Knowledge Base

Foundation Collapse Analysis: что может сломать защиту сразу

Смысл

Категория: Security Strategy · Риск: critical

Смысл

Foundation Collapse Analysis отвечает на главный бизнес-вопрос: "есть ли одна проблема, через которую можно обойти всю защиту сайта сразу".

Обычный отчёт может показать десятки мелких замечаний. Но если публично доступна база данных, Docker API, Jenkins или настоящий origin-IP за Cloudflare, то HSTS и CSP уже не главная тема. Сначала надо закрыть основание.

Примеры точек полного компромисса

• origin server доступен напрямую в обход CDN/WAF;
• MySQL, PostgreSQL, Redis, MongoDB или Elasticsearch доступны из интернета;
• Docker API или Kubernetes API доступны публично;
• Jenkins, GitLab CI, Traefik, Grafana или Prometheus доступны без приватной сети;
• `.env`, `.git`, backup-файлы или конфигурации доступны через web.

Как строить защиту

Думайте слоями: DNS и CDN, reverse proxy, HTTPS, приложение, identity/access, инфраструктура, данные. Каждый слой должен ограничивать следующий.

Если открыт самый нижний слой, верхние меры не спасают. Поэтому NodeRoute выделяет такие проблемы как foundation/collapse risks и поднимает их выше обычного списка findings.