сделать вид что нет бгп, статика, но в нетфлоу видно же будет

да и по парной анкете и маршрутам пиров видно будет

странно, нам по несоклько раз на дню звонили при бгп и ндси, спрашивали как там дела..

prajwol kumar nakarmi
этого?

Аналогично. Заполнили чего надо в базах и все..

Если уж придерживаешься deny any any, то будь готов страдать. А потом автоматизируй это страдание, чтобы ещё и роботы страдали.

https://habr.com/ru/post/571650/

Был у меня коллега с синдромом вахтера, согласовывал как раз не сетками по доступу к шарам, БД, etc, а млять по связке Ip to Ip ну идиот же.
— А если IP сменится? Ну пропишу новый, рука лицо

"Какая ещё привязка к AD и юзеру, о чем вы, в своём уме?"

- Вы бгп ностраиваите?
- нет, только формы заполняем
- красивое 😂

-только дефолт принимаем
-красивое
😁😁

+

бывает. Да еще и НСДИ так и не пускает для трансфера зон :)

Привязка по тегам как в кубере ? Нее

- балансировку настраиваете?
- нет, только специфики отдаём
-красивое

Сильно зависит от.
Например, для PCI-DSS compliance часто нужен именно 5-tuple (внутри сети, да). А что там проще - это ты будешь аудиторам рассказывать.

Ну и понятно, что нужно разделять server-to-server, где как раз всё статично, и user-to-server, где уже можно и к ad привязаться, или в впн завернуть особо чувствительный трафик (всё ещё внутри сети, да),

Ну а в облаках вообще третья ситуация - там ip виртуалки не значит вообще ничего, там security groups на инстанс / группу / под / тэг и т.д.
А дальше оно само

Если ты автоматизируешь дичь, то ты получаешь дичь, которая делается чуть быстрее

Лол

о, я смотрю пятничное утро началось с обсуждения конфигурации фаерволов!

а как по вашему должны согласовываться сетевые доступы?