Появилась тут одна мыслишка, навеянная недавними событиями. Хотел запостить в ИБ, по поскольку тема холиварная — напишу сюда.

Отсутствие обновлений — это плохо. Есть практические примеры серьезного ущерба из-за этого — например, СДЭК.
Обновления — это тоже плохо. Есть практические примеры серьезного ущерба из-за этого — например, Crowdstrike.

А что, если замутить какой-то гибридный вариант релизации какой-то важной системы? Типа, какой-то шлюз для доступа к системе извне, развернутый на машине, получающей последние обновления. И основная бизнес-логика, развернутая на машине с отключенными обновлениями и устроена по принципу "работает — не трогай". Доступ к бизнес-логике происходит через шлюз. И постоянно происходит мониторинг доступности: если шлюз навернется, до переключается режим доступа — и бизнес-логика становится доступна напрямую.
Пока я это представляю в очень общих чертах. Но в принципе такая штука может ли быть жизнеспособной? Может ли быть полезной в плане повышения безопасности и надежности? Или, может быть, подобная схема уже где-то реализована?