Πολιτικές για τα τείχη προστασίας και ACL

1) Στόχοι και αρχές

• Ελάχιστο προνόμιο: να επιτραπεί μόνο το απαραίτητο (ρητή άδεια, σιωπηρή άρνηση).
• Κατάτμηση: απομόνωση περιβάλλοντος (prod/stage/dev), ενοικιαστές, κρίσιμα περιγράμματα (PCI/KMS/DB).
• Έλεγχος εξόδου: η εξερχόμενη κυκλοφορία περιορίζεται σε καταλόγους FQDN/IP και ιδιωτικά τελικά σημεία.
• Γνώση ταυτότητας (L7): Οι αποφάσεις λαμβάνονται από τον επαληθευμένο φορέα (SPIFFE/OIDC) και όχι μόνο από τον IP.
• Υποδομή ως κώδικας: κανόνες ως κώδικας, επανεξέταση/CI/CD, αλλαγές ελέγχου.

2) Ταξινόμηση: πού και τι φιλτράρουμε

2. 1 Στρώματα και κατάσταση

απάτριδες: κλασικά ACL (CIDR, πρωτόκολλο, λιμάνι).
stateful: ομάδες ασφαλείας/NSG, παρακολούθηση συνδέσεων.
: proxy/WAF/mesh RBAC (μέθοδοι, μονοπάτια, JWT-requirements, SNI).
Inline vs out-of-band: Διαδρομές firewall Inline. εκτός ζώνης - ανάλυση/συναγερμός.

2. 2 Περιγράμματα

Περίμετρος: άκρο/WAF/Anti-DDoS.
Πυρήνας: κόμβος διαμετακόμισης/ меж -VPC/VNet.
Φόρτος εργασίας: SG/NSG на VM/ENI/POD.
App-level: Απεσταλμένος/Istio/NGINX policy, service-to-service mTLS.

3) Μοντέλα υπολογιστικού νέφους

AWS

Ομάδα Ασφαλείας (SG): κρατική на ENI/παράδειγμα/LB.
Δίκτυο ACL (NACL): απάτριδες σε υποδίκτυα, σειρά κανόνων, αμφίδρομες καταχωρίσεις.
AWS Network Firewall/GWLB: L7 Επιθεώρηση/IDS.
Σύσταση: «SG - βασικός έλεγχος, NACL - χονδροειδής λίστας ξιφασκίας/άρνησης».

Azure

NSG (stateful), ASG (ομάδες αιτήσεων με ετικέτα), Azure FW για L7/IDS, Private Endpoints.
Σύσταση: NSG για το sabnet + NIC, ετικέτες υπηρεσιών μέσω ASG.

GCP

VPC Firewall Rules (stateful), Hierarchical FW (οργανωτική/φάκελος), Cloud Armor (L7), Private Service Connect.
Σύσταση: οι φρουροί σε επίπεδο org + το σχέδιο επιτρέπουν.

4) Σχεδιασμός κανόνα: Πρότυπα

4. 1 Βασικά σύνολα

Άρνηση όλων των → εξόδου που επιτρέπονται μέσω FQDN/IP σε: αρχεία καταγραφής παρτίδων, μητρώα τεχνουργημάτων, API τρίτων (μέσω ιδιωτικών/σταθερών εξόδων).
Ελάχιστο όριο Ανατολής-Δύσης: οι υπηρεσίες επικοινωνούν μόνο με τις απαραίτητες εξαρτήσεις.
Πρόσβαση Admin: μέσω προμαχώνα/JIT με MAX, συνεδρίες εγγραφής.

4. 2 Ετικέτες και ομάδες

Χρησιμοποιήστε ετικέτες/ετικέτες αντί IP: 'env', 'service', 'tier', 'tenant', 'pci = true'.
Ενημέρωση της πολιτικής όταν αλλάζει η ετικέτα - καμία χειροκίνητη επεξεργασία των δικτύων IP.

4. 3 Κύκλος ζωής

Πρόταση → Αξιολόγηση (σταδιοδρομία) → Ενίσχυση (πρόταση), με κορμούς ξηρού/hit.
Γήρανση: TTL/ιδιοκτήτης για κάθε κανόνα, αυτόματος έλεγχος αχρησιμοποίητος.

5) Kubernetes και πλέγματα υπηρεσίας

5. 1 Πολιτική δικτύων (L3/L4)

Το ελάχιστο είναι «να απαγορεύσουμε τα πάντα εκτός από ό, τι χρειάζεται».

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata: { name: deny-all, namespace: core }
spec:
podSelector: {}
policyTypes: ["Ingress","Egress"]
kind: NetworkPolicy metadata: { name: api-egress }
spec:
podSelector: { matchLabels: { app: api } }
egress:
- to:
- namespaceSelector: { matchLabels: { ns: db } }
ports: [{ protocol: TCP, port: 5432 }]
- to:
- ipBlock: { cidr: 10. 100. 0. 0/16 } # Private endpoints ports: [{ protocol: TCP, port: 443 }]

5. 2 L7 RBAC в μάτια (Istio/Απεσταλμένος)

mTLS + άδεια JWT/ισχυρισμοί/πεδία/διαδρομές.

yaml apiVersion: security. istio. io/v1 kind: AuthorizationPolicy metadata: { name: api-rbac }
spec:
selector: { matchLabels: { app: api } }
rules:
- from:
- source:
principals: ["spiffe://svc. payments"]
to:
- operation: { methods: ["POST"], paths: ["/v1/payouts"] }
when:
- key: request. headers[x-tenant]
values: ["eu-1","eu-2"]

6) Έλεγχος εξόδου και ιδιωτική περίμετρος

PriverLink/Private Service Connect over PaaS/registers/appositories.
Η υπόλοιπη έξοδος μέσω NAT/πληρεξουσίου με τον κατάλογο δικαιωμάτων εκπομπής FQDN και τον σταθερό IP (για τον κατάλογο δικαιωμάτων εκπομπής τρίτων).
παρεμπόδιση της άμεσης πρόσβασης του λοβού/VM στο Διαδίκτυο· εξαιρέσεις μόνο μέσω της πύλης εξόδου.

7) Κανόνες DNS και SNI

Διαχωρισμός-ορίζοντας: Οι εσωτερικές ζώνες δεν αναλύονται εξωτερικά.
FW/Πληρεξούσιος με υποστήριξη FQDN/SNI για εξερχόμενο HTTPS (το επιτρέπει η SNI).
Διόρθωση pinning σε συγκεκριμένους τομείς πωλητών. παρακολουθεί τις αλλαγές στα ΔΙ τους.

8) Καταχωρίσεις, λογιστικός έλεγχος, παρατηρησιμότητα

Ενεργοποίηση αρχείων καταγραφής ροής (VPC/VNet/NSG/NACL), αποστολή στο SIEM.
Συσχετίζονται με εφαρμογές μέσω 'trace _ id' στα αρχεία καταγραφής.
Μετρήσεις: κανόνες hit/miss, κορυφαίοι ομιλητές, ποσοστά πτώσης, ασυμμετρία κυκλοφορίας, διαρροές εξόδου.
Εκθέσεις: «αχρησιμοποίητοι κανόνες», «ευρύτερες άδειες».

9) Διαχείριση ως κωδικός (IaC) και έλεγχοι

Terraform/CloudFormation + αρθρωτές πολιτικές ανά πρότυπο.
Πολιτική ως κώδικας (OPA/Gatekeeper/Conftest): όχι '0. 0. 0. 0/0 ', απαίτηση «περιγραφή/ιδιοκτήτης/ttl», απαγόρευση ανάμειξης prod/dev.
CI: lint, στατική ανάλυση, αναλυτής προσβασιμότητας, προβολή σχεδίου, υποχρεωτική αξιολόγηση από ομότιμους.

10) Δοκιμές προσβασιμότητας και χάος

Συνθετικά δείγματα από διαφορετικά υποδίκτυα/AZ/περιφέρειες: TCP/443, ειδικές θύρες βάσης δεδομένων/μεσίτες.
Προσωρινή άρνηση ελέγχου διαδρομών DR: η απενεργοποίηση → εξάρτησης θα πρέπει να ενεργοποιεί επαναλήψεις/κύκλωμα/οπισθοπορεία.
MTU/MSS: Βεβαιωθείτε ότι δεν υπάρχει κατακερματισμός στην περίμετρο (ειδικά IPsec/NAT-T).

11) Επιδόσεις και αξιοπιστία

Αποφυγή κεντρικού σημείου συμφόρησης: κλίμακα inline-FW (σύνολα GWLB/κλίμακας).
ECMP/AS-path/BGP για τη διανομή μεταξύ κόμβων.
Προφίλ επιθεώρησης TLS: περιλαμβάνουν το σημείο (ακριβό), αποθηκεύουν τα βασικά αποτυπώματα χωριστά, συμμορφώνονται με τη συμμόρφωση.

12) Παραδείγματα ρυθμίσεων (παραπομπές, συντομεύσεις)

12. 1 AWS SG: API → Postgres + S3 PrivanLink

hcl resource "aws_security_group" "api" {
name    = "sg-api"
description = "Ingress from ALB, egress to DB and PrivateLink"
vpc_id   = var. vpc_id

ingress { from_port=8080 to_port=8080 protocol="tcp" security_groups=[aws_security_group. alb. id] }
egress { from_port=5432 to_port=5432 protocol="tcp" security_groups=[aws_security_group. db. id] }
egress { from_port=443 to_port=443 protocol="tcp" prefix_list_ids=[aws_vpc_endpoint. s3. prefix_list_id] }
tags = { owner="team-api", env=var. env, ttl="2026-01-01" }
}

12. 2 Azure NSG: άρνηση εξ ορισμού + δυνατότητα προμαχώνα

bash az network nsg rule create -g rg -n allow-bastion --nsg-name nsg-app \
--priority 100 --direction Inbound --access Allow --protocol Tcp \
--source-address-prefixes 10. 0. 0. 10 --source-port-ranges "" \
--destination-port-ranges 22 --destination-address-prefixes 10. 1. 0. 0/16

12. 3 GCP ιεραρχικό τείχος προστασίας: org-guardrail

yaml direction: INGRESS priority: 1000 action: deny enableLogging: true match:
layer4Configs: [{ ipProtocol: "all" }]
srcIpRanges: ["0. 0. 0. 0/0"]
targetResources: ["organizations/123456"]

12. 4 Απεσταλμένος RBAC (L7 επιτρέπει)

yaml
- name: envoy. filters. http. rbac typed_config:
rules:
action: ALLOW policies:
payments-post:
permissions: [{ url_path: { path: "/v1/payouts", ignore_case: true } }]
principals: [{ authenticated: { principal_name: { exact: "spiffe://svc. payments" } } }]

13) Αντιπατερίδια

`0. 0. 0. 0/0 'στην είσοδο/έξοδο «προσωρινά» → παραμένει για πάντα.
«Νιφάδες χιονιού» (χειροκίνητες επεξεργαστές στην κονσόλα) χωρίς κωδικό και αναθεώρηση.
Κοινός SG/NSG για το prod/stage/dev ανάμειξη κρίσιμων και μη κρίσιμων υποδίκτυων.
Έλλειψη ελέγχου εξόδου και ιδιωτικών καταληκτικών σημείων → διαρροή κλειδιών/μυστικών.
Αγνοώντας το DNS/SNI: επέτρεψε την ΠΕ του προμηθευτή - αύριο άλλαξε και άνοιξε ολόκληρο το φάσμα.
Δεν υπάρχουν κούτσουρα ροής και runbooks → η σταδιακή εφαρμογή είναι αδύνατη.

14) Ιδιαιτερότητες του iGaming/Finance (PCI/Regulatory)

ΕΚΕ ΚΑΕ σε χωριστό VRF/τμήμα, χωρίς διαδίκτυο· πρόσβαση σε PSP/αρχεία καταγραφής - μέσω ιδιωτικής συνδεσιμότητας/διαμεσολαβητή με mTLS και HMAC.
Τόπος κατοικίας: PII/εκδηλώσεις πληρωμής - εντός της χώρας/περιφέρειας· διαπεριφερειακά - μόνο συγκεντρωτικά/ανώνυμα.
KMS/Vault/HSM: μεμονωμένα υποδίκτυα/SG, μόνο πελάτες mTLS με συνοπτικά πιστοποιητικά.
Έλεγχος WORM: Αρχεία καταγραφής FW/ροής σε αμετάβλητη αποθήκευση (κλειδαριά αντικειμένου), διατήρηση ≥ ελάχιστο κανονιστικό επίπεδο.
Εταίροι (PSP/KYC): ανοχή FQDN, στατική έξοδος IP, παρακολούθηση SLA ανά πάροχο.

15) Κατάλογος ελέγχου ετοιμότητας Prod

• Ενοποιημένο μοντέλο κατάτμησης (hub-and-spoke, VRF), CIDR χωρίς διασταυρώσεις.
• Άρνηση εξ ορισμού εξόδου· ιδιωτικά καταληκτικά σημεία της PaaS/αποθήκευσης.
• SG/NSG stateful για το φόρτο εργασίας, NACL/φίλτρα διαδρομής - σε υποδίκτυα/κόμβους.
• : NetworkPolicy "neny-al , mTLS ματιών + L7 RBAC.
• Ετικέτες/ομάδες αντί IP; ιδιοκτήτης/TTL/περιγραφή για κάθε κανόνα.
• IaC + Policy-as-Code, CI με προσομοίωση προσβασιμότητας· υποχρεωτική αξιολόγηση από ομοτίμους.
• Ενεργοποιημένα αρχεία καταγραφής ροής. ταμπλό κορυφαίων ομιλητών, ποσοστά πτώσης· προειδοποιήσεις για «διαρροή εξόδου».
• Bastion/JIT για πρόσβαση σε admin· ΠΧΠ· συνεδρίες υλοτομίας.
• Runbook 'και: πώς να προσθέσετε/αφαιρέσετε έναν κανόνα, πώς να εργαστείτε σε ένα περιστατικό? τακτικές αναθεωρήσεις των «νεκρών» κανόνων.
• Για τα ΕΚΕ/Οικονομικά: απομόνωση ΚΑΕ, έλεγχος WORM, δυνατότητα FQDN για PSP/KYC, στατική έξοδος IP.

16) TL· DR

Προστασία κατασκευής με στρώματα: SG/NSG stateful σε φόρτο εργασίας, NACL/φίλτρα διαδρομής σε υποδίκτυα, L7 RBAC σε μάτια/διαμεσολαβητή, WAF/άκρο στην περίμετρο. Εξ ορισμού - άρνηση εξ ορισμού, έξοδος μόνο μέσω ελεγχόμενων σημείων ή ιδιωτικών τελικών σημείων. Περιγράψτε τους κανόνες ως κωδικούς, ελέγξτε τους με πολιτικές και προσομοιωτές προσβασιμότητας, συλλέξτε αρχεία καταγραφής ροής. Για το iGaming/Finance, προσθέστε κατάτμηση PCI, έλεγχο WORM, και αυστηρή δυνατότητα FQDN στο PSP/KYC.