GH GambleHub

निजी समापन बिंदु और इंट्रानेट

1) एक निजी नेटवर्क क्यों

लक्ष्य इंटरनेट तक पहुंचने के बिना निजी लिंक के माध्यम से महत्वपूर्ण सेवाओं को जोड़ कर हमले की सतह और निकासी की लागत को कम करना है। यह देता है:
  • सार्वजनिक आईपी से PaaS/DB/भंडारण का अलगाव;
  • आसान अनुपालन (पीसीआई डीएसएस/जीडीपीआर)
  • अनुमानित देरी और मार्ग।

2) बेस मॉडल: वीपीसी/वीएनईटी और हब

पता स्थान: चौराहों के बिना एक एकल CIDR योजना (उदाहरण के लिए, '10। 0. 0. 0/12 'वातावरण और हब में काट दिया जाता है)।

विभाजन: सबनेट 'इंग्रेस', 'ऐप', 'डेटा', 'ऑप्स', 'साझा' अलग-अलग मार्गों/एसीएल/एसजी के साथ।

ट्रांजिट हब: गेटवे के साथ केंद्रीय वीपीसी/वीएनईटी (वीपीएन/डायरेक्ट कनेक्ट/एक्सप्रेसरूट/इंटरकनेक्ट), इंटर-वीपीसी पीयरिंग/ट्रांजिट गेटवे और नेटवर्क फायरवॉल।

डुअल-स्टैक: अग्रिम में IPv6 का शेड्यूलिंग (NAT को बचाता है, पते के पैमाने में सुधार करता है)।

3) निजी समापन बिंदु: सिद्धांत

प्राइवेट एंडपॉइंट/प्राइवेटलिंक/प्राइवेट सर्विस कनेक्ट - एक प्रबंधित सेवा के लिए एक निजी इंटरफेस (ऑब्जेक्ट स्टोरेज, कतारें, डेटाबेस, गुप्त भंडारण), केवल आपके पता स्थान से पहुँचा जा सकता है:
  • ट्रैफिक प्रदाता नेटवर्क के अंदर चला जाता है (इंटरनेट के माध्यम से न
  • एंडपॉइंट पॉलिसी लिमिट जहां आप जा सकते हैं (उपसर्ग/एआरएन/संसाधन)।
  • DNS को निजी IP में फिर से परिभाषित किया गया है (देखें) 6)।

विशिष्ट लक्ष्य: ऑब्जेक्ट स्टोर (S3/GCS/Blob), गुप्त/KMS, कतारें, घटना बसें, प्रबंधित डेटाबेस, विश्लेषणात्मक सेवाएं, कलाकृतियां रजिस्टर।

4) अंदर प्रवेश और संतुलन

L4/7 के लिए आंतरिक लोड बैलेंसर (ILB), हम केवल निजी सबनेट से देखते हैं।

कुबेरनेट्स:
  • आंतरिक एनोटेशन के साथ 'सेवा' of टाइप 'LoadBalancer'।
  • एक निजी पते पर आंतरिक इंग्रेस (Nginx/Contour/Gateway API) के माध्यम से लॉगिन।
  • एपीआई गेटवे (निजी): बैकेंड के साथ निजी एकीकरण; बाहर - केवल किनारे के माध्यम से, यदि आवश्यक

उदाहरण: आंतरिक के रूप में Ingress

yaml apiVersion: networking. k8s. io/v1 kind: Ingress metadata:
name: api-internal annotations:
kubernetes. io/ingress. class: "nginx"
alb. ingress. kubernetes. io/scheme: internal # or provider equivalent spec:
rules:
- host: api. internal. corp http:
paths:
- path: /v1/
pathType: Prefix backend:
service:
name: api port: { number: 8080 }

5) एग्रेस समोच्च: "डिफ़ॉल्ट - इनकार"

निजी सबनेट से प्रत्यक्ष इंटरनेट के बिना: सब कुछ केवल के माध्यम से बाहर है:
  • NAT गेटवे (अद्यतन/भंडार के लिए) + FQDN/IP के माध्यम से allowist;
  • टीएलएस निरीक्षण/प्रॉक्सी यदि नीतियों को नियंत्रण की आवश्यकता है;
  • NAT के बजाय PaaS/रजिस्टरों के लिए निजी समापन बिंदु।
  • एसजी/एनएसीएल: स्पष्ट अनुमतियाँ प्रति-सेवा, "पूर्व-पश्चिम" - न्यूनतम।
  • K8s एग्रेस पॉलिसी (CNI/OPA गेटकीपर/कैलिको नेटवर्किंग पॉलिसी) - बाहरी आईपी बैरिंग, क्लस्टर/एंडपॉइंट अनुमतियाँ।

6) डीएनएस: स्प्लिट-क्षितिज - निजी क्षेत्र

अलग आंतरिक क्षेत्र ('.internal. कॉर्प ') और जनता।

प्रदाता सेवाओं के लिए निजी डीएनएस क्षेत्र: सार्वजनिक नामों को ओवरराइड करें (उदाहरण के लिए, 'बाल्टी। s3। क्षेत्र। amazonews। कॉम ') निजी ए/एएएए रिकॉर्ड के लिए।

फॉरवर्डर्स/सशर्त डीएनएस между ऑन-प्रेम ↔ क्लाउड।

नाम प्रारूप: एनकैप्सुलेट वातावरण/क्षेत्र ('api। eu1। आंतरिक। कॉर्प '), पीआईआई से बचें।

उदाहरण प्रविष्टि: 

api. internal. corp. A  10. 20. 30. 40 s3. bucket. corp. A  10. 100. 0. 25 # via private endpoint

7) इंटरकनेक्शन पैटर्न

पीयरिंग (VPC↔VPC/VNet↔VNet): सरल और तेज; पारगमन हमेशा समर्थित नहीं होता है - हब-एंड-स्पोक के लिए ट्रांजिट गेटवे/वर्चुअल वान/क्लाउड राउटर का उपयोग करें।

ऑन-प्रेम ⇄ क्लाउड: शुरू करने के लिए IPsec VPN, फिर BGP और बैकअप (दो प्रदाता, अलग-अलग प्रविष्टि बिंदु) के साथ लीज लाइन (DC/ER/IC)।

वीआरएफ/रूट-डोमेन विभाजन: प्रोड/स्टेज/देव और कार्ड परिधि का अलगाव।

8) जीरो ट्रस्ट और आंतरिक प्रमाणीकरण

mTLS-default (सेवा जाल: Istio/Linkerd/Consul), मशीन पहचान: SPIFFE/SPIRE।

L7 नीतियां: JWT/दावों/स्कोप द्वारा प्राधिकरण, प्रॉक्सी स्तर पर मार्गों/विधियों का प्रतिबंध।

रहस्य: HashiCorp Vault/КMS + बाहरी रहस्य ऑपरेटर; अल्पकालिक साख (एसटीएस)।

बैशन/विशेषाधिकार प्राप्त पहुंच: केवल एक ब्रोकर/जेआईटी सत्र (एमएफए, कमांड रिकॉर्डिंग) के माध्यम से प्रिवाटका तक पहुंच।

उदाहरण: दूत फ़िल्टर mTLS + JWT-authz (टुकड़ा)

yaml transport_socket:
name: tls typed_config: {... spiffe://svc. api... }
http_filters:
- name: envoy. filters. http. jwt_authn typed_config:
providers:
oidc: { issuer: https://idp. corp, audiences: ["api"], remote_jwks: {...} }
rules: [{ match: { prefix: "/v1" }, requires: { provider_name: oidc } }]

9) निजी के अंदर डेटा और PaaS

डेटाबेस/समूह: केवल निजी पते; गढ ़/JIT के माध्यम से व्यवस्थापक पैनल।

रिपॉजिटरी: निजी एंडपॉइंट के माध्यम से वीपीसी से पहुंच; समापन नीति केवल वांछित बाल्टी/कंटेनरों की अनुमति देती है।

कतारें/बसें: निजी इंटरफेस; उत्पादक/उपभोक्ता - एक ही वीपीसी/सहकर्मी में।

आर्टिफैक्ट रजिस्टर: निजी सबनेट पर सीआई/सीडी धावकों से निजी पहुंच।

10) निजी नेटवर्क में अवलोकन

OpenTelemetry कलेक्टर - एक टेलीमेट्री गेटवे के रूप में: आंतरिक निर्यातकों को स्व-होस्ट (प्रोमेथियस/टेम्पो/लोकी/क्लिकहाउस) या निजी एंडपॉइंट के माध्यम से प्रबंधित करने के लिए।

प्रवाह लॉग/एनएसजी/एनएसीएल लॉग और पहुंच विश्लेषक की आवश्यकता है।

SLO-स्लाइस: 'साइट/क्षेत्र/vpc/subnet', egress करने के लिए अलर्ट और एक अप्रत्याशित "इंटरनेट दिशा"।

11) परीक्षण और सत्यापन

नेटवर्क नियमों/इंग्रेस/सेवा के लिए कोड (ओपीए/गेटकीपर) के रूप में नीति।

कैनरी मार्ग: निजी डीएनएस में परीक्षण डोमेन, विभिन्न सबनेट/एजेड/क्षेत्रों से सिंथेटिक जांच।

अराजकता नेटवर्क: इंटर-वीपीसी/इंटर-एजेड (नेटम/टॉक्सिप्रॉक्सी), टाइमआउट चेक और रीट्री नीतियों में देरी/नुकसान।

12) कॉन्फ़िगरेशन उदाहरण

12. 1 टेराफॉर्म: लेबल और मार्ग (विचार)

hcl resource "aws_route_table" "app" {
vpc_id = aws_vpc. core. id tags = { Name = "rt-app", env = var. env, zone = "private" }
}
Route on PrivateLink endpoint (interface endpoint is created separately)
resource "aws_vpc_endpoint_route_table_association" "s3" {
route_table_id = aws_route_table. app. id vpc_endpoint_id = aws_vpc_endpoint. s3. id
}

12. 2 K8s नेटवर्किंग पॉलिसी: आपको जो चाहिए उसे छोड़ कर हर चीज से इनका

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata: { name: deny-all }
spec:
podSelector: {}
policyTypes: ["Ingress","Egress"]
kind: NetworkPolicy metadata: { name: allow-core }
spec:
podSelector: { matchLabels: { app: api } }
egress:
- to:
- namespaceSelector: { matchLabels: { ns: db } }
ports: [{ port: 5432, protocol: TCP }]
- to:
- ipBlock: { cidr: 10. 100. 0. 0/16 }  # private endpoints ports: [{ port: 443, protocol: TCP }]

12. 3 Nginx Ingress (आंतरिक योजना) + HSTS

yaml metadata:
annotations:
alb. ingress. kubernetes. io/scheme: internal nginx. ingress. kubernetes. io/hsts: "true"

13) एंटीपैटर्न

निजी उपनेट से सामान्य "प्रबंधन-इंटरनेट"; Egress नियंत्रण की कमी।

स्प्लिट-ब्रेन डीएनएस और यादृच्छिक मैनुअल '/etc/hosts '।

CIDR और "NAT घोंसले के शिकार गुड़िया।"

डेटाबेस/भंडारण के लिए सार्वजनिक समापन बिंदु "सुविधा के लिए।"

कोई प्रवाह लॉग/नियम ऑडिट नहीं; "ओपन" एसजी '0। 0. 0. 0/0`.

कोड/सीआई में लंबे समय तक स्थैतिक पहुंच कुंजी।

14) लागत और प्रदर्शन

निजी समापन बिंदु अक्सर स्थायी NAT egress और सुरक्षित की तुलना में सस्ते होते हैं।

अड़ चन पैदा करने से बचने के लिए बैंडविड्थ के लिए अनुसूची NAT क्लस्टर/az-local।

कैश/एज और एसडब्ल्यूआर क्रॉस-रीजनल ट्रैफिक को कम करते हैं।

प्रोटोकॉल की पसंद: के अंदर - कम कनेक्शन और टीएलएस ओवरहेड हैं।

15) आईगेमिंग/वित्त की विशिष्टताएं

पीसीआई डीएसएस: एक अलग नेटवर्क/वीआरएफ में कार्ड सर्किट (सीडीई), कोई इंटरनेट नहीं; केवल निजी एंडपॉइंट द्वारा स्टोर/पीएसपी लॉग तक पहुंच; अपरिवर्तनीय ऑडिट (WORM/ऑब्जेक्ट लॉक)।

केएमएस/वॉल्ट: कुंजी प्रति क्षेत्र/ब्रांड विभाजित; हस्ताक्षर संचालन (एचएसएम) केवल एमटीएलएस पर सीडीई से उपलब्ध हैं।

पीएसपी/केवाईसी: यदि निजी कनेक्टिविटी/बाजार - उपयोग है; अन्यथा, HMAC/mTLS और स्पष्ट ऑलोविस्ट के साथ एक विश्वसनीय प्रॉक्सी के माध्यम से egress।

मल्टी-टेनेंसी: 'किरायेदार '/' ब्रांड' द्वारा टैग और नीतियां; अलग-अलग निजी डीएनएस नाम और एसजी परतें।

16) प्रोड रेडीनेस चेकलिस्ट

  • चौराहों के बिना CIDR योजना; डुअल-स्टैक रेडी (IPv6)।
  • हब-एंड-स्पोक, ट्रांजिट, पीयरिंग; ऑन-प्रेम ⇄ क्लाउड - बीजीपी, बैकअप लिंक जोड़े।
  • सभी PaaS/स्टोरेज/DB - निजी एंडपॉइंट + एंडपॉइंट पॉइंट नीतियों के माध्यम से।
  • आंतरिक एलबी/इंग्रेस; सार्वजनिक परिधि - केवल किनारे/WAF पर।
  • स्प्लिट-क्षितिज डीएनएस, निजी क्षेत्र, और सशर्त-अग्रेषण कॉन्फ़िगर किए गए हैं।
  • एग्रेस डिफ़ॉल्ट रूप से "इनकार" है; NAT/प्रॉक्सी प्रतिबंधित और लॉग किए गए हैं।
  • मेश mTLS + SPIFFE; L7 पर JWT-authz; तिजोरी/ईएसओ, छोटे रहस्य।
  • नेटवर्कपॉलिसी/एसजी/एनएसीएल - "न्यूनतम आवश्यक", प्रवाह-लॉग और पहुंच-विश्लेषण।
  • ओटेल कलेक्टर अंदर; Egress, SLO को 'साइट/क्षेत्र/vpc' द्वारा अलर्ट करता है।
  • पीसीआई/ऑडिट: WORM लॉग, KMS/HSM, CDE अलगाव, एक्सेस रनबुक।

17) टीएल; डीआर

एक स्पष्ट CIDR योजना के साथ एक हब-और-स्पोक नेटवर्क का निर्माण करें, प्रत्येक PaaS/भंडारण/डेटाबेस के लिए निजी समापन बिंदुओं का उपयोग करें, और केवल प्रबंधित egress बिंदुओं के माध्यम से बाहर। अंदर - आंतरिक एलबी/इंग्रेस, एमटीएलएस + एसपीआईएफएफई, स्प्लिट-क्षितिज डीएनएस, सख्त नेटवर्कपॉलिसी/एसजी और ओटीएल के माध्यम से टेलीमेट्री। आईगेमिंग/वित्त के लिए, पीसीआई विभाजन, केएमएस/वॉल्ट और अपरिवर्तनीय ऑडिटिंग जोड़ें; निजी चैनलों या कसकर नियंत्रित प्रॉक्सी के माध्यम से पीएसपी/केवाईसी आउटपुट।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

Telegram
@Gamble_GC
इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।