Исходное сообщение
"Выпуск системы обнаружения атак Suricata 7.0 " Отправлено безопасник, 20-Июл-23 18:35
Палю алгоритм близкой к 100% защите. 1. забудьте про существование любых локальных сетей, в 2023 любоая локальная сеть по факту публичная и настроено в ней должно быть все точно так же как если бы торчало в интернеты. 2. Ипсользуйте нормальный дистрибутив который следит и обновляет все сесюрити rhelклоны дебиан/убунта альпина etc. Обновляйтесь сразу как только обновление вышло, имейте способ безболезненного отката. Обновление безопасности всегда ставится по логике сначала ставим потом думаем, никакого предварительного тестирования быть тут не может, время ваш враг. 2. Используйте изоляцию на уровне приложений полный контроль любого вашего приложения не должен позволять сделать ничего за пределами функций этого приложения. Дистролесс контейнеры в k8s это хорошая идея. Но пакетированые приложения и SElinux еще лучше. 3. Используте изоляцию на уровне хостов, поный контроль хоста не должен данить ничего дополнительного, только то что хост мог делать в нормальном режиме работы. 4. Торчите свое приложение по возможности только по http и ws. Подумайте 50 раз прежде чем обабатывать сырые пакеты tcp/udp своими приложениями. 5. Любое изменение в инфре, коде и прочем должно быть санкционировано аппаратным ключем который нельзя скопировать независимо от того сделано оно человеком или роботом. Вместо снортов и сурикатов ваш трафик понюхает за вас AWS.