Hálózati Mikroszegmentáció: Az MI-infrastruktúra izolálása és védelme

2025.10.17.
AI Biztonság Blog

Több mint egy Tűzfal: Miért elengedhetetlen a Mikroszegmentáció az MI-rendszereid védelmében?

Képzeld el a helyzetet. Hónapok, talán évek óta dolgozol a céged forradalmi MI-modelljén. Végre működik. A predikciók pontosak, a generált tartalom lenyűgöző, a befektetők pezsgőt bontanának. A rendszert beélesítitek. Aztán egy kedd reggel arra ébredsz, hogy a teljes tréning adathalmazotok, a legféltettebb üzleti titkokkal együtt, egy dark webes fórumon van meghirdetve. Vagy ami még rosszabb: egy versenytársatok csendben letöltötte az egészet, és most a ti technológiátokkal építi a saját birodalmát.

Hogy történhetett ez? Hiszen volt tűzfalatok! Volt végpontvédelem! Hiszen a legújabb, legdrágább security szoftvereket használjátok!

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

A válasz fájdalmasan egyszerű. A támadó nem szemből jött. Nem a főkaput törte be. Egy rosszul konfigurált, elfelejtett IoT kávéfőzőn keresztül jutott be a hálózatotokba, onnan pedig szabadon sétálhatott át a „szuperbiztos” MI-infrastruktúrátokhoz. Miért? Mert a belső hálózatotok olyan volt, mint egy nyitott préri. Ha egyszer bejutottál, bármerre mehettél.

Ez nem egy hollywoodi film forgatókönyve. Ez a rideg valóság, amivel nap mint nap találkozom. És pontosan ezért kell beszélnünk a hálózati mikroszegmentációról. Nem mint egy újabb divatos buzzwordről, hanem mint az egyik leghatékonyabb védekezési stratégiáról, ami az MI-rendszereid és a józan eszed között áll.

Az illúzió: A lapos hálózatok halálos anatómiája

A legtöbb vállalati hálózat, még ma is, alapvetően „lapos”. Ez azt jelenti, hogy a belső hálózaton lévő eszközök – a fejlesztő laptopjától kezdve az adatbázis-szerveren át egészen a tréning clusterig – többnyire szabadon kommunikálhatnak egymással. A védelem a peremre, a hálózat szélére koncentrálódik. Ezt hívjuk a „vár és vizesárok” modellnek. Erős falakat építünk a külvilág felé, de odabent mindenki megbízik mindenkiben.

Ez a modell a felhő, a mikroszolgáltatások és a távmunka korában halott. Teljesen. Életképtelen.

A probléma a laterális mozgás (Lateral Movement). Ez a szakkifejezés arra a folyamatra utal, amikor egy támadó, miután megvetette a lábát a hálózat egy pontján (ezt hívjuk a „beachhead”-nek), elkezd oldalirányban terjeszkedni, hogy megtalálja az értékes célpontokat. A lapos hálózat egy terített asztal számára. A kompromittált kávéfőzőről átugrik egy fejlesztői gépre, onnan ellopja a jogosultságokat, majd azokkal belép a belső kódtárba, és végül eljut a mindent vivő adathalmazig.

Gondolj a hálózatodra úgy, mint egy tengeralattjáróra. Egy lapos hálózat olyan, mint egy egyterű tengeralattjáró. Ha egyetlen apró lék keletkezik a burkolaton, az egész hajótest megtelik vízzel, és elsüllyed. Mindenki odavész.

Lapos Hálózat: A Laterális Mozgás Paradicsoma Web Szerver Adatbázis Fejlesztői Gép MI Tréning Cluster X Behatolási pont A támadó szabadon mozog a hálózatban, és eléri a koronagyémántokat.

A paradigmaváltás, ami nem is az: Zero Trust

Mielőtt belevágnánk a mikroszegmentációba, tisztáznunk kell a mögöttes filozófiát: a Zero Trust modellt. A neve ellenére ez nem egy termék, amit megvehetsz, és nem is egy bonyolult technológia. Ez egy gondolkodásmód.

A Zero Trust alapelve: Soha ne bízz, mindig ellenőrizz! (Never trust, always verify.)

Ez azt jelenti, hogy nem teszünk különbséget „belső” (megbízható) és „külső” (nem megbízható) hálózat között. Minden egyes kommunikációs kísérletet – még ha az két, egymás mellett álló szerver között is történik – gyanakvással kezelünk. Mindenkitől igazoltatást kérünk: Ki vagy? Mit akarsz? Van hozzá jogod? És nem elég egyszer megmutatni a „belépőkártyát”. Minden egyes ajtónál újra és újra igazolnia kell magát.

A Zero Trust hálózatban mindenki potenciális áruló. Még a kenyérpirítód is. A cél nem az, hogy hermetikusan lezárj mindent, hanem hogy minden egyes interakciót explicit módon engedélyezz, és minden mást alapértelmezetten tilts.

És hogy jön ide a mikroszegmentáció? A mikroszegmentáció az az eszköz, amivel a Zero Trust filozófiát a gyakorlatban, a hálózati rétegen meg tudod valósítani. Ez az a mechanizmus, amivel felépíted a tengeralattjáród vízhatlan rekeszeit. Ha az egyik rekeszbe betör a víz, lezárod a zsilipeket, és a hajó többi része sértetlen marad. A küldetés folytatódhat.

Mi a fene az a mikroszegmentáció?

A mikroszegmentáció a hálózatod apró, izolált zónákra, vagyis szegmensekre bontásának gyakorlata, egészen a munkafolyamat (workload) szintjéig. A „workload” itt bármi lehet: egy virtuális gép, egy konténer, egy bare-metal szerver, egy adott alkalmazás.

Ahelyett, hogy egyetlen nagy, lapos hálózatod lenne, létrehozol egy csomó apró, védett szigetet. Minden szigetnek saját, szigorú szabályrendszere van arra, hogy ki léphet be, és kivel kommunikálhat. A szigetek közötti forgalmat egy „határőr”, egy tűzfal ellenőrzi.

Az analógiánál maradva: a régi, periméter-alapú védelem olyan, mint egy bank egyetlen hatalmas, vastag falú trezorral. Ha a rabló bejut, mindent visz. A mikroszegmentáció olyan, mint egy modern bank, ahol a trezoron belül több száz, külön-külön zárható széf található. A rabló talán fel tud törni egyet, de a többi 99 széf tartalma biztonságban marad. Ahhoz, hogy a következőhöz jusson, újabb zárat kell feltörnie, ami időt ad a riasztásra és a reagálásra.

A kulcs a granularitás. Nem nagy hálózati blokkokat (VLAN-okat) különítünk el, hanem magukat az alkalmazásokat. A web szerver csak a szükséges portokon beszélhet az alkalmazás szerverrel, az pedig csak az adatbázissal. A web szervernek semmi, de semmi oka nincs arra, hogy közvetlenül kommunikáljon az MI tréning clusterrel. Tehát letiltjuk. Alapértelmezetten.

Mikroszegmentált Hálózat: Kontrollált Kommunikáció Szegmens: Web Tier Web Szerver X Behatolás Szegmens: App/DB Adatbázis Szegmens: MI Környezet MI Tréning Cluster Engedélyezett (pl. Port 3306) TILTVA! A kompromittált web szerver nem éri el az MI clustert. TILTVA!

A gyakorlat: Hogyan szegmentálj egy MI-infrastruktúrát?

Rendben, a filozófia tiszta. De hogyan néz ki ez egy valós, komplex MI-rendszer esetében? Nem csak egy web szerverről és egy adatbázisról beszélünk. Itt adatfeldolgozó pipeline-ok, elosztott tréning feladatok, modell regiszterek és valós idejű inferencia végpontok vannak.

Bontsuk le az MI életciklus főbb szakaszaira, és nézzük meg, milyen szegmenseket és szabályokat érdemes létrehozni.

1. Adatfeldolgozás és -előkészítés (Data Ingestion & Prep)

Ez az a zóna, ahol a nyers adatok beérkeznek, átalakulnak, és előkészülnek a tréningre. Ezek az adatok gyakran külső forrásokból (pl. S3 bucketek, külső API-k, partnerek SFTP szerverei) érkeznek. Ez a zóna a „határvidék”.

  • Szegmens: Hozz létre egy dedikált „Data Ingestion” szegmenst.
  • Szabályok (Ingress – Bejövő): Csak a specifikus, megbízható külső IP-címekről és portokról engedélyezz bejövő forgalmat. Ha egy partner csak SFTP-n (port 22) küld adatot, akkor csak az ő IP-jéről engedélyezz forgalmat a te SFTP szervered 22-es portjára. Semmi mást.
  • Szabályok (Egress – Kimenő): Ennek a zónának csak a belső adattárolóval (pl. Data Lake vagy Feature Store) szabad kommunikálnΙΑ. Semmi oka nincs arra, hogy elérje a fejlesztői hálózatot vagy az internetet.

2. Modelltréning (Model Training)

Ez a szentély. Itt vannak a legdrágább GPU-k, itt futnak a legintenzívebb számítások, és itt van a legérzékenyebb adatok feldolgozás alatt. Ezt a zónát úgy kell védeni, mint Fort Knoxot.

  • Szegmens: „Training Cluster” szegmens. Ez lehet egy Kubernetes névtér, egy külön VPC, vagy egy fizikai rackszekrény.
  • Szabályok (Ingress): Ideális esetben a tréning clusternek semmilyen bejövő kapcsolata nincs, kivéve a menedzsment síkot (pl. SSH a bastion hoston keresztül, vagy a Kubernetes API elérése egy szigorúan kontrollált pontról) és az adattárolót. A tréning adatokat magához húzza, nem pedig pusholják bele.
  • Szabályok (Egress): A tréning clusternek csak az adattárolóval, a belső kódtárral (a tréning szkriptekért) és a modell regiszterrel (ahová a kész modellt menti) szabad kommunikálnia. SOHA ne engedélyezz neki általános internet-hozzáférést. Ha Python csomagokat kell telepíteni, használj egy belső, tükrözött repót (pl. Artifactory, Nexus). Egy pip install parancs, ami egy kompromittált csomagot tölt le, katasztrófához vezethet.

3. Modellkiszolgálás (Model Serving / Inference)

Ezek a végpontok, amik a külvilág vagy más belső szolgáltatások számára elérhetővé teszik a modell predikcióit. Ezek a „kirakatban” vannak, ezért sérülékenyek.

  • Szegmens: „Inference API” szegmens. Minden modelltípusnak vagy verziónak akár külön alszegmense is lehet.
  • Szabályok (Ingress): Csak a releváns portokat (pl. 443 a HTTPS forgalomnak) nyisd ki, és csak az API Gateway-ről vagy a load balancerről fogadj el forgalmat. Ha ez egy belső szolgáltatás, akkor csak a specifikus belső szolgáltatások IP-címeiről engedélyezz kapcsolatot.
  • Szabályok (Egress): Az inferencia végpontnak ideális esetben csak a modell regiszterrel kell kommunikálnia (hogy betöltse a modellt) és esetleg egy loggoló/monitorozó szolgáltatással. Semmi oka nincs arra, hogy kapcsolatot kezdeményezzen a tréning clusterrel vagy az adatbázisokkal, ahol a nyers adatok vannak. Egy kompromittált inferencia szerver nem válhat ugródeszkává a rendszer többi része felé.

Itt egy táblázat, ami összefoglalja ezt a gondolkodásmódot:

MI Komponens Fő Feladat Szegmentációs Stratégia (Példák) Tipikus Hiba
Data Ingestion Nyers adatok fogadása és előkészítése Engedélyezett IN: Partner SFTP (22), Külső API (443).
Engedélyezett OUT: Belső Data Lake (pl. 9000).
Minden más TILTVA.		 Túl tág bejövő szabályok (pl. 0.0.0.0/0), ami bárkinek engedi a csatlakozást.
Training Cluster Modellek tanítása GPU-kon Engedélyezett IN: Bastion Host SSH (22).
Engedélyezett OUT: Data Lake, Belső Kódtár, Modell Regiszter.
INTERNET HOZZÁFÉRÉS TILTVA.		 Közvetlen internet-hozzáférés engedélyezése a csomagtelepítések miatt. Halálos hiba.
Model Registry Kész modellek tárolása és verziózása Engedélyezett IN: Training Cluster, CI/CD pipeline.
Engedélyezett OUT: Inference szerverek.
Közvetlen külső elérés TILTVA.		 A regiszter menedzsment felületének kitétetele a teljes belső hálózatra autentikáció nélkül.
Inference Endpoint Valós idejű predikciók szolgáltatása Engedélyezett IN: API Gateway / Load Balancer (443).
Engedélyezett OUT: Modell Regiszter, Log aggregator.
TRÉNING KÖRNYEZET ELÉRÉSE TILTVA.		 Engedélyezni, hogy az inferencia szerver SSH-val elérje a tréning gépeket „debug” célból.
MI Életciklus Szegmentációja 1. Data Ingestion 2. Adattárolás 3. Tréning 4. Kiszolgálás Külső Források Partner API Data Lake Tréning Cluster Modell Reg. Inference API Felhasználók Adat Tréning adat Kész modell Modell betöltés TILTOTT VISSZAUTAK! A tréning cluster nem érheti el a nyers forrásokat

A Red Teamer Túlélőcsomagja: Hogyan kerüljük meg a rossz szegmentációt?

Most, hogy felépítettük a csodálatos, szegmentált világunkat, vegyük fel a támadó kalapját. Mint red teamer, az a dolgom, hogy megtaláljam a repedéseket a páncélon. A mikroszegmentáció nem csodaszer. Ha rosszul csinálják, csak a hamis biztonság illúzióját adja.

Íme a kedvenc módszereim, amikkel a rosszul implementált szegmentációt támadom:

  1. „ANY-ANY” Szabályok: A leggyakoribb hiba. A fejlesztők vagy az üzemeltetők megunják a finomhangolást, és létrehoznak egy olyan szabályt, hogy „a fejlesztői szegmensből BÁRMI kommunikálhat a teszt szegmensben lévő BÁRMIVEL”. Ez nem szegmentáció, ez csak egy újabb, kicsit kisebb lapos hálózat létrehozása. Egyetlen kompromittált fejlesztői gép, és máris az egész teszt környezet a támadóé.
  2. Hiányzó Egress Szűrés: Sokan csak a bejövő (ingress) forgalom szűrésére koncentrálnak. Lezárják a kapukat. De mi a helyzet a kimenő (egress) forgalommal? Ha egy támadó bejut a tréning clusterbe, és az szabadon kommunikálhat az internettel, akkor egyszerűen csak „hazatelefonál” a vezérlőszerverére (C2), és feltölti az adatokat. A kimenő forgalom szűrése legalább annyira kritikus, mint a bejövőé.
  3. A Menedzsment Sík Elhanyagolása: Gyakran látom, hogy maguk az alkalmazások tökéletesen le vannak zárva, de a menedzsment eszközök (Kubernetes API, vCenter, Ansible Tower, felhős konzolok) tárva-nyitva vannak a belső hálózaton. Ha egy támadó eléri ezeket, akkor nem kell a hálózati szabályokkal bajlódnia. Egyszerűen csak utasítja a menedzsment eszközt, hogy hozzon létre egy új szabályt, ami átengedi őt. Sakk-matt.
  4. Protokoll-alagutazás (Protocol Tunneling): A naiv, csak port-alapú szűrés (Layer 4) könnyen megkerülhető. Ha a tűzfal csak azt nézi, hogy a 53-as port (DNS) nyitva van-e, a támadó elrejtheti a rosszindulatú forgalmát a DNS kérésekbe. Ezt hívjuk DNS tunnelingnek. Ugyanez megtehető ICMP-vel vagy akár HTTP-vel is. A védekezéshez mélyebb, alkalmazás-szintű (Layer 7) forgalomelemzés szükséges.

Egy jó biztonsági szabály olyan, mint egy mesterlövész puskája: precíz, célzott és csak azt találja el, amit kell. Egy rossz szabály olyan, mint egy sörétes puska: hangos, mindent beterít, és általában több kárt okoz, mint hasznot.

Nem egy projekt, hanem egy folyamat

A mikroszegmentáció bevezetése nem egy hétvégi projekt. Ez egy utazás. Az első lépés a legnehezebb: feltérképezni, hogy jelenleg mi mivel kommunikál a hálózatodon. Ezt hívjuk forgalomelemzésnek vagy „application dependency mapping”-nek. Rengeteg eszköz létezik, ami ebben segít, de a lényeg, hogy megértsd a normális működést.

Ezután jön a szabályok létrehozása, először csak monitorozó („allow and log”) módban, hogy lásd, nem blokkolsz-e véletlenül valami legitim forgalmat. Majd fokozatosan, szegmensről szegmensre átkapcsolsz a blokkoló („deny by default”) módba.

És a munka itt nem ér véget. Az alkalmazások változnak, új szolgáltatások jönnek létre. A szabályrendszert folyamatosan karban kell tartani, felül kell vizsgálni. A biztonság egy folyamatos harc, nem egy egyszeri győzelem.

Most tedd a szívedre a kezed. Tudod pontosan, hogy a legértékesebb MI modelledet futtató szerverek mivel kommunikálnak? Biztos vagy benne, hogy a publikus inferencia API-d nem tud kapcsolatot létesíteni a belső, nyers adatokat tároló adatbázissal?

Ha a válasz „nem” vagy „nem vagyok benne biztos”, akkor tudod, mi a dolgod. Mielőtt egy kedd reggel kellemetlen meglepetés érne.

Titokkezelés (Secret Management) MI-alkalmazásokban: API kulcsok védelme Vault és Kubernetes Secrets segítségével

2025.10.17.

GPU Biztonság: Hogyan védjük és izoláljuk a megosztott grafikus erőforrásokat?

2025.10.17.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit