Сегментація мережі
Мікросегментація, NSG rules, Azure Firewall, VLAN isolation та DMZ-архітектура для AI-розробки
📎ОФІЦІЙНА ДОКУМЕНТАЦІЯ
Сегментація мережі
Мережева сегментація -- ключовий компонент Zero Trust. Замість плоскої мережі, де скомпрометований хост має доступ до всього, мікросегментація обмежує латеральний рух зловмисника.
Мікросегментація
Принципи
Сегментація для AI-розробки
| Сегмент | Призначення | Доступ |
|---|---|---|
| Dev Network | Розробка з AI-інструментами | Internet (обмежений), Git |
| AI Services | AI API endpoints | Dev Network, через proxy |
| Build Network | CI/CD pipeline | Dev Network (read), Production (deploy) |
| Data Network | Бази даних, сховища | Application servers only |
| Management | Admin tools, monitoring | Jumpbox, VPN only |
| Production | Live services | Load balancer, через firewall |
Network Security Groups (NSG)
Базові правила NSG для AI-dev
# Inbound Rules для Dev Subnet
Priority Source Dest Port Action
100 VPN-subnet Dev-subnet 22,3389 Allow # SSH/RDP через VPN
200 Dev-subnet Dev-subnet * Allow # Dev-to-dev
300 Any Dev-subnet 443 Allow # HTTPS in
65000 Any Dev-subnet * Deny # Default deny
# Outbound Rules для Dev Subnet
Priority Source Dest Port Action
100 Dev-subnet Git-servers 443 Allow # GitHub/GitLab
200 Dev-subnet AI-proxy 443 Allow # AI через proxy
300 Dev-subnet NPM-proxy 443 Allow # Package registries
400 Dev-subnet DNS 53 Allow # DNS
500 Dev-subnet Any * Deny # Default deny
Правило "default deny" для outbound трафіку є критичним для AI-розробки. Це запобігає передачі коду та даних на несанкціоновані AI-сервіси.
Azure Firewall
Налаштування для AI-трафіку
Azure Firewall забезпечує L7-фільтрацію:
| Правило | FQDN | Порт | Дія |
|---|---|---|---|
| GitHub | github.com, api.github.com | 443 | Allow |
| npm | registry.npmjs.org | 443 | Allow |
| AI Proxy | ai-proxy.internal.com | 443 | Allow |
| Microsoft | *.microsoft.com | 443 | Allow |
| Everything else | * | * | Deny + Log |
Threat Intelligence
Azure Firewall підтримує threat intelligence-based filtering:
- Автоматичне блокування відомих malicious IP
- Інтеграція з Microsoft Threat Intelligence
- Алертинг на підозрілий трафік
VLAN Isolation
Архітектура VLAN для розробки
| VLAN | ID | Subnet | Призначення |
|---|---|---|---|
| Dev | 10 | 10.1.10.0/24 | Робочі станції розробників |
| Build | 20 | 10.1.20.0/24 | CI/CD runners |
| Staging | 30 | 10.1.30.0/24 | Staging servers |
| Data | 40 | 10.1.40.0/24 | Databases |
| Mgmt | 50 | 10.1.50.0/24 | Management tools |
| AI | 60 | 10.1.60.0/24 | AI services (local models) |
Inter-VLAN routing
Контролюйте трафік між VLAN через firewall:
- Dev -> Build: дозволено (push code)
- Dev -> Staging: дозволено (testing)
- Dev -> Data: заборонено (через application layer only)
- Dev -> AI: дозволено (через proxy)
- Build -> Production: через approval gate
DMZ Architecture
DMZ для AI-сервісів
Internet
|
[WAF / Load Balancer]
|
--- DMZ ---
|
[Reverse Proxy / API Gateway]
|
--- Internal ---
|
[AI Services] --- [Application Servers]
| |
[Model Store] [Database]
Правила DMZ
- Зовнішній трафік потрапляє лише в DMZ
- DMZ може звертатися лише до визначених internal-сервісів
- Internal-сервіси не мають прямого доступу до Internet
- Весь трафік логується та моніториться
Private Endpoints
Для Azure-сервісів використовуйте Private Endpoints:
- Azure OpenAI -- Private Endpoint для AI API
- Azure Storage -- Private Endpoint для моделей та даних
- Azure Key Vault -- Private Endpoint для секретів
- Azure Container Registry -- Private Endpoint для images
Private Endpoints забезпечують доступ до Azure-сервісів через приватну мережу, без проходження через Internet. Це критично для AI-сервісів, що обробляють конфіденційні дані.
Див. також
VPN, proxy та блокування Internet
Основи архітектури Zero Trust
Мережевий моніторинг та SIEM