מדיניות חומת אש ואגודות אזרחיות
1) מטרות ועקרונות
חומת אש/ACL הוא בקרת מטוס נתונים: מי, איפה, מתי ועל איזה פרוטוקול הולך. עקרונות בסיסיים:- זכות מינימלית: לאפשר רק הכרחי (מכחיש מפורש, מרומז).
- קטעים: בידוד סביבות (prod/stage/dev), דיירים, קווי מתאר קריטיים (PCI/KMS/DB).
- בקרת יציאה: התנועה היוצאת מוגבלת לרשימות FQDN/IP ונקודות קצה פרטיות.
- החלטות מתקבלות על ידי ישות מאומתת (SPIFFE/OIDC), לא רק IP.
- תשתית כקוד: חוקים כקוד, סקירה/CI/CD, שינויים בביקורת.
2) טקסונומיה: היכן ומה אנו מסננים
2. שכבות וסטטוס 1
L3/L4 חסר מעמד: ACLs קלאסי (CIDR, פרוטוקול, פורט).
L3/L4 מדינתי: קבוצות אבטחה/NSG, לפקח על קשרים.
L7-aware: proxy/WAF/mesh RBAC (שיטות, מסלולים, טענות JWT, SNI).
אינליין נגד מחוץ לרצועה: ניתוח/התראה מחוץ לרצועה.
2. 2 קווי מתאר
היקפי: Edge/WAF/Anti-DDOS.
מרכז מעבר/VPC/VNET.
עומס עבודה: SG/NSG VM/ENI/POD.
רמת אפליקציות: Transloy/Istio/NGINX, שירות לשירות mTLS.
3) דגמי ענן
AWS
קבוצת אבטחה (SG): stateful ENI/example/LB.
Network ACL (NACL): חסר מעמד על תת-רשתות, סדר כללים, רשומות דו-כיווניות.
חומת אש של רשת AWS/GWLB: L7 Inspection/IDS.
המלצה: ”SG - שליטה בסיסית, NACL - גידור גס/רשימה מכחישה”.
Azure
(NSG), ASG (קבוצות יישומים לפי תג), Azure FW עבור L7/IDS, Private Endpoints.
המלצה: NSG על sabnet + NIC, תגי שירות באמצעות ASG.
GCP
חוקי חומת אש (סטטוטורית) של VPC, Hierarchical FW (ארגונית/תיקייה), Cloud Armor (L7), Private Service Connect.
המלצה: org-level מעקות בטיחות + פרוייקט מאפשר.
4) עיצוב כללי: דפוסים
4. 1 מערכות בסיסיות
לשלול את כל היציאות המותרות באמצעות FQDN/IP ל: אצווה ריפוזיטוריות, רישומי חפצים, API צד שלישי (באמצעות יציאות פרטיות/קבועות).
מינימום מזרח-מערב: שירותים לתקשר רק עם התלות הדרושה.
גישה אדמיניסטרטיבית: באמצעות bastion/JIT עם MFA, הפעלות הקלטה.
4. 2 תגיות וקבוצות
השתמש בתוויות/תגיות במקום IP: "env", "service", "tier", "tenant'," pci = אמת ".
מדיניות עדכון בעת שינוי תג - אין עריכה ידנית של רשתות IP.
4. 3 מחזור חיים
Pospose Abservate (היערכות) * Oppce (prod), עם יובש-run/hit logs.
הזדקנות: TTL/בעלים לכל כלל, בדיקה אוטומטית ללא שימוש.
5) Kubernetes ו ־ service mesh
5. 1 מדיניות ניירות ערך (L3/L4)
המינימום הוא ”לאסור הכל מלבד מה שצריך”.
yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata: { name: deny-all, namespace: core }
spec:
podSelector: {}
policyTypes: ["Ingress","Egress"]
kind: NetworkPolicy metadata: { name: api-egress }
spec:
podSelector: { matchLabels: { app: api } }
egress:
- to:
- namespaceSelector: { matchLabels: { ns: db } }
ports: [{ protocol: TCP, port: 5432 }]
- to:
- ipBlock: { cidr: 10. 100. 0. 0/16 } # Private endpoints ports: [{ protocol: TCP, port: 443 }]5. 2 L7 RBAC (איסטיו/שליח)
אישור JWT/תביעות/סקופים/נתיבים.
yaml apiVersion: security. istio. io/v1 kind: AuthorizationPolicy metadata: { name: api-rbac }
spec:
selector: { matchLabels: { app: api } }
rules:
- from:
- source:
principals: ["spiffe://svc. payments"]
to:
- operation: { methods: ["POST"], paths: ["/v1/payouts"] }
when:
- key: request. headers[x-tenant]
values: ["eu-1","eu-2"]6) בקרת יציאה והיקף פרטי
מעדיף קישור/שירות פרטי על פני PaaS/registers/Repositories.
שאר היציאה דרך NAT/proxy עם Allowlist FQDN ותיקון IP (עבור צד שלישי).
חסום גישה ישירה של תרמילים/VM לאינטרנט; יוצאים מן הכלל רק דרך שער היציאה.
7) כללי DNS ו SNI-מודע
אזורים פנימיים לא נפתרים מבחוץ.
FW/פרוקסי עם תמיכה FQDN/SNI עבור HTTPS יוצא (SNI מאפשר).
תיקון הצמדה לתחומי הספק ספציפיים; לפקח על שינויים באיי-פי שלהם.
8) יומנים, ביקורת, יכולת תצפית
אפשר רישומי זרימה (VPC/VNet/NSG/NACL), שלח ל ־ SIEM.
Correlate עם יישומים באמצעות "trace _ id' ברישומים.
כללי פגיעה/החטאה, דוברים עליונים, תעריפי ירידה, אסימטריות תנועה, דליפות יציאה.
דיווחים: ”חוקים שלא בשימוש”, ”הרשאות רחבות”.
9) ניהול כקוד (IC) ובדיקות
Terraform/CloudFurmation + מדיניות מודולרית על ידי תבניות.
מדיניות כקוד (OPA/Gatekeeper/Confest): לא '0. 0. 0. 0/0 ', דרישה' תיאור/בעלים/tl ', איסור של ערבוב prod/dev.
מוך, ניתוח סטטי, מנתח גמישות, תצוגת תוכנית, ביקורת עמיתים חובה.
10) בדיקת יכולת נגישות ותוהו ובוהו
דגימות סינתטיות מתת רשת/AZ/אזורים שונים: TCP/443, נמלים ספציפיים של מסד נתונים/ברוקרים.
מכחיש זמני לבדוק נתיבי DR: ביטול תלות = צריך להפעיל reteries/circuit/falback.
MTU/MSS: ודא שאין מקטעים בהיקפים (במיוחד IPSc/NAT-T).
11) ביצועים ואמינות
הימנע מצוואר בקבוק מרוכז: Scale inline-FW (מערכות GWLB/scale).
ECMP/AS-Path/BGP להפצה בין מטות.
פרופילי בדיקת TLS: כוללים נקודה (יקרה), הדפסי מפתח אחסון בנפרד, לציית.
12) דוגמאות של תצורות (אזכורים, מקוצר)
12. 1 AWS SG: API # Postgres + S3 Treating Link
hcl resource "aws_security_group" "api" {
name = "sg-api"
description = "Ingress from ALB, egress to DB and PrivateLink"
vpc_id = var. vpc_id
ingress { from_port=8080 to_port=8080 protocol="tcp" security_groups=[aws_security_group. alb. id] }
egress { from_port=5432 to_port=5432 protocol="tcp" security_groups=[aws_security_group. db. id] }
egress { from_port=443 to_port=443 protocol="tcp" prefix_list_ids=[aws_vpc_endpoint. s3. prefix_list_id] }
tags = { owner="team-api", env=var. env, ttl="2026-01-01" }
}12. 2 Azure NSG: מכחיש כברירת מחדל + אפשר בזק
bash az network nsg rule create -g rg -n allow-bastion --nsg-name nsg-app \
--priority 100 --direction Inbound --access Allow --protocol Tcp \
--source-address-prefixes 10. 0. 0. 10 --source-port-ranges "" \
--destination-port-ranges 22 --destination-address-prefixes 10. 1. 0. 0/1612. 3 חומת אש היררכית של GCP: org-מעקה בטיחות
yaml direction: INGRESS priority: 1000 action: deny enableLogging: true match:
layer4Configs: [{ ipProtocol: "all" }]
srcIpRanges: ["0. 0. 0. 0/0"]
targetResources: ["organizations/123456"]12. 4 שליח RBAC (הרשה L7)
yaml
- name: envoy. filters. http. rbac typed_config:
rules:
action: ALLOW policies:
payments-post:
permissions: [{ url_path: { path: "/v1/payouts", ignore_case: true } }]
principals: [{ authenticated: { principal_name: { exact: "spiffe://svc. payments" } } }]13) תרופות אנטי ־ פטריות
`0. 0. 0. 0/0 בחדירה/יציאה ”זמנית” = נשאר לנצח.
”פתיתי שלג” (עריכה ידנית בקונסולה) ללא קוד ותיקון.
SG/NSG Common עבור prod/stage/dev; ערבוב תת-רשתות ביקורתיות ולא ביקורתיות.
חוסר בקרת יציאה ונקודות קצה פרטיות = = דליפת מפתחות/סודות החוצה.
התעלמות מ-DNS/SNI: אפשר את ה-IP של הספק - מחר הוא השתנה וכל הטווח נפתח.
אין יומני זרימה וספרי הפעלה. שלבים הם בלתי אפשריים.
14) פרטים של iGaming/Finance (PCI/Regulatory)
PCI CDE בקטע נפרד של VRF/president, ללא אינטרנט; גישה ל-PSP/Logs - באמצעות קישוריות פרטית/פרוקסי עם mTLS ו-HMAC.
תושבות נתונים: אירוע PII/תשלום - בתוך הארץ/האזור; בין לבין - רק אגרגטים/אנונימיים.
KMS/Vault/HSM: תתי רשתות נפרדות/SG, רק לקוחות mTLS עם תעודות קצרות.
ביקורת תולעת: יומני FW/זרימה באחסון לא משתנה (Object Lock), שימור מינימום רגולטורי.
שותפים (PSP/KYC): FQDN allowlist, יציאה סטטית IP, SLA ניטור על ידי ספק.
15) רשימת מוכנות למומחים
[ ] מודל מקטע מאוחד (hub-and-talk, VRF), CIDR ללא צמתים.[ ] למנוע ברירת מחדל; קצה פרטי של PaaS/אחסון.[ ] SG/NSG חוקיים לעומס עבודה, NACL/route-filters - על תת רשת/hubs.[ ] K8s: NetworkPolicy ”מכחיש-כל”, msh mTLS + L7 RBAC.[ תגי ]/קבוצות במקום IP; בעלים/TTL/תיאור לכל כלל.[ ] IAC + Policy-as-Code; CI עם סימולציה נשימתית; ביקורת עמיתים חובה.[ רישומי זרימה ] הופעלו; לוחות מחוונים דוברים עליונים, שיעורי ירידה; התראות ל ”דליפת יציאה”.[ ] Bastion/JIT לגישה לניהול; MFA; מפגשי רישום.[ ] Runbook "ו: איך להוסיף/להסיר כלל, איך לעבוד בתקרית; תיקונים קבועים של כללי ”מת”.[ ] עבור PCI/Finance: בידוד CDE, ביקורת תולעת, FQDN-Allow עבור PSP/KYC, יציאה סטטית IP.16) TL; DR
לבנות הגנה על ידי שכבות: SG/NSG סטטוטורי על עומסי עבודה, NACL/route-filters על תת-רשתות, L7 RBAC ב-mesh/proxy, WAF/edge על ההיקף. ברירת מחדל - מכחיש על ידי ברירת מחדל, יציאה רק דרך נקודות מבוקרות או נקודות סוף פרטיות. תאר את החוקים כקוד, תבדוק אותם עם מדיניות וסימולטורים, תאסוף יומני זרימה. עבור iGaming/Finance, הוסף קטעי PCI, ביקורת תולעת וקפדנות FQDN-Low ל ־ PSP/KYC.