כל העבודות
מקרה DevOps אמיתי — אבטחה, תשתית וניטור

DevOps & Security — פלטפורמה חינוכית

סיפור אמיתי מסביבת ייצור של לקוח שמפעיל פלטפורמת לימוד: זיהינו ניסיונות פריצה אוטומטיים אל לוח הניהול, ובנינו מחדש תשתית תפעול ופריסה מאובטחת על AWS + Cloudflare Zero Trust, עם ניטור מדויק שחושף כל תקלה עוד לפני שהיא מגיעה למשתמשים.

DevOps / SREאבטחת יישומי וובתשתית ענןניטור והתראות
תשתית טכנולוגית יציבה — Nginx · Docker · Next.js · HTTPS
הבעיה

מה הלקוח התמודד איתו

בזמן הפעלת פלטפורמת הלימוד של הלקוח בייצור, החלו להגיע התראות Critical על כך שלוח הניהול (Admin) אינו יציב. בדיקה ראשונית הראתה שהשרתים והקונטיינרים פועלים, אך כשעברנו על לוגים של Apache ושל האפליקציה זיהינו את התבנית האמיתית: ניסיונות גישה אוטומטיים לקבצים רגישים כמו ‎.env ו-‎.git/config, וניסיונות להריץ פקודות דרך ‎/cgi-bin/../../bin/sh, מכתובות IP משתנות מכל העולם. פריצה בפועל לא התרחשה, אך עצם החשיפה של לוח הניהול לרשת יצרה עומס, חוסר יציבות והתראות חוזרות. השורש לא היה תקלה טכנית — אלא תכן חשיפה שגוי.

הפתרון

איך פתרנו את זה

במקום לטפל בסימפטומים (השתקת התראות או הגדלת timeout), עבדנו עם הלקוח על השורש. תכננו מחדש את דרך הגישה לשרתי הפלטפורמה: Cloudflare הפכה לשער היחיד (Edge Gateway), והפעלנו Cloudflare Zero Trust Access על לוח הניהול כך ששום בקשה לא מגיעה לשרת לפני אימות זהות. ברמת הרשת ב-AWS, סגרנו את פורטים 80/443 בפני האינטרנט ואפשרנו אותם רק לטווחי Cloudflare דרך Terraform. אז כיוונו את Blackbox Exporter כך שיתאים להגנה החדשה — הניטור חזר להיות מדויק ללא התראות שווא, ותיעדנו הכל ב-Runbook וב-Playbook מוכנים לכל אירוע עתידי.

מה נבנה?

רכיבי הפרויקט

  • חקירת אירוע מלאה: ניתוח לוגי Apache והאפליקציה, והבחנה בין ניסיונות פריצה אוטומטיים לתקלות תפעוליות
  • תגובה מהירה (Containment): סגירת החשיפה ברמת ה-Web Server לפני שהבקשות מגיעות לאפליקציה
  • הפיכת Cloudflare לנקודת הכניסה היחידה, והסתרת ה-IP האמיתי של השרת לחלוטין
  • הפעלת Cloudflare Zero Trust Access על לוח הניהול — כניסה מבוססת זהות במקום סיסמה משותפת
  • הידוק Security Group ב-AWS: קבלה של 80/443 רק מטווחי Cloudflare, ו-SSH מוגבל לכתובת IP אחת
  • אוטומציית הגדרות רשת דרך Terraform (aws_vpc_security_group_ingress_rule)
  • סידור Apache כ-Reverse Proxy מול קונטיינרים של Docker (Frontend, Admin, Services) בצורה יציבה ותחזוקתית
  • סידור תהליך הפריסה והעדכונים כך שיהיה ברור, חוזר וזעום סיכונים
  • הגדרת Blackbox Exporter לניטור HTTP, SSL וזמן תגובה מחוץ לרשת
  • כללי התראה מכוונים ב-Alertmanager כך שאין התראות שווא ואין התראות שנעלמות
  • תיעוד מלא: Playbook לטיפול באירועי אבטחה על שירותי ווב, ו-Runbook לתפעול המערכת
  • אימות סופי של הארכיטקטורה: probe_success = 1, ו-IP המקור אינו מגיב לשום בקשה ישירה
תמונות מהפרויקט

לכידות מהממשק

הגנת לוח הניהול — גישה מאובטחת למנהלים בלבד
תשתית טכנולוגית יציבה — Nginx · Docker · Next.js · HTTPS
ניטור ואבטחה מתמשכת — Uptime · Alerts · Cloudflare · Zero Trust
Grafana — Global Kubernetes Dashboard
Grafana — kube-state-metrics (Cluster / Node)
התוצאה

הלקוח עבר ממודל של Origin חשוף לאינטרנט לארכיטקטורת Zero Trust מלאה: Cloudflare היא השער היחיד, לוח הניהול מוגן בזהות בשולי הרשת, והשרת סגור לחלוטין ברמת AWS. התוצאה: ללא ניסיונות פריצה פעילים, ללא התראות שווא, יציבות גבוהה יותר וניטור מדויק שחושף כל בעיה עוד לפני שהיא מגיעה למשתמש — וזה בדיוק המשמעות של עבודת DevOps אמיתית שאנחנו מספקים: לא רק בונים את הממשק, אלא את הבסיס שנושא אותו בביטחון.

רוצה מערכת דומה?

מתחילים בייעוץ, ומגדירים יחד את המסלול המתאים לפרויקט שלכם.

פרויקטים נוספים