Клоакинг: разборы

<b>Сервер без сегментации — это один открытый шлюз для компрометации всей цепочки</b>

<b>Сервер без сегментации — это один открытый шлюз для компрометации всей цепочки</b>

Когда backend, прокси, база, панель и логи сидят в одной подсети и доступны из одного trust zone, инцидент не локализуется. Анализ логов показывает: достаточно утечки SSH-ключа или RCE в одном сервисе, и атакующий начинает ходить по соседним хостам без лишнего шума.

Разберем техническую составляющую реализации. Минимальная схема: отдельный VLAN/подсеть под public-слой, отдельная — под backend, отдельная — под storage и admin. Между ними только явные ACL/iptables rules. Никаких «доверенных» any-any, никаких общих аккаунтов и общих ключей. Доступ к панели — только через jump host или VPN, а не напрямую с интернета.

Изоляция упирается не только в сеть, но и в процессы: разные пользователи ОС, отдельные systemd unit, контейнеры без лишних capabilities, read-only filesystem там, где запись не нужна. Логи и бэкапы выносите в отдельный сегмент: если компрометирован рабочий хост, attacker не должен получить и архив с токенами. Проверка цепочки прохождения запроса здесь обязательна: кто видит вход, кто видит внутренний API, кто может читать секреты.

<b>Конфиг готов, можно деплоить только тогда, когда каждый сервис не видит ничего, кроме своего узкого маршрута.</b> Ако́л? Нет. Просто нормальная архитектура, которая режет blast radius и экономит часы на разборе инцидента.
Этот пост опубликован в Telegram-канале Клоакинг: разборы. Подписаться можно по ссылке: @cloaking_lab_arb.
tech

Свежие посты в категории «Tech Infrastructure»

Все каналы категории →

start

Готовы запустить рекламу через сеть public.tg?

Новый оффер, продукт, GEO, кейс, событие или партнёрский запуск — соберём маршрут под задачу и отдадим медиаплан.

Telegram для медиаплана: @dumay. Быстрый тест: $20 за канал, $1000 за пакет по сети.