Мережеві обмеження
VPN конфігурації, proxy servers, allowlists/denylists, повне відключення від інтернету та мережевий моніторинг
📎ОФІЦІЙНА ДОКУМЕНТАЦІЯ
Мережеві обмеження
Контроль мережевого доступу -- фундаментальний елемент Zero Trust. Від VPN до повного відключення від інтернету -- кожний рівень обмеження має свої сценарії використання.
VPN Configurations
Типи VPN для розробки
| Тип | Використання | Особливості |
|---|---|---|
| Site-to-Site | Підключення офісу до cloud | Постійне з'єднання, IPSec |
| Point-to-Site | Віддалені розробники | Per-user з'єднання, client VPN |
| Split Tunnel | Лише корпоративний трафік через VPN | Зменшує навантаження, але менш безпечний |
| Full Tunnel | Весь трафік через VPN | Максимальний контроль, вищий latency |
| Always-On | Автоматичне підключення | Device management через Intune |
Рекомендована конфігурація
Для AI-розробки рекомендується Full Tunnel VPN з Conditional Access. Це забезпечує повний контроль над трафіком до AI-сервісів.
Політика VPN для AI-розробників:
- Тип: Full Tunnel (Always-On через Intune)
- Автентифікація: Certificate + MFA
- Routing: Весь трафік через corporate proxy
- DNS: Internal DNS servers only
- Kill switch: Блокування трафіку при розриві VPN
Proxy Servers
Forward Proxy для AI-трафіку
Proxy дозволяє контролювати, які AI-сервіси доступні:
| Proxy | Тип | Особливості |
|---|---|---|
| Squid | HTTP/HTTPS | Open source, гнучка конфігурація |
| Zscaler | Cloud proxy | SaaS, DLP, threat protection |
| Palo Alto Prisma | Cloud proxy | ZTNA, CASB |
| Azure Firewall | Cloud | L7 filtering, threat intelligence |
Конфігурація allowlist для AI-сервісів
# Squid proxy - allowlist для AI-розробки
acl ai_allowed dstdomain .github.com
acl ai_allowed dstdomain .githubusercontent.com
acl ai_allowed dstdomain api.openai.com
acl ai_allowed dstdomain api.anthropic.com
acl ai_allowed dstdomain registry.npmjs.org
acl ai_allowed dstdomain pypi.org
acl ai_blocked dstdomain .chatgpt.com # Прямий ChatGPT заблокований
acl ai_blocked dstdomain .bard.google.com
http_access allow ai_allowed
http_access deny ai_blocked
http_access deny all # Default deny
Allowlists / Denylists
Стратегії фільтрації
Категорії для allowlist AI-розробки
| Категорія | Домени | Обґрунтування |
|---|---|---|
| Git | github.com, gitlab.com | Source control |
| Package Registries | npmjs.org, pypi.org | Залежності |
| Approved AI | api.anthropic.com, api.openai.com | AI через proxy |
| Documentation | docs.microsoft.com, developer.mozilla.org | Документація |
| CI/CD | actions.github.com | Pipeline |
Сценарії повного відключення від інтернету
Air-Gapped Development
Для максимальної безпеки -- повне відключення від інтернету:
Переваги:
- Неможливість витоку даних через мережу
- Захист від зовнішніх атак
- Повний контроль над кодом
Виклики:
- Потрібні локальні AI-моделі (Ollama, LM Studio)
- Локальні дзеркала package registries
- Фізична передача оновлень
- Складніше оновлення залежностей
Мінімальний набір для air-gapped AI-розробки
- Локальна LLM -- Ollama з завантаженими моделями
- Package mirror -- Verdaccio / Nexus з pre-loaded пакетами
- Git server -- Gitea або GitLab self-hosted
- CI/CD -- Jenkins або GitLab CI (self-hosted)
- SAST -- SonarQube self-hosted
- Documentation -- локальна wiki
Air-gapped розробка значно обмежує продуктивність. Використовуйте цей підхід лише коли це вимагається рівнем класифікації даних або compliance.
Мережевий моніторинг
Що моніторити
| Метрика | Алерт |
|---|---|
| Незнайомі DNS-запити | Спроба обійти proxy |
| Великі outbound transfers | Потенційний data exfiltration |
| З'єднання до IP без DNS | C2 або tunneling |
| Трафік на нестандартних портах | Bypass proxy/firewall |
| Зашифрований трафік до невідомих хостів | Потенційно malicious |
Інструменти моніторингу
- Zeek (Bro) -- мережевий аналіз та логування
- Suricata -- IDS/IPS з AI-detection
- ntopng -- real-time traffic analysis
- Azure Network Watcher -- cloud мережевий моніторинг
Див. також
NSG, VLAN та мікросегментація
AI без інтернету з Ollama та LM Studio
Air-gapped передача артефактів