Sieci on-prem, VPN i tunelowanie
Sieć on-premise rządzi się innymi prawami niż chmura — to fizyczne i logiczne segmenty, zapory sprzętowe i połączenia VPN. Zrozumienie segmentacji i tunelowania jest kluczowe dla bezpiecznego dostępu, w tym dla modelu, jakim ZEUS łączy się ze środowiskiem klienta.
Segmentacja: VLAN i strefy
Sieć centrum danych dzieli się na VLAN-y (logiczne segmenty) i strefy bezpieczeństwa:
| Strefa | Zawartość | Reguła |
|---|---|---|
| DMZ | serwery wystawione na zewnątrz | ścisła kontrola in/out |
| Aplikacyjna | warstwa serwerów app | dostęp tylko z DMZ/wewnątrz |
| Danych | bazy, storage | dostęp tylko z warstwy app |
| Zarządzania | DC, vCenter, monitoring | dostęp tylko z jump hostów |
Segmentacja ogranicza ruch boczny (lateral movement) — atakujący, który przejmie jeden host, nie dosięgnie od razu krytycznych systemów. To jedna z kontroli, które ZEUS ocenia w modelu zagrożeń.
VPN site-to-site
VPN site-to-site (IPsec) łączy sieć on-prem z chmurą (Azure VPN Gateway, AWS VPN, GCP Cloud VPN) przez szyfrowany tunel po publicznym internecie. To podstawa hybrydy — ale wymaga zarządzania kluczami i politykami szyfrowania.
Tunelowanie SSH
Tunel SSH przekierowuje ruch TCP przez szyfrowane połączenie SSH. Trzy tryby:
# Local forward: lokalny port -> usługa zdalna przez bastion
ssh -L 8443:vcenter.internal:443 user@bastion.firma.pl
# Remote (reverse) forward: usługa lokalna wystawiona na zdalnym hoście
ssh -R 2222:localhost:22 user@host-zewnetrzny
# Dynamic: SSH jako proxy SOCKS
ssh -D 1080 user@bastion.firma.pl
Reverse tunnel (-R) jest szczególnie ważny: pozwala hostowi za NAT/firewall
samemu zainicjować połączenie wychodzące i wystawić usługę bez otwierania
żadnego portu przychodzącego w zaporze.
Wskazówka: reverse tunnel wymaga tylko jednego połączenia wychodzącego na porcie 443/22 — nie trzeba otwierać firewalla "do środka". To czyni go idealnym, bezpiecznym modelem dostępu dla narzędzi zewnętrznych.
Bezpieczne praktyki dostępu
- jump host / bastion zamiast bezpośredniego dostępu do serwerów,
- klucze SSH zamiast haseł, z passphrase,
- ograniczenie tuneli do konkretnych portów (
PermitOpen), - logowanie i audyt sesji administracyjnych.
Jak to widzi ZEUS
ZEUS on-prem celowo unika otwierania portów przychodzących w sieci klienta. Lekki agent/collector wdrożony wewnątrz sieci nawiązuje wychodzące połączenie reverse-SSH do punktu kontrolnego ZEUS-a, tworząc szyfrowany kanał. Przez ten tunel ZEUS odpytuje (read-only) AD/LDAP, vCenter i hosty Windows — bez modyfikowania zapory klienta i bez wystawiania czegokolwiek do internetu. Pełną mechanikę omawiamy w lekcji 06.
W następnej lekcji: hybryda — Azure Arc i łączenie środowisk.