Comments 2
А как выглядит ваша модель безопасности, если приложения в aws, код на GH, имаджи на hub, сайты под CF, а сотрудники работают через tailscale? А, и офисная ерунда - в (допустим) googledocs. А сотрудники - кто в Армении, кто в Грузии, а кто и в РФ остался.
В каком месте там NAT получается?
Модель безопасности основывается на том, что весь трафик фильтруется на NGFW, создаются детальные маршруты для каждого процесса (исходя не только из src и dst ip и портов, но и конкретного пользователя, группы пользователей и используемого приложения). Принимается решение, какой трафик будет расшифровываться для глубокого анализа, а какой нет.
Удаленные пользователи терминируется на NGFW с помощью RA VPN и все их запросы в интернет также фильтруются и обрабатываются на NGFW.
С коммерческой облачной инфраструктурой можно построить Site-to-Site VPN c NGFW или же развернуть vCPE (виртуальный аплаенс) и воспользоваться всеми преимуществами SD-WAN - и весь трафик будет заворачиваться в этот туннель.
Для обеспечения безопасности работы с SaaS также необходимо прописать соответствующие правила фильтрации трафика на NGFW - например, запретить выгрузку документов в облако, но разрешить загрузку из облака. В данном случае трафик, поступающий клиенту, также будет инспектироваться. Все зависит только от вашей фантазии и внутренней политики информационной безопасности.
Все запросы в интернет будут NATиться на public IP NGFW.
Сервисная защита от сетевых угроз – исподвыподверта и не только