[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"question-setevaya-bezopasnost-chto-takoe-setevaya-segmentatsiya-i-zachem-ona-nuzhna":3},{"id":4,"slug":5,"topicId":6,"topicSlug":7,"topicName":8,"topicEmoji":9,"question":10,"answer":11,"codeLang":12,"codeSrc":12,"important":12,"commonMistakes":12,"modernUsage":12,"difficulty":13,"tags":14,"related":16,"progress":17,"seo":18},857,"chto-takoe-setevaya-segmentatsiya-i-zachem-ona-nuzhna",24,"setevaya-bezopasnost","Сетевая безопасность","🔒","Что такое сетевая сегментация и зачем она нужна?","Сетевая сегментация — разделение сети на изолированные сегменты (подсети), между которыми трафик контролируется файрволами и маршрутизаторами. Это фундаментальный принцип безопасности, ограничивающий распространение атаки при компрометации одного сегмента.\n\n### Зачем нужна сегментация\n\n1. Ограничение blast radius — при компрометации одного сервиса злоумышленник не получает доступ ко всей сети\n2. Соответствие PCI DSS — данные карт должны обрабатываться в изолированном сегменте (CDE)\n3. Разграничение сред — production, staging, development изолированы друг от друга\n4. Контроль трафика — легче отслеживать и фильтровать подозрительный трафик\n\n### VLAN (Virtual LAN)\n\nVLAN позволяет разделить физическую сеть на логические сегменты на уровне коммутатора (L2):\n\n```\n┌────────── VLAN 10: Серверы приложений ──────────┐\n│  10.0.10.0\u002F24                                    │\n│  payment-service  account-service  auth-service  │\n└──────────────────────────────────────────────────┘\n\n┌────────── VLAN 20: Базы данных ─────────────────┐\n│  10.0.20.0\u002F24                                    │\n│  postgresql-master  postgresql-replica  redis     │\n└──────────────────────────────────────────────────┘\n\n┌────────── VLAN 30: Управление ──────────────────┐\n│  10.0.30.0\u002F24                                    │\n│  monitoring  logging  ci-cd  bastion-host        │\n└──────────────────────────────────────────────────┘\n\n┌────────── VLAN 40: DMZ ─────────────────────────┐\n│  10.0.40.0\u002F24                                    │\n│  nginx  api-gateway  waf                         │\n└──────────────────────────────────────────────────┘\n```\n\n### Подсети (Subnetting)\n\n```bash\n# Пример структуры подсетей\n10.0.0.0\u002F16          # Общая сеть\n10.0.10.0\u002F24         # Серверы приложений (production)\n10.0.20.0\u002F24         # Базы данных (production)\n10.0.30.0\u002F24         # Управление и мониторинг\n10.0.40.0\u002F24         # DMZ\n10.0.50.0\u002F24         # Kafka, RabbitMQ (message brokers)\n10.0.100.0\u002F24        # Staging\n10.0.200.0\u002F24        # Development\n```\n\n### Правила маршрутизации между сегментами\n\n```bash\n# Серверы приложений могут обращаться к БД\niptables -A FORWARD -s 10.0.10.0\u002F24 -d 10.0.20.0\u002F24 -p tcp --dport 5432 -j ACCEPT\n\n# DMZ может обращаться к серверам приложений\niptables -A FORWARD -s 10.0.40.0\u002F24 -d 10.0.10.0\u002F24 -p tcp --dport 8080 -j ACCEPT\n\n# DMZ НЕ может обращаться к БД напрямую\niptables -A FORWARD -s 10.0.40.0\u002F24 -d 10.0.20.0\u002F24 -j DROP\n\n# Development НЕ может обращаться к production\niptables -A FORWARD -s 10.0.200.0\u002F24 -d 10.0.10.0\u002F24 -j DROP\n```\n\n### Сегментация в Kubernetes\n\nВ Kubernetes сегментация реализуется через:\n1. Namespaces — логическое разделение\n2. NetworkPolicy — контроль трафика между подами\n3. Service Mesh — дополнительный уровень контроля\n\n```yaml\napiVersion: v1\nkind: Namespace\nmetadata:\n  name: payment\n  labels:\n    environment: production\n    pci-scope: \"true\"\n```\n\n### Матрица доступа (пример)\n\n| Источник \\ Назначение | DMZ | App Servers | Databases | Monitoring | Dev |\n|----------------------|-----|-------------|-----------|-----------|-----|\n| Интернет | 80,443 | - | - | - | - |\n| DMZ | - | 8080 | - | - | - |\n| App Servers | - | - | 5432,6379 | 9090 | - |\n| Monitoring | ICMP | ICMP,9090 | ICMP,9090 | - | - |\n| Dev | - | - | - | - | Все |\n\nСетевая сегментация — обязательное требование стандартов PCI DSS, ГОСТ Р 57580 и рекомендаций ЦБ РФ. Java-разработчик должен понимать, в каком сегменте работает его приложение и к каким ресурсам оно имеет доступ.\n\n> **На собеседовании:** интервьюер ожидает понимание VLAN, подсетей и принципа «blast radius». Частая ошибка — не упомянуть матрицу доступа между сегментами и не связать сегментацию с PCI DSS.","","middle",[15],"network-security",[],null,{"title":19,"description":20,"ogTitle":19,"ogDescription":21,"keywords":22,"schemaAnswer":23,"featuredSnippetReady":24},"Что такое сетевая сегментация и зачем она нужна? — Gymterview","Сетевая сегментация — разделение сети на изолированные сегменты (подсети), между которыми трафик контролируется файрволами и маршрутизаторами. Это фундаментальн","Сетевая сегментация — разделение сети на изолированные сегменты (подсети), между которыми трафик контролируется файрвола",[15,13],"Сетевая сегментация — разделение сети на изолированные сегменты (подсети), между которыми трафик контролируется файрволами и маршрутизаторами. Это фундаментальный принцип безопасности, ограничивающий распространение атаки при компрометации одного сегмента.",true]