Сиёсатҳои Firewall ва ACL

1) Ҳадафҳо ва принсипҳо

• Имтиёзи камтарин: танҳо иҷозат додан лозим аст (иҷозати возеҳ, рад кардани номуайян).
• Сегментатсия: ҷудокунии муҳитҳо (prod/stage/dev), иҷорагирон, контурҳои интиқодӣ (PCI/KMS/DB).
• Назорати Egress: трафики берунӣ бо рӯйхати FQDN/IP ва нуқтаҳои ниҳоии хусусӣ маҳдуд аст.
• Шиносоӣ бо шахсият (L7): Қарорҳо аз ҷониби шахси тасдиқшуда қабул карда мешаванд (SPIFFE/OIDC), на танҳо IP.
• Инфрасохтор ҳамчун Кодекс: қоидаҳо ҳамчун рамз, баррасӣ/CI/CD, тағироти аудит.

2) Таксономия: дар куҷо ва чӣ мо филтр мекунем

2. 1 Қабат ва ҳолат

L3/L4 бешаҳрвандӣ: ACL-ҳои классикӣ (CIDR, протокол, порт).
L3/L4 давлатӣ: гурӯҳҳои амниятӣ/NSG, пайвандҳоро назорат кунед.
L7-aware: proxy/WAF/mesh RBAC (усулҳо, роҳҳо, JWT-даъвоҳо, SNI).
Inline vs берун аз банд: Хатсайрҳои хатсайрҳои Inline; берун аз банд - таҳлил/ҳушдор.

2. 2 Контур

Периметри: канор/WAF/Anti-DD.
Core: маркази транзитӣ/ме.-VPC/VN et.
Сарбории корӣ: SG/NSG na VM/ENI/POD.

Сатҳи барнома: Envoy/Istio/NGINX сиёсат, хидматрасонӣ ба хидматҳои m

3) Моделҳои абрӣ

AWS

Гурӯҳи Амният (SG): штатӣ на ENI/мисол/LB.
Шабакаи ACL (NACL): бешаҳрвандӣ дар зершабақаҳо, тартиби қоидаҳо, вурудоти дуҷониба.
AWS Network Firewall/GWLB: Санҷиши L7/IDS.
Тавсия: "SG - назорати асосӣ, NACL - деворҳои доғдор/рӯйхати радкунӣ".

Азур

NSG (давлатӣ), ASG (гурӯҳҳои барномавӣ аз рӯи барчасп), Azure FW барои L7/IDS, Нуқтаҳои хусусӣ.
Тавсия: NSG on sabnet + NIC, барчаспҳои хидматӣ тавассути ASG.

GCP

Қоидаҳои VPC Firewall (давлатӣ), FW иерархикӣ (ташкилӣ/папка), Cloud Armor (L7), Хадамоти хусусӣ Connect.
Тавсия: Гвардияи сатҳи org + иҷозат барои лоиҳа.

4) Тарҳи қоида: Намунаҳо

4. 1 Маҷмӯи асосӣ

Ҳама egress → -ро, ки тавассути FQDN/IP иҷозат дода шудааст, рад кунед: анборҳои партия, регистрҳои артефакт, API-ҳои тарафи сеюм (тавассути баромади хусусӣ/собит).
Ҳадди аққали Шарқу Ғарб: хидматҳо танҳо бо вобастагии зарурӣ иртибот доранд.
Дастрасии маъмурӣ: тавассути bastion/JIT бо ВКХ, ҷаласаҳои сабт.

4. 2 Барчаспҳо ва гурӯҳҳо

Нишонаҳо/барчаспҳоро ба ҷои IP истифода баред: 'env', 'service', 'tier', 'иҷорагир', 'pci = true'.
Сиёсати навсозӣ ҳангоми тағир додани теги - таҳрири дастии шабакаҳои IP нест.

4. 3 Давраи зиндагӣ

Пешниҳод кунед → Баҳодиҳӣ (саҳна) → Иҷрои (prod), бо гузоришҳои хушк/хит.
Пиршавӣ: TTL/соҳиби ҳар як қоида, санҷиши худкори истифоданашуда.

5) Кубернетҳо ва фикрию хидматӣ

5. 1 Сиёсати шабакавӣ (L3/L4)

Ҳадди аққал "ҳама чизро манъ кунед, ба ҷуз он чизе ки лозим аст".

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata: { name: deny-all, namespace: core }
spec:
podSelector: {}
policyTypes: ["Ingress","Egress"]
kind: NetworkPolicy metadata: { name: api-egress }
spec:
podSelector: { matchLabels: { app: api } }
egress:
- to:
- namespaceSelector: { matchLabels: { ns: db } }
ports: [{ protocol: TCP, port: 5432 }]
- to:
- ipBlock: { cidr: 10. 100. 0. 0/16 } # Private endpoints ports: [{ protocol: TCP, port: 443 }]

5. 2 L7 RBAC v тор (Истио/Фиристанда)

MTLS + JWT авторизатсия/даъвоҳо/миқёс/роҳҳо.

yaml apiVersion: security. istio. io/v1 kind: AuthorizationPolicy metadata: { name: api-rbac }
spec:
selector: { matchLabels: { app: api } }
rules:
- from:
- source:
principals: ["spiffe://svc. payments"]
to:
- operation: { methods: ["POST"], paths: ["/v1/payouts"] }
when:
- key: request. headers[x-tenant]
values: ["eu-1","eu-2"]

6) Назорати egress ва периметрҳои хусусӣ

Афзалияти хадамоти хусусӣ/хусусӣ тавассути PAA/registers/repositories.
Қисми боқимондаи egress тавассути NAT/прокси бо рӯйхати allowlist FQDN ва IP-и собит (барои рӯйхати шахсони сеюм).
Бастани дастрасии мустақими подкастҳо/VM ба Интернет; истисноҳо танҳо тавассути дарвозаи egress.

7) Қоидаҳои DNS ва SNI-огоҳӣ

Тақсимшавӣ: Минтақаҳои дохилӣ аз берун ҳал намешаванд.
FW/Proxy бо дастгирии FQDN/SNI барои баромади HTTPS (SNI иҷозат).
Пиндоркуниро ба доменҳои мушаххаси фурӯшанда ислоҳ кунед; тағиротро дар IP-и худ назорат кунед.

8) Гузоришҳо, аудит, мушоҳида

Гузоришҳои ҷараёнро фаъол созед (VPC/VN-et/NSG/NACL), ба SIEM фиристед.
Бо барномаҳо тавассути 'trace _ id' дар гузоришҳо робита кунед.
Нишондиҳандаҳо: қоидаҳои хит/пазмон, баландгӯякҳо, тарки нархҳо, асимметрияи трафик, ихроҷи egress.
Гузоришҳо: "қоидаҳои истифоданашуда", "иҷозатномаҳои васеъ".

9) Идоракунӣ ҳамчун рамз (Ia-C) ва чекҳо

Terraform/Formation Cloud + сиёсати модулӣ аз рӯи қолабҳо.
Сиёсат ҳамчун Кодекс (OPA/Gatekeeper/Confestest): не '0. 0. 0. 0/0 ', талабот' тавсиф/соҳиб/ttl ', манъи омезиши prod/dev.
CI: линт, таҳлили статикӣ, таҳлилгари дастрасӣ, назари нақша, баррасии ҳатмии ҳамсолон.

10) Озмоиши дастрасӣ ва бетартибӣ

Намунаҳои синтетикӣ аз зершабақаҳои гуногун/AZ/минтақаҳо: TCP/443, бандарҳои мушаххаси пойгоҳи додаҳо/брокерҳо.
Рад кардани муваққатии санҷиши роҳҳои DR: ғайрифаъол кардани § вобастагӣ бояд дубора/гардиш/бознишастагиро ба вуҷуд орад.
MTU/MSS: Боварӣ ҳосил кунед, ки дар периметрҳо фрагментатсия вуҷуд надорад (алахусус IP/sec/NAT-T).

11) Иҷро ва эътимоднокӣ

Аз мушкилии мутамарказ канорагирӣ кунед: Миқёси inline-FW (маҷмӯи GWLB/миқёс).
ECMP/AS-path/BGP барои тақсимоти байни марказҳо.
Профилҳои санҷиши TLS: нуқта (гарон), чопҳои калидиро дар алоҳидагӣ нигоҳ доред, мувофиқат кунед.

12) Намунаҳои конфигуратсияҳо (истинодҳо, мухтасар)

12. 1 AWS SG: API → Postgres + S3 хусусӣ

hcl resource "aws_security_group" "api" {
name    = "sg-api"
description = "Ingress from ALB, egress to DB and PrivateLink"
vpc_id   = var. vpc_id

ingress { from_port=8080 to_port=8080 protocol="tcp" security_groups=[aws_security_group. alb. id] }
egress { from_port=5432 to_port=5432 protocol="tcp" security_groups=[aws_security_group. db. id] }
egress { from_port=443 to_port=443 protocol="tcp" prefix_list_ids=[aws_vpc_endpoint. s3. prefix_list_id] }
tags = { owner="team-api", env=var. env, ttl="2026-01-01" }
}

12. 2 Azure NSG: рад кардан аз рӯи пешфарз + иҷозат додан

bash az network nsg rule create -g rg -n allow-bastion --nsg-name nsg-app \
--priority 100 --direction Inbound --access Allow --protocol Tcp \
--source-address-prefixes 10. 0. 0. 10 --source-port-ranges "" \
--destination-port-ranges 22 --destination-address-prefixes 10. 1. 0. 0/16

12. 3 девори иерархии GCP: org-guardrail

yaml direction: INGRESS priority: 1000 action: deny enableLogging: true match:
layer4Configs: [{ ipProtocol: "all" }]
srcIpRanges: ["0. 0. 0. 0/0"]
targetResources: ["organizations/123456"]

12. 4 Фиристодаи RBAC (иҷозат L7)

yaml
- name: envoy. filters. http. rbac typed_config:
rules:
action: ALLOW policies:
payments-post:
permissions: [{ url_path: { path: "/v1/payouts", ignore_case: true } }]
principals: [{ authenticated: { principal_name: { exact: "spiffe://svc. payments" } } }]

13) Антипаттернҳо

`0. 0. 0. 0/0 'дар ingress/egress "муваққатан" → то абад боқӣ мемонад.
"Барфҳои барфӣ" (таҳрири дастӣ дар консол) бидуни рамз ва таҷдиди назар.
SG/NSG умумӣ барои prod/stage/dev; омезиши зергурӯҳҳои интиқодӣ ва ғайри интиқодӣ.
Набудани назорати egress ва нуқтаҳои ниҳоии хусусӣ → калидҳои ифлос/сирри баромад.
Нодида гирифтани DNS/SNI: ба IP-и таъминкунанда иҷозат дод - фардо он тағир ёфт ва тамоми диапазон кушода шуд.
Гузоришҳои ҷоришаванда вуҷуд надоранд ва дафтарҳои runbook марҳила ба марҳила ғайриимкон аст.

14) Хусусиятҳои IGaming/Finance (PCI/танзимкунанда)

PCI CDE дар алоҳидагӣ VRF/сегмент, интернет нест; дастрасӣ ба PSP/журналҳо - тавассути пайвасти хусусӣ/прокси бо m-TLS ва HMAC.
Резидентураи маълумот: чорабиниҳои PII/пардохт - дар дохили кишвар/минтақа; байниминтақавӣ - танҳо агрегатҳо/беном.

KMS/Vault/HSM: зершабақаҳои инфиродӣ/SG, танҳо муштариёни m

Аудити WORM: Сабтҳои FW/ҷараён дар нигаҳдории бетағйир (Object Lock), нигоҳдорӣ ≥ ҳадди аққали танзим.
Шарикон (PSP/KYC): Рӯйхати allowlist FQDN, IP статикӣ, мониторинги SLA аз ҷониби провайдер.

15) Рӯйхати санҷиши омодагии Prod

• Модели ягонаи сегментатсия (ҳаб-сухан, VRF), CIDR бидуни буриш.
• Рад кардани пешфарз на egress; нуқтаҳои хусусӣ ба PAA/нигаҳдорӣ.
• SG/NSG барои сарбории корӣ, NACL/route-filters - дар зершабақаҳо/марказҳо.
• K8s: NetwORK Policy "инкор-ҳама", фикрию MTLS + L7 RBAC.
• Барчаспҳо/гурӯҳҳо ба ҷои IP; соҳиб/TTL/тавсиф барои ҳар як қоида.
• IA + Policy-as-Code; CI бо моделиронии дастрасӣ; баррасии ҳатмии ҳамсолон.
• Гузоришҳои ҷараён фаъол шуданд; панелҳои болоӣ, нархҳо; ҳушдор медиҳад, ки "ихроҷи egress".
• Бастион/JIT барои дастрасии маъмурон; ВКХ; ҷаласаҳои сабти ном.
• Дафтарчаи корӣ 'ва: чӣ гуна илова/нест кардани қоида, чӣ гуна дар ҳодиса кор кардан; таҷдиди мунтазами қоидаҳои "мурда".
• Барои PCI/Молия: ҷудокунии CDE, аудити WORM, FQDN-иҷозат барои PSP/KYC, статикӣ IP.

16) TL; ДР

Муҳофизатро аз рӯи қабатҳо созед: SG/NSG дар сарбории корӣ, NACL/филтрҳои масир дар зергурӯҳҳо, L7 RBAC дар тор/прокси, WAF/канори периметр. Бо нобаёнӣ - рад кардани пешфарз, egress танҳо тавассути нуқтаҳои назоратшаванда ё нуқтаҳои ниҳоӣ. Қоидаҳоро ҳамчун рамз тавсиф кунед, онҳоро бо сиёсатҳо ва тренажерҳои дастрасӣ санҷед, гузоришҳои ҷараёнро ҷамъ кунед. Барои IGaming/Finance, сегментатсияи PCI, аудити WORM ва FQDN-и қатъиро ба PSP/KYC илова кунед.