GH GambleHub

फ़ायरवॉल नीतियाँ और एसीएल

1) लक्ष्य और सिद्धांत

फ़ायरवॉल/एसीएल डेटा प्लेन नियंत्रण है: कौन, कहाँ, कब और क्या प्रोटोकॉल जाता है। बुनियादी सिद्धांत:
  • कम से कम विशेषाधिकार: केवल आवश्यक की अनुमति दें (स्पष्ट अनुमति, निहित इनकार)।
  • विभाजन: वातावरण का अलगाव (prod/stage/dev), किरायेदार, महत्वपूर्ण आकृति (PCI/KMS/DB)।
  • एग्रेस नियंत्रण: आउटबाउंड ट्रैफिक FQDN/IP सूचियों और निजी समापन बिंदुओं तक सीमित है।
  • पहचान-जागरूक (L7): निर्णय केवल आईपी नहीं बल्कि प्रमाणित इकाई (SPIFFE/OIDC) द्वारा किए जाते हैं।
  • कोड के रूप में अवसंरचना: कोड, समीक्षा/सीआई/सीडी के रूप में नियम, ऑडिट परिवर्तन।

2) टैक्सोनॉमी: हम कहां और क्या फ़िल्टर करते हैं

2. 1 परतें और स्थिति

L3/L4 स्टेटलेस: क्लासिक एसीएल (सीआईडीआर, प्रोटोकॉल, पोर्ट)।

L3/L4 राज्य: सुरक्षा समूह/एनएसजी, कनेक्शन की निगरानी करें।

L7-aware: प्रॉक्सी/WAF/मेष RBAC (विधियाँ, पथ, JWT-दावे, SNI)।

इनलाइन बनाम आउट-ऑफ-बैंड: इनलाइन फ़ायरवॉल मार्ग यातायात; आउट-ऑफ-बैंड - विश्लेषण/अलर्ट।

2. 2 कंटूर

परिधि: किनारे/WAF/एंटी-DDoS।

कोर: ट्रांजिट हब/ меж -VPC/VNet।

कार्यभार: SG/NSG на VM/ENI/POD।

ऐप-स्तर: दूत/इस्तियो/NGINX नीति, सेवा-से-सेवा mTLS।

3) क्लाउड मॉडल

AWS

सुरक्षा समूह (एसजी): स्टेटफुल на ENI/इंस्टैंस/LB।

नेटवर्क एसीएल (एनएसीएल): सबनेट पर स्टेटलेस, नियमों का क्रम, द्विदिश प्रविष्टियाँ।

AWS नेटवर्क फ़ायरवॉल/GWLB: L7 निरीक्षण/IDS।

सिफारिश: "एसजी - बुनियादी नियंत्रण, एनएसीएल - मोटे दाने वाली बाड ़/इनकार-सूची।"

Azure

एनएसजी (स्टेटफुल), एएसजी (टैग द्वारा एप्लिकेशन ग्रुप), Azure FW फॉर L7/IDS, प्राइवेट एंडपॉइंट्स।

सिफारिश: Sabnet + NIC पर NSG, ASG के माध्यम से सेवा टैग।

जीसीपी

VPC फ़ायरवॉल नियम (स्टेटफुल), पदानुक्रमित FW (संगठनात्मक/फ़ोल्डर), क्लाउड कवच (L7), निजी सेवा कनेक्ट।

सिफारिश: org-level रेलिंग + परियोजना की अनुमति।

4) नियम डिजाइन: पैटर्न

4. 1 मूल सेट

FQDN/IP के माध्यम से अनुमत सभी egress से इनकार करें: बैच रिपॉजिटरी, आर्टिफैक्ट रजिस्टर, थर्ड-पार्टी एपीआई (निजी/निश्चित आउटपुट के माध्यम से)।

पूर्व-पश्चिम न्यूनतम: सेवाएं केवल आवश्यक निर्भरताओं के साथ संवाद करती हैं।

व्यवस्थापक पहुंच: एमएफए के साथ गढ ़/जेआईटी के माध्यम से, रिकॉर्डिंग सत्र।

4. 2 टैग और समूह

आईपी के बजाय लेबल/टैग का उपयोग करें: 'एनवी', 'सेवा', 'टियर', 'किरायेदार', 'पीसीआई = सही'.

टैग बदलने पर अद्यतन नीति - आईपी ग्रिड का कोई मैनुअल संपादन नहीं।

4. 3 जीवन चक्र

ड्राई-रन/हिट लॉग के साथ → मूल्यांकन (मंचन) → एनफोर्स (प्रोड) प्रस्तावित करें।

एजिंग: प्रत्येक नियम के लिए टीटीएल/मालिक, ऑटो-चेकिंग अप्रयुक्त.

5) कुबेरनेट्स और सर्विस मेष

5. 1 नेटवर्किंग पॉलिसी (L3/L4)

न्यूनतम "जरूरत के अलावा हर चीज पर प्रतिबंध लगाना है।"

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata: { name: deny-all, namespace: core }
spec:
podSelector: {}
policyTypes: ["Ingress","Egress"]
kind: NetworkPolicy metadata: { name: api-egress }
spec:
podSelector: { matchLabels: { app: api } }
egress:
- to:
- namespaceSelector: { matchLabels: { ns: db } }
ports: [{ protocol: TCP, port: 5432 }]
- to:
- ipBlock: { cidr: 10. 100. 0. 0/16 } # Private endpoints ports: [{ protocol: TCP, port: 443 }]

5. 2 एल 7 आरबीएसी в मेश (इस्तियो/दूत)

mTLS + JWT प्राधिकरण/दावे/स्कोप/पथ।

yaml apiVersion: security. istio. io/v1 kind: AuthorizationPolicy metadata: { name: api-rbac }
spec:
selector: { matchLabels: { app: api } }
rules:
- from:
- source:
principals: ["spiffe://svc. payments"]
to:
- operation: { methods: ["POST"], paths: ["/v1/payouts"] }
when:
- key: request. headers[x-tenant]
values: ["eu-1","eu-2"]

6) एग्रेस नियंत्रण और निजी परिधि

PaaS/रजिस्टर/रिपॉजिटरी पर PriveLink/निजी सेवा कनेक्ट करना पसंद करें।

बाकी egress NAT/प्रॉक्सी के माध्यम से allowist FQDN और फिक्स्ड IP (थर्ड-पार्टी एलोविस्ट के लिए)।

इंटरनेट पर फली/वीएम की सीधी पहुंच अवरुद्ध करना; केवल एग्रेस गेटवे के माध्यम से अपवाद।

7) डीएनएस और एसएनआई-जागरूक नियम

स्प्लिट-क्षितिज: आंतरिक क्षेत्र बाहर से हल नहीं करते हैं।

निवर्तमान HTTPS (SNI अनुमति) के लिए FQDN/SNI समर्थन के साथ FW/प्रॉक्सी।

विशिष्ट विक्रेता डोमेन में पिनिंग फिक्स करें; उनके आईपी में परिवर्तन की निगरानी करें।

8) लॉग, ऑडिट, वेधशाला

प्रवाह लॉग सक्षम करें (VPC/VNet/NSG/NACL), SIEM को भेजें।

लॉग में 'ट्रेस _ आईडी' के माध्यम से अनुप्रयोगों के साथ सहसंबंध।

मेट्रिक्स: हिट/मिस रूल्स, टॉप-टॉकर्स, ड्रॉप-रेट्स, ट्रैफिक एसिमेट्री, एग्रेस लीक।

रिपोर्ट: "अप्रयुक्त नियम", "व्यापक अनुमति"।

9) कोड (IaC) और चेक के रूप में प्रबंधन

टेम्पलेट द्वारा Terraform/CloudFormation + मॉड्यूलर नीतियां।

कोड के रूप में नीति (OPA/गेटकीपर/कन्फेस्टेस्ट): नहीं '0। 0. 0. 0/0 ', आवश्यकता' विवरण/मालिक/ttl ', प्रोक्सिंग/देव का निषेध।

CI: लिंट, स्थैतिक विश्लेषण, पहुंच विश्लेषक, योजना दृश्य, अनिवार्य सहकर्मी समीक्षा।

10) पहुंच परीक्षण और अराजकता

विभिन्न सबनेट/AZ/क्षेत्रों से सिंथेटिक नमूने: TCP/443, डेटाबेस/दलालों के विशिष्ट बंदरगाह।

डीआर पथ की जांच करने के लिए अस्थायी इनकार: निर्भरता अक्षम करने से रिट्रीज/सर्किट/फॉलबैक ट्रिगर होना चाहिए।

MTU/MSS: सुनिश्चित करें कि परिधि पर कोई विखंडन नहीं है (विशेष रूप से IPsec/NAT-T)।

11) प्रदर्शन और विश्वसनीयता

एक केंद्रीकृत अड़ चन से बचें: स्केल इनलाइन-एफडब्ल्यू (GWLB/स्केल सेट)।

हब के बीच वितरण के लिए ECMP/AS-path/BGP।

टीएलएस निरीक्षण प्रोफाइल: बिंदु (महंगा) शामिल हैं, अलग से कुंजी प्रिंट स्टोर करें, अनुपालन का अनुपालन करें।

12) कॉन्फ़िग के उदाहरण (संदर्भ, छोटा)

12. 1 AWS SG: API → Postgres + S3 PrivesLink

hcl resource "aws_security_group" "api" {
name    = "sg-api"
description = "Ingress from ALB, egress to DB and PrivateLink"
vpc_id   = var. vpc_id

ingress { from_port=8080 to_port=8080 protocol="tcp" security_groups=[aws_security_group. alb. id] }
egress { from_port=5432 to_port=5432 protocol="tcp" security_groups=[aws_security_group. db. id] }
egress { from_port=443 to_port=443 protocol="tcp" prefix_list_ids=[aws_vpc_endpoint. s3. prefix_list_id] }
tags = { owner="team-api", env=var. env, ttl="2026-01-01" }
}

12. 2 Azure NSG: इनकार-दर-डिफ़ॉल्ट + गढ़ की अनुमति दें

bash az network nsg rule create -g rg -n allow-bastion --nsg-name nsg-app \
--priority 100 --direction Inbound --access Allow --protocol Tcp \
--source-address-prefixes 10. 0. 0. 10 --source-port-ranges "" \
--destination-port-ranges 22 --destination-address-prefixes 10. 1. 0. 0/16

12. 3 जीसीपी पदानुक्रमित फ़ायरवॉल: org-रेलिंग

yaml direction: INGRESS priority: 1000 action: deny enableLogging: true match:
layer4Configs: [{ ipProtocol: "all" }]
srcIpRanges: ["0. 0. 0. 0/0"]
targetResources: ["organizations/123456"]

12. 4 दूत आरबीएसी (एल 7 अनुमति)

yaml
- name: envoy. filters. http. rbac typed_config:
rules:
action: ALLOW policies:
payments-post:
permissions: [{ url_path: { path: "/v1/payouts", ignore_case: true } }]
principals: [{ authenticated: { principal_name: { exact: "spiffe://svc. payments" } } }]

13) एंटीपैटर्न

`0. 0. 0. 0/0 'इन इंग्रेस/एग्रेस "अस्थायी रूप से" - हमेशा के लिए रहता है।

कोड और संशोधन के बिना "स्नोफ्लेक्स" (कंसोल में मैनुअल एडिट्स)।

प्रोड/स्टेज/देव के लिए सामान्य एसजी/एनएसजी; महत्वपूर्ण और गैर-महत्वपूर्ण उप-मिश्रण।

Egress नियंत्रण और निजी समापन बिंदुओं की कमी - लीक कुंजी/रहस्य बाहर।

DNS/SNI की अनदेखी: आपूर्तिकर्ता के IP की अनुमति दी - कल यह बदल गया है और पूरी सीमा खुल गई है।

कोई प्रवाह लॉग और रनबुक नहीं हैं - चरणबद्ध असंभव है।

14) आईगेमिंग/वित्त (पीसीआई/नियामक) की विशिष्टताएं

पीसीआई सीडीई एक अलग वीआरएफ/खंड में, कोई इंटरनेट नहीं; पीएसपी/लॉग तक पहुंच - एमटीएलएस और एचएमएसी के साथ निजी कनेक्टिविटी/प्रॉक्सी के माध्यम से।

डेटा रेजिडेंसी: पीआईआई/भुगतान की घटनाएं - देश/क्षेत्र के भीतर; परस्पर - केवल समुच्चय/गुमनाम।

केएमएस/वॉल्ट/एचएसएम: व्यक्तिगत सबनेट/एसजी, छोटे प्रमाणपत्रों के साथ केवल एमटीएलएस क्लाइंट।

WORM ऑडिट: अपरिवर्तित भंडारण (ऑब्जेक्ट लॉक), प्रतिधारण ≥ नियामक न्यूनतम में FW/प्रवाह लॉग।

पार्टनर्स (PSP/KYC): FQDN मिश्रधातु, स्थैतिक egress IP, SLA प्रदाता द्वारा निगरानी।

15) प्रोड रेडीनेस चेकलिस्ट

  • एकीकृत विभाजन मॉडल (हब-एंड-स्पोक, वीआरएफ), चौराहों के बिना सीआईडीआर।
  • डेनी-बाय-डिफ़ॉल्ट на एग्रेस; PaaS/भंडारण के लिए निजी समापन बिंदु।
  • एसजी/एनएसजी वर्कलोड के लिए स्टेटफुल, एनएसीएल/रूट-फिल्टर - सबनेट/हब पर।
  • : नेटवर्कपॉलिसी "इनकार-सभी", जाल mTLS + L7 RBAC।
  • आईपी के बजाय टैग/समूह; प्रत्येक नियम के लिए स्वामी/टीटीएल/विवरण।
  • IaC + पॉलिसी-as-Code; पहुंच अनुकरण के साथ सीआई; अनिवार्य सहकर्मी समीक्षा।
  • फ्लो लॉग सक्षम; डैशबोर्ड टॉप-टॉकर्स, ड्रॉप-रेट; "रिसाव रिसाव" के लिए अलर्ट।
  • व्यवस्थापक पहुंच के लिए आधार/जेआईटी; एमएफए; लॉगिंग सत्र।
  • रनबुक 'और: एक नियम कैसे जोड़ें/हटाएं, एक घटना में कैसे काम करें; "मृत" नियमों के नियमित संशोधन।
  • PCI/Finance के लिए: CDE अलगाव, WORM ऑडिट, FQDN-PSP/KYC के लिए अनुमति, स्थिर egress IP।

16) टीएल; डीआर

परतों द्वारा सुरक्षा का निर्माण करें: कार्यभार पर एसजी/एनएसजी स्टेटफुल, सबनेट पर एनएसीएल/रूट-फिल्टर, मेष/प्रॉक्सी में एल 7 आरबीएसी, परिधि पर डब्ल्यूएएफ/एज। डिफ़ॉल्ट रूप से - इनकार-दर-डिफ़ॉल्ट, केवल नियंत्रित बिंदुओं या निजी समापन बिंदुओं के माध्यम से egress। नियमों को कोड के रूप में वर्णित करें, उन्हें नीतियों और पहुंच सिमुलेटर के साथ जांचें, प्रवाह लॉग एकत्र करें। IGaming/Finance के लिए, PCI विभाजन, WORM ऑडिटिंग और सख्त FQDN-PSP/KYC की अनुमति दें।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

Telegram
@Gamble_GC
इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।