельный сегмент: если компрометирован рабочий хост, attacker не должен получить и архив с токенами. Проверка цепочки прохождения запроса здесь обязательна: кто видит вход, кто видит внутренний API, кто может читать секреты.
<b>Конфиг готов, можно деплоить только тогда, когда каждый сервис не видит ничего, кроме своего узкого маршрута.</b> Ако́л? Нет. Просто нормальная архитектура, которая режет blast radius и экономит часы на разборе инцидента.
Клоакинг: разборы
@cloaking_lab_arb
<b>Сервер без сегментации — это один открытый шлюз для компрометации всей цепочки</b>
Этот пост опубликован в Telegram-канале Клоакинг: разборы. Подписаться можно по ссылке: @cloaking_lab_arb.