GH GambleHub

تشفير البيانات و TLS

1) خريطة التهديد والأهداف

أثناء العبور: اعتراض/تعديل حركة المرور، MitM، خفض التصنيف.
في الراحة (في الراحة): سرقة الأقراص/النسخ الاحتياطية، مكبات DB/log، المطلعين.
المفاتيح: تسريبات أسرار، دوران ضعيف، إعادة استخدام.
الهدف هو ضمان السرية والنزاهة والأصالة، مع SLOs القابلة للقياس وقابلية التشفير المدارة.

2) تصنيف البيانات والسياسات

الفئات: العامة/الداخلية/السرية/المقيدة (PII/Finance/PAN).
العلامات: "البيانات. '،' المستأجر '،' المنطقة '،' الاحتفاظ '.
التدابير الإلزامية: بالنسبة للتشفير المقيد - التشفير على مستوى الحقل/الكائن، وسجل الوصول، والمفاتيح الفردية لكل مستأجر/منطقة.

3) تشفير الراحة

3. 1 تشفير المغلف

يقوم DEK (مفتاح تشفير البيانات) بتشفير البيانات ؛ KEK/CMK (KMS/HSM) يشفر DEK.
لا يتطلب دوران KEK فك تشفير البيانات - إعادة لف DEK.
يفضل DEK لكل كائن/طرف/مستأجر مع TTL قصير.

3. 2 مستويات

شفاف (TDE): قرص/ملاعق كبيرة (PostgreSQL/MySQL/SQL Server). بسيطة، ولكن بدون تحكم دقيق.
على مستوى التطبيق: الحقول/الأشياء (PAN، الأسرار) - أفضل للمستأجر المتعدد والحد الأدنى للوصول.
التخزين/السحب: S3/GCS SSE-KMS ؛ لبيانات الحمض - FLE (تشفير على المستوى الميداني) حيثما أمكن ذلك.

3. 3 خوارزميات وأوضاع

AEAD: AES-256-GCM أو ChaCha20-Poly1305 (على وحدة المعالجة المركزية بدون AES-NI).
IV/nonce: التفرد إلزامي تماما ؛ تخزين بجانب ciphertext لا تتكرر.
التجزئة: كلمات مرور - Argon2id (أو scrypt/bcrypt) مع معلمات الملح والحديد.
MAC/التوقيعات: HMAC-SHA-256 من أجل السلامة أو ملصق AEAD المدمج.

3. 4 ممارسة لبنك التنمية/الملفات

PostgreSQL: pgcrypto/extensions; على الكتابة - تشفير الحقول الحساسة في التطبيق.
Mongo/Doc-storages: FLE جانب العميل، المفاتيح في KMS.
النسخ الاحتياطية: مفاتيح فردية ويمكن الوصول إليها فقط من وكيل CI/CD ؛ نسخ خارج الموقع - مشفرة دائمًا.

4) الإدارة الرئيسية (KMS/HSM/Vault)

مصدر الحقيقة: KMS/HSM ؛ المفاتيح الخاصة لا تترك الجهاز/الخدمة.
إصدار: «طفل»، «هدف»، «alg»، «تم إنشاؤه _ at'،» يدور _ at'.
الوصول: أقل امتيازات ؛ الفصل بين الواجبات.
التناوب: مقرر (3-6 أشهر للتوقيع)، الحدث (الحادث)، التناوب عند الاستخدام لرموز التحديث.
التدقيق: السجلات غير القابلة للتغيير: من، متى، ما هو الموقع/فك التشفير.
متعدد المستأجرين: مفاتيح لكل مستأجر/علامة تجارية/منطقة ؛ BYOK/HYOK إذا طلب العميل ذلك.

5) التشفير داخل القناة (TLS)

5. 1 منخفض

TLS 1. 2 +، ويفضل TLS 1. 3; HSTS على المجالات.
أجنحة التشفير: TLS1. 3 - محددة سلفا (AES_256_GCM_SHA384/ CHACHA20_POLY1305_SHA256).
PFS: جميع التبادلات الرئيسية epemern (ECDHE).
ALPN: تشمل HTTP/2 HTTP/3 (QUIC) بوعي ؛ مؤقتات المراقبة.

5. 2 شهادات، OCSP، تثبيت

OCSP الدبابيس والسلاسل القصيرة.
جلسات إعادة الاستخدام: تذاكر TLS مع TTL قصيرة.
0-RTT (TLS 1. 3): تشغيل بعناية (فقط أحمق GET).
التثبيت: فقط "تثبيت المفتاح العام عبر استمرارية TSP/Key في التطبيقات/الهواتف المحمولة (وليس HPKP).
MTLS: داخل المحيط/بين الخدمات والشركاء ؛ مؤهل SAN.

5. 3 gRPC/HTTP/QUIC

ترسل gRPC الموعد النهائي والبيانات الوصفية - تحقق وحد المهلة لكل تجربة.
HTTP/3 (QUIC) تسرع البايت الأول ؛ تحقق من توافق WAF/Balancer.

6) mTLS وهريس الخدمة

SPIFFE/SPIRE أو neesh-CA للإصدار التلقائي للشهادات القصيرة (7-30 يومًا).
السياسيون: من يتحدث إلى من (SVID→SVID)، authZ على مستوى L7.
التناوب - شفاف ؛ الإلغاء عبر تحديثات حزمة الثقة.

7) الأداء والتشغيل

AES-NI: على الخوادم مع الدعم - AES-GCM بشكل أسرع. على وحدات المعالجة المركزية المتنقلة/القديمة - ChaCha20-Poly1305.
ضبط نظام TLS: مفاتيح قصيرة مع نظام PFS، ولكن ضمن حدود معقولة (P-256/25519) ؛ مخبأ المصافحة.
الدفع: التقليل إلى أدنى حد من الاستفسارات الصغيرة ؛ تتناسب TLS-overhead مع عدد الوصلات.
التفريغ: TLS على المحيط (المبعوث/NGINX)، بالداخل - mTLS في الشبكة.

8) سياسات السر والسجل

الأسرار فقط في KMS/Vault ؛ في Kubernetes - مزود التشفير etcd + KMS.
حظر السجل: المفاتيح/الرموز/PAN/الأسرار ؛ القناع.
لقطات/مقالب: تشفير وتقييد الوصول ؛ مراقبة الوصول إلى المفتاح.

9) التكوينات والأمثلة

9. 1 NGINX (ملف تعريف صارم TLS)

nginx ssl_protocols TLSv1. 2 TLSv1. 3;
ssl_prefer_server_ciphers on;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384;
ssl_ecdh_curve X25519:P-256;
ssl_session_timeout 10m;
ssl_session_cache shared:SSL:50m;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

9. 2 مبعوث (mTLS إلى المنبع، زائف)

yaml transport_socket:
name: envoy. transport_sockets. tls typed_config:
common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_2 tls_certificate_sds_secret_configs:
- name: service_cert # client certificate validation_context_sds_secret_config:
name: mesh_ca_bundle # trusted roots

9. 3 مثال على استخدام AEAD (زائف)

pseudo nonce = random(12)
ciphertext, tag = AES256_GCM. encrypt(key=DEK, nonce, aad=tenant    object_id, plaintext)
store(nonce    ciphertext    tag)

10) المفاتيح المدورة والملغاة

JWKS/' طفل 'لـ JWT ؛ اختصار «exp».
يسرد "jti "/" sid' لإلغاء الرموز باستخدام TTL.
أسرار HMAC (خطوط الويب): نشط + كناري ؛ قبل الموعد النهائي.
TLS: تنبيهات T-30/T-7/T-1، تجديد تلقائي، كناري آمن.

11) إمكانية الملاحظة والتنبيهات

Метрики: "tls _ handshake _ fail _ total {reason}", "tls _ version _ share", "cipher _ share", "ocsp _ stapling _ rors'," kms _ ops _ total {op} "," decrypt _ fail _ tull', "," jwks _ kid _ kid _ kid _ share ".
سجلات الوصول: البروتوكول/الإصدار/التشفير (بدون أسرار).
التنبيهات: شهادات منتهية الصلاحية، زيادة «سيئة _ قياسية _ ماك»، نمو «سلاسل غير موثوقة»، فك تشفير فاشل.

12) تفاصيل iGaming/Finance

التدفقات الآمنة: الترميز، التخزين الرمزي فقط ؛ PAN - في متجر PSP/token.
PCI DSS: تشفير بيانات حامل البطاقة، تقييد الوصول إلى المفاتيح، سجل معاملات التشفير، تجزئة الشبكة.
الإقليمية: المفاتيح والبيانات في منطقة اللاعب (زمن الوصول/السيادة).
Backoffice: mTLS + SSO، جلسات قصيرة، FIDO2 للمسؤولين.

13) أنتيباترن

TLS <1. 2; سمح ciphers/RC4/3DES ضعيفة.
أسرار ومفاتيح «أبدية» شائعة بدون دوران و «طفل».
كرر IV/nonce في GCM (قاتل للأمن).
سجلات مع أسرار/مفاتيح/بيانات مقلاة.
فقط TDE بدون تشفير الحقول الحساسة.
تثبيت HPKP في الحث (خطر «القفل الذاتي»).
0-RTT على الاستفسارات الكتابية/غير الاختصاصية.

14) قائمة التحقق من الاستعداد

  • سياسة تصنيف البيانات والتشفير (لكل فئة).
  • AEAD (AES-GCM/ChaCha20-Poly 1305) ؛ الفريدة من نوعها ؛ كلمة السر Argon2id.
  • تشفير الظرف: DEK لكل كائن/مستأجر ؛ KEK в KMS/HSM.
  • TLS 1. 2+/1. 3، HSTS، OCSP الدبابيس ؛ مجموعة معقولة من الشفرات.
  • mTLS في الداخل ؛ إصدار/تناوب الشهادات القصيرة تلقائيا.
  • JWKS/' kid '، short' exp '، lists' jti '؛ تناوب الأسرار/السيرت مع التداخل.
  • يتم تشفير النسخ الاحتياطية والسجلات ؛ ومراجعة حسابات الدخول والعمليات.
  • لوحات المعلومات/التنبيهات وفقا لنظام TLS/KMS/JWKS ؛ اختبارات التدهور والكناري.
  • الوثائق: إجراءات الحوادث (حل وسط بين المفتاح والشهادة).

15) TL ؛ د

التشفير في كل مكان: في القناة - TLS 1. 3/1. 2 مع PFS ومحيط صارم ؛ داخل - mTLS. في الراحة - مغلف (DEK/KEK) مع مفاتيح في KMS/HSM، قم بتشفير الحقول الحساسة حبيبيًا. إدارة المفاتيح عبر «طفل »/JWKS والتناوب المتداخل المنتظم، وتخزين سجلات المعاملات المشفرة. اختر AES-GCM (أو ChaCha20-Poly1305)، لا تعيد استخدام النسخ الاحتياطية/السجلات غير المشفرة. بالنسبة إلى iGaming/PAN، الترميز والتجزئة الواعية بـ PCI.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

Telegram
@Gamble_GC
بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.