Policy

1. Accesso e Autenticazione

SSH Obbligatorio:
- L'accesso alle VM è consentito solo via SSH con chiavi pubbliche.
- Password disabilitate per tutti gli utenti non root.

Regola Default "Deny All":
- Il firewall blocca tutto il traffico in ingresso dall'esterno (WAN) tranne 80 e 443 /TCP.
- Comunicazione interna (VLAN) è libera (no restrizioni tra VM).
NAT Limitato:
- Il port forwarding/NAT è vietato, eccetto casi eccezionali documentati.
DHCP Reservation Obbligatoria:
- Prima di aggiungere una VM, deve essere configurata una DHCP reservation nel firewall.
Accesso VPN per Servizi Non Esposti:
- L'accesso ai servizi non esposti tramite reverse proxy è consentito solo tramite VPN.
- I servizi non pubblici non devono essere raggiungibili direttamente dall'esterno.
Segregazione VLAN per Utenti:
- Ogni utente può accedere solo a una porzione specifica delle VLAN assegnate ai propri servizi.
- L'accesso cross-VLAN richiede autorizzazione esplicita e documentazione.
VM con Accesso Completo (Whitelisted):
- Solo Firewallo e VM Ansible hanno accesso a tutte le VLAN.
- Qualsiasi altra VM richiede accesso limitato secondo il principio del "least privilege".
Logging:
- Il traffico è tracciato via journalctl -u nftables (su Firewallo).
- Porte aperte nelle VM sono tracciate e monitorate automaticamente.

Backup Automatico Post-Creazione:
- Dopo l'aggiunta di una VM, deve essere configurato un backup automatico (es. Proxmox Backup Server).
- Frequenza minima: Giornaliero (7 retention) + Settimanale (4 retention).

Zabbix Obbligatorio:
- Ogni nuova VM deve essere aggiunta a Zabbix entro 24 ore dalla creazione.
- Alert automatici per:
  - Downtime (>5 min).
  - Saturation risorse (CPU >90%, RAM >85%, disco >80%).
  - Cambiamenti non autorizzati (es. installazione pacchetti).
Tracciamento Porte Servizi:
- Tutte le porte aperte nelle VM per i servizi devono essere registrate.