GH GambleHub

في تشفير العبور

في تشفير العبور

1) تعريف السيطرة وحدودها

التشفير أثناء العبور هو حماية البيانات على طول مسار نقل الشبكة بأكمله (المتصفح ↔ الخادم، الخدمة ↔ الخدمة، الوكيل ↔ الوسيط، قاعدة البيانات ↔ التطبيق، مركز البيانات ↔ مركز البيانات) بحيث لا يكشف الاعتراض السلبي والهجمات النشطة على القناة عن المحتوى ولا يسمح بتعديله دون اكتشاف.

ما نغطيه: واجهات برمجة التطبيقات العامة والخاصة (HTTP/HTTPS، gRPC)، البث والوسطاء (Kafka، NATS، RabbitMQ)، WebSocket، قواعد البيانات والمخابئ عبر الشبكة، حركة مرور الخدمات داخل المجموعات، VPN N/بين مراكز البيانات والسحب، وطلبات DNS، وعملاء الهاتف المحمول/إنترنت الأشياء.

ما لا نغطيه بالكامل: الهجمات على نقاط النهاية (تسوية المضيف/المتصفح)، ثغرات التطبيق، التسريبات من السجلات/المقالب. يتم حل هذا من خلال ضوابط منفصلة (A&A، تقليل الحقوق، التشفير عند الراحة، تسجيل آمن).

2) نموذج التهديد والأهداف

المخاطر: اعتراض حركة المرور/الانتحال (MITM)، جناح خفض/تشفير البروتوكول، الشهادات المزيفة/CA، تسرب المفاتيح، هجمات SNI/البيانات الوصفية، المحتوى المختلط، إساءة استخدام TLS على التوازنات، روابط الخدمة غير الآمنة.

الأهداف:

1. السرية + السلامة مع المصادقة التشفيرية.

2. معارضة خفض التصنيف (سياسة وتكوين صارمين).

3. تحديد هوية الأطراف (حاسوب خدمة، إذا لزم الأمر - متبادل).

4. الشهادة المدارة/دورة الحياة الرئيسية ومراجعة الحسابات.

5. موجز الأداء بدون مقايضات أمنية.

3) المبادئ الأساسية

TLS في كل مكان بشكل افتراضي. حركة المرور الخارجية والداخلية - التشفير.
الإصدارات الحديثة. TLS 1. 3 كمعيار ؛ TLS 1. 2 - فقط في ظل سياسات صارمة. تعطيل 1. 0/1. 1.
أجنحة تشفير AEAD مع PFS. AES-GCM أو ChaCha20-Poly1305 ؛ PFS عبر (EC) DHE.
المنحنيات/ X25519 فحص المفاتيح (ويفضل) أو secp256r1 (P-256). مفاتيح RSA ≥2048، أفضل من ECDSA (P-256).
TLS حيث الثقة نادرة. القنوات المشتركة بين الخدمات، واجهات برمجة التطبيقات الإدارية، والوسطاء، وقواعد البيانات - من خلال التوثيق المتبادل.
HSTS للويب. إجبار HTTPS + على التحميل المسبق للميادين العامة.
«تشفير وتشفير مرة أخرى» بوعي. إنهاء TLS على المحيط + إعادة التشفير إلى الخلف أو المرور من طرف إلى طرف - اختر وفقًا لنموذج التهديد.
خفة الحركة المشفرة. القدرة على تغيير المنحنيات/الأجنحة/الإصدارات بدون توقف.

4) مكدس البروتوكول والنصوص

4. 1 HTTP/2، HTTP/3 (QUIC)، gRPC، WebSocket

ALPN: h2 for HTTP/2, h3 for HTTP/3; h2c تثبيط (بدون TLS).
HTTP/3/QUIC: تقليل زمن الوصول، 0-RTT المتأصلة، والهجرة المركبة ؛ 0-RTT تسمح بشكل انتقائي (مخاطر إعادة التشغيل).
gRPC: أكثر من h2/h3 ؛ TLS الإلزامي، ترخيص اختياري mTLS + لكل RPC.
WebSocket: wss ://only; في الوكلاء/المتوازنات - الترقية الصحيحة وتثبيت TLS للمجال.

4. 2 النقل المشترك بين الخدمات وشبكات الخدمات

نموذج Sidecar (Istio/Linkerd، إلخ). نظام mTLS التلقائي، وسياسات الإذن، وتناوب الشهادات.
SPIFFE/SPIRE. هويات الخدمة اللامركزية (SPIFFE ID)، شهادات SVID، TTLs قصيرة.
بارامترات TLS مركزية. تقليل تناقضات التهيئة في رمز الخدمة.

4. 3 وسطاء/بث/قوائم انتظار

Kafka/NATS/RabbitMQ: TLS for kliyent↔broker and broker↔broker; mTLS إذا أمكن.
SASL عبر TLS: إذا لم يكن mTLS ممكنًا، فإن المصادقة بواسطة الرموز/عمليات تسجيل الدخول، ولكن قم بتشفير القناة.

الرباط الصليبي الأمامي والترخيص بالموضوع. التشفير ≠ التحكم بالوصول

4. 4 قواعد البيانات والمخابئ

PostgreSQL/MySQL/SQL Server: enable TLS, CN/SAN CA pin/root.
Redis/Memcached: استخدم الفجل البهلواني/TLS ؛ حظر الاتجار البسيط في المنتج.

4. شبكة/أنفاق 5

بين مراكز البيانات/السحب: IPsec (IKEv2) أو WireGuard (مجموعة حديثة من البدائيات).
الوصول الإداري: SSH مع KEH/ciphers الحديثة ؛ لا توجد كلمات مرور، فقط مفاتيح/SSO.

4. 6 DNS والبروتوكولات المساعدة

DNS على HTTPS (DoH )/DNS على TLS (DoT) للعملاء وداخل المجموعة حيثما أمكن ذلك.
تعطيل المحتوى المختلط. لا شيء على http ://على الصفحات https ://.

5) الشهادات ومرفق المفاتيح العمومية وإدارة المفاتيح

نموذج مرفق المفاتيح العمومية: للمجالات الخارجية - CA العامة ؛ لحركة المرور الداخلية - CA أو SPIRE-CA.
الأتمتة: ACME/Cert-manager for Kubernetes، TTL قصير، الدوران التلقائي.
OCSP الدبابيس и CRL. قم بتشغيل التدبيس على الجبهات ؛ تحديث السلاسل بانتظام.
التثبيت - بحذر. في عملاء الهاتف المحمول/سطح المكتب - pin CA/SPKI مع آلية تدحرج الطوارئ.
التخزين الرئيسي: مفاتيح خاصة في مخزونات HSM/KMS/secret storages ؛ والحد الأدنى من التعرض ؛ حظر قطع الأشجار.

6) التشكيلات: ملامح الممارسة

موجز TLS الموصى به (المحيط الخارجي):
  • الإصدارات: TLS 1. 3 (مطلوب)، TLS 1. 2 (احتياطي).
الأجنحة (مثال):
  • TLS 1. 3: 'TLS _ AES _ 128 _ GCM _ SHA256'، 'TLS _ AES _ 256 _ GCM _ SHA384'، 'TLS _ CHACHA20 _ POLY1305 _ SA256'.
  • TLS 1. 2: «ECDHE-ECDSA-AES128-GCM-SHA256»، «ECDHE-RSA-AES128-GCM-SHA256» (+ الخيارات AES256/CHACHA20 إذا لزم).
  • المنحنيات: X25519، secp256r1.
  • الشهادات: تفضل ECDSA، احتياطي RSA.
  • العناوين الآمنة: «Strict-Transport-Security»، «X-Content-Type-Options'،» X-Frame-Options' (حسب الحالة)، «سياسة الإحالة».
  • ملفات تعريف الارتباط: «آمن»، «HttpOnly»، «SameSite» (Lax/Strict حسب التصميم).
المحيط الداخلي (mTLS):
  • شهادة العميل مطلوبة.
  • العميل القصير TTL SVID (ساعات/أيام)، التناوب التلقائي.
  • السياسات: من يستطيع الاتصال بمن (القائم على النية/العمل من خلال الترخيص الشبكي).

7) الأداء والموثوقية

تسارع الأجهزة: AES-NI/ARMv8 التشفير، ChaCha20-Poly1305 التفضيل على وحدة المعالجة المركزية بدون AES-NI.
استئناف الجلسة: TLS 1. 3 تذاكر ؛ فكر على مدى العمر الافتراضي (التوازن بين العطر والسلامة).
0-RTT: للاستفسارات الخفية فقط ؛ الحماية من إعادة التشغيل (آليات مكافحة إعادة تشغيل الخوادم).
الموازين/الوكلاء: من الواضح أن الإنهاء محدد مقابل المرور ؛ عند الإنهاء - إعادة التشفير إلى الخلف.
إمكانية الملاحظة: مقاييس مصافحة/خطأ/تفاوض ALPN، نسبة TLS 1. 3، انتهاء صلاحية الشهادة، حالة OCSP.

8) الاختبار والتحقق

مسح لملف TLS. الفحوصات المنتظمة للنسخ/الأجنحة/المنحنيات المدعومة و HSTS/OCSP.
الاختبارات السلبية: حظر خفض التصنيف، رفض الدعاوى الضعيفة، فشل الاتصالات بدون SNI/بدون شهادة سلسلة صالحة.
Channel pentest: محاكاة MITM، وتثبيت الفحوصات على عملاء الهاتف المحمول، 0-RTT محاولات إعادة التشغيل.
اختبارات الفوضى: انتهاء/إلغاء الشهادة، عدم توفر OCSP/CA.

9) الأخطاء المتكررة وكيفية تجنبها

تم تمكين TLS، ولكن لم يتم التحقق من صحة المضيف. نتحقق دائمًا من CN/SAN، ونحظر «التحقق من عدم الأمان».
محتوى مختلط. حظر موارد http على صفحات https، استخدم CSP.
الإصدارات والبدلات الضعيفة/القديمة. تعطيل TLS 1. 0/1. 1، CBC/RC4/3DES.
عدم وجود إعادة تشفير داخلية. تعتبر حركة المرور البسيطة من الميزان إلى التطبيق مخاطرة.
شهادات طويلة العمر. قم بعمل TTLs القصيرة والتحديثات التلقائية.
Bad SNI/ALPN خلف الوكيل. تصحيح إرسال SNI/ALPN مع مرور/إنهاء TLS.

10) وصفات صغيرة (شظايا التكوين)

Nginx (أمامي، TLS 1. 3/1. 2، HSTS، OCSP stapling): 

ssl_protocols      TLSv1. 3 TLSv1. 2;
ssl_ciphers       TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers on;
ssl_ecdh_curve     X25519:P-256;
ssl_stapling      on;
ssl_stapling_verify   on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
مبعوث (MTLS بين الخدمات والمخطط): 

transport_socket:
name: envoy. transport_sockets. tls typed_config:
"@type": type. googleapis. com/envoy. extensions. transport_sockets. tls. v3. DownstreamTlsContext common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_3 validation_context:
trusted_ca: { filename: /etc/tls/ca. crt }
tls_certificates:
certificate_chain: { filename: /etc/tls/tls. crt }
private_key:   { filename: /etc/tls/tls. key }
require_client_certificate: true
WireGuard (نفق مركز البيانات المشترك، تخطيطياً): 

[Interface]
PrivateKey = <priv>
Address  = 10. 10. 0. 1/24
[Peer]
PublicKey = <pub>
AllowedIPs = 10. 10. 0. 0/24
Endpoint  = gw. example. com:51820
PersistentKeepalive = 25

11) السياسات والامتثال

المتطلبات الدنيا: TLS 1. 3 حيثما أمكن ذلك ؛ TLS 1. 2 - مع مجموعة محدودة من الأجنحة.
اللائحة: PCI DSS/القطاع المالي - حظر الإصدارات/الأجنحة الضعيفة ؛ التناوب الإلزامي ومراجعة الحسابات.
نهج الثقة الصفرية: الهويات لكل عبء عمل، والتحقق المستمر وسياسات مستوى الخدمة.

12) العملية و SLO

SLO: ≥99٪ مصافحة ناجحة، ≥95٪ حركة مرور على TLS 1. 3، 0٪ محتوى مختلط.
التنبيهات: انتهاء صلاحية الشهادات (أقل من 14 يومًا)، وزيادة حالات فشل المصافحة، وانخفاض حصة TLS 1. 3، أخطاء OCSP الأساسية.
الإجراءات: استبدال CA/root في حالات الطوارئ، وإلغاء المفتاح المختل، وإعاقة 0-RTT.

13) القوائم المرجعية

قبل وضع:
  • TLS 1 معطل. 0/1. 1 والأجنحة الضعيفة، بما في ذلك AEAD و PFS.
  • تكوين ALPN (h2/h3) ؛ حظر h2c.
  • تم تمكين HSTS (للميادين العامة)، ولا يوجد محتوى مختلط.
  • يتم تحديث الشهادات تلقائيًا، ويتم تشغيل تدبيس OCSP.
  • القنوات الداخلية محمية بواسطة mTLS (أو ما يعادل WireGuard/IPsec).
  • التحقق من صحة المضيف/السلسلة على العملاء/SDK.
العملية:
  • رصد نسخ TLS/ALPN/الخطأ وانتهاء الصلاحية.
  • خطة الرشاقة المشفرة (الترجمة إلى أجنحة/منحنيات جديدة).
  • القنوات الخماسية الدورية ومراجعات التهيئة.

14) الأسئلة الشائعة

س: هل TLS يكفي فقط على المحيط ؟

لا لا يجب أيضًا تشفير حركة المرور الداخلية (mTLS/الأنفاق/الشبكة)، خاصة في السحب وأثناء عقود الإيجار المتعددة.

س: هل تحتاج إلى 0-RTT ؟

ج: تمكين نقطة للطلبات الخفية، وإلا يتم تعطيلها بسبب خطر إعادة التشغيل.

س: ماذا تختار لمركز البيانات المشتركة ؟ IPsec أو WireGuard ؟

ج: WireGuard أبسط وأسرع، IPsec ناضج ومدعوم على نطاق واسع. كلاهما صالح عند تكوينه بشكل صحيح.

س: كيف تحمي خطافات الويب «أثناء التنقل» ؟

ج: HTTPS مع ملف تعريف حديث + التحقق من شهادة المرسل (إذا mTLS) + توقيع الحمولة والتحقق من الطابع الزمني (انظر ضمانات تسليم Webhook وتوقيع الطلب والتحقق).

المواد ذات الصلة:
  • «في الراحة التشفير»
  • «التوثيق والإذن»
  • «توقيع الطلبات والتحقق منها»
  • «التوثيق S2S»
  • «الإدارة والتناوب الرئيسيان»
Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

Telegram
@Gamble_GC
بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.