Блок 1. Фундамент архитектурного подхода Сетевая сегментация: первый архитектурный контроль Слайд 4 / 15
ИНТЕРНЕТ (INTERNET — нулевое доверие) DMZ (Демилитаризованная зона) Веб-серверы, прокси КОРПОРАТИВНАЯ (CORPORATE) Рабочие места сотрудников УПРАВЛЯЮЩАЯ (MANAGEMENT) Jump-серверы, PAW (Privileged Access Workstation / рабочая станция привилегированного доступа) ПРОДУКТИВНАЯ (PRODUCTION) DB, критичные данные OT/ICS (операционные технологии) промышленные системы ФЗ-187 Диод данных (Data Diode)
Сетевая архитектура предприятия — пример сегментации
БЕЗ СЕГМЕНТАЦИИ (плоская сеть)
Фишинг открыт менеджером → через 4 часа атакующий в Production DB. Нет контуров на пути. Любой инцидент = масштабный.
С СЕГМЕНТАЦИЕЙ
Фишинг в Corporate → атакующий ищет путь в Management → каждый шаг = алерт → изоляция за 30 минут до Production.
FIREWALL-ПРАВИЛА МЕЖДУ ЗОНАМИ
CorporateManagementТолько через jump-сервер + MFA + сессионная запись
ManagementProductionТолько по утверждённому доступу по запросу (JIT — Just-In-Time / точно в срок)
DMZCorporateТолько определённые приложения через прокси + DPI (Deep Packet Inspection / глубокая инспекция пакетов)
ПАРАЛЛЕЛЬ: ФИЗИЧЕСКАЯ ОХРАНА
Внешний забор → рецепция с пропуском → корпоративный этаж → специальные зоны (бухгалтерия, серверная) → хранилище с двойным контролем.
Каждая зона имеет свои правила входа. Внешний охранник не имеет доступа в хранилище. Сотрудник бухгалтерии не имеет доступа в серверную.
В цифровой инфраструктуре это называется сегментацией. Принцип идентичный.
Плоская сеть, главный архитектурный грех. Сегментация, дешёвый (требует только грамотной конфигурации) и мощный (блокирует латеральное перемещение / lateral movement) контроль. Если ваша компания сегодня имеет плоскую сеть, любой инцидент будет масштабным. Это первое, о чём спрашивать CISO (Chief Information Security Officer / руководитель ИБ).
Лекция 10. Архитектурное планирование и выбор средств защиты Блок 1 / Слайд 4