Как разрешить исходящие соединения только для обновлений

Alex

21.07.2023, 15:41

У меня есть сеть с несколькими виртуальными машинами, на которых размещены приложения в основном для внутреннего использования, но они также доступны в Интернете через Traefik. Поскольку существует вероятность того, что один из них в конечном итоге будет взломан, кажется хорошей идеей заблокировать прямые исходящие соединения для виртуальных машин. Но я хочу иметь возможность запускать обновления, поэтому мне нужен способ разрешить исходящие подключения для обновлений. Моя текущая идея состоит в том, чтобы установить прокси-сервер (вероятно, Squid), настроить виртуальные машины для использования этого прокси для обновлений и запретить все прямые исходящие соединения для виртуальных машин в брандмауэре. Поскольку я не ИТ-специалист, я хотел бы получить отзывы об этой идее. Спасибо.

0 + 0

линукс

жесткий диск

виртуальные машины

linux-сеть

сетевая безопасность

Bob

21.07.2023, 16:07

Это действительно общепринятая схема безопасности инфраструктуры, и она вполне жизнеспособна.

Ответить

djdomi

21.07.2023, 17:56

просто удалите шлюз по умолчанию. более того, учитывая его дистрибутив на основе Debian, вы можете использовать apt-cacher-ng и установить его в качестве прокси. вот как я делаю.

Ответить

Рейтинг:1

Server

Mahmoud Nouman

25.07.2023, 08:24

Что вам нужно сделать, это:

Соберите список веб-сайтов или доменов, с которыми серверы должны взаимодействовать.
Установите Squid, настройте его ACL так, чтобы он принимал соединения только с ваших серверов И к уже собранному списку веб-сайтов.
Настройте свои серверы для связи со Squid и запретите им прямой доступ в Интернет.
Отслеживайте журналы Squid на наличие других веб-сайтов, с которыми серверы могут пытаться взаимодействовать, но вы не добавили их в список.

0 + 0

Admin

Этот вопрос на других языках:

EN: How to allow outbound connections only for updates

TH: วิธีอนุญาตการเชื่อมต่อขาออกสำหรับการอัพเดทเท่านั้น

RO: Cum să permiteți conexiunile de ieșire numai pentru actualizări

RU: Как разрешить исходящие соединения только для обновлений

VI: Cách chỉ cho phép kết nối ra bên ngoài đối với các bản cập nhật

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.