ネットワークセグメンテーション
🔥 Vibe プロンプト
「セグメント化されたネットワークを設計:DMZ、アプリケーション、データベース、管理ゾーンとファイアウォールルール。」
ネットワークゾーン
インターネット
↓
[FW] → DMZ (Webサーバー)
↓
[FW] → アプリゾーン (API)
↓
[FW] → DBゾーン
↓
[FW] → 管理ゾーン
ファイアウォールルール
# インターネット → DMZ
許可: 80, 443 (0.0.0.0/0から)
拒否: すべて
# DMZ → アプリゾーン
許可: 8000-8100 (DMZサブネットから)
# アプリゾーン → DBゾーン
許可: 5432 (アプリサブネットから)
# 管理ゾーン → すべて
許可: 22 (あなたのIPのみ)
ゼロトラストネットワーク
- ネットワーク位置に基づく暗黙の信頼なし
- すべてのリクエストが認証必要
- マイクロセグメンテーション(サービスごとのFW)
- すべてのトラフィックを暗号化
ベストプラクティス
| プラクティス | 目的 | |-----------|------| | デフォルト拒否 | 攻撃対象を最小化 | | 最小権限 | 必要なポートのみ | | マイクロセグメンテーション | 爆発半径を制限 | | 転送中暗号化 | 盗聴防止 | | フローログ | 異常検知 |
重要なポイント
- コアコンセプトをしっかり理解する
- ハンズオンコード例で実践する
- 実世界の問題に応用する
- 演習で知識を強化する
さらに学ぶ
- 公式ドキュメント
- GitHubのオープンソースプロジェクト
- コミュニティフォーラムとディスカッション
- 関連コースとチュートリアル