GH GambleHub

تعزيز بيئة الإنتاج ومراجعة الحسابات

1) الأهداف ومجالات المسؤولية

الإنتاج ليس فقط «البيئة الأكثر استقرارًا»، ولكنه أيضًا الأكثر تعرضًا للهجوم. مهمتنا:
  • وتقليل منطقة الهجوم ونصف القطر المتفجر ؛
  • وحماية قنوات التسليم وحساباته وأسراره وقطعه الأثرية ؛
  • اكتشاف الحوادث والاستجابة لها بشكل أسرع من أهداف MTTR
  • تأكيد الامتثال (اللائحة العامة لحماية البيانات/PCI DSS/القواعد المحلية)
  • الحفاظ على إمكانية مراجعة حسابات جميع الإجراءات الحاسمة.

المبادئ الرئيسية: Zero Trust، Lest Privalege، Segmentation، Everything-as-Code، Security-by-Effault.

2) محيط الشبكة وتجزئتها

القطاعات: Edge (WAF، إدارة الروبوتات، DDoS)، DMZ (بوابة)، App (خدمات صغيرة)، البيانات (DB/caches)، Backoffice/Ops (CI/CD، قابلية الرصد).
السياسات L4/L7: الرفض الافتراضي، والسماح الصريح بالخدمات/مساحات الأسماء/الموانئ.
mTLS ضمن مجموعة TLS 1. 2 + على المحيط، HSTS، شفرات آمنة.
مرشح الإدخال: WAF (OWASP Top-10)، مضاد الروبوت، حدود السعر، كتل geo/ASN، CAPTCHA على مسارات المخاطر.
حماية DDoS: دائمًا + التخفيف التلقائي، ملفات تعريف منفصلة لواجهة برمجة التطبيقات/المحتوى الثابت.
التحكم في الخروج: المضيفون الخارجيون الضروريون فقط لمقدمي الخدمات (PSP/KYC/games).

3) الهويات والوصول والامتيازات (IAM/PAM)

SSO (OIDC/SAML) + MFA للبشر ؛ رموز OIDC/هوية عبء العمل للخدمات.
RBAC/ABAC: الأدوار مع الحد الأدنى من الأذونات المطلوبة ؛ الوصول إلى «كسر الزجاج» تحت مراجعة الحسابات و TTL.
PAM: تسجيل مغادرة الجلسة المميز عند الطلب، والتسجيل الكامل والتسجيل.
CIEM (السحب): البحث عن الحقوق المفرطة والأدوار الميتة، الإصلاح التلقائي.
الوصول إلى بيانات الإنتاج: فقط من خلال القفز/الوكيل المعتمد، مع إخفاء PII.

4) الأسرار والتشفير

KMS/HSM: تخزين المفتاح، تشفير المغلف، التناوب مع الإشعارات.
المدير السري: اعتمادات قصيرة الأجل، باستثناء الأسرار من Git/logs.
التوقيعات: القطع الأثرية (كوزين)، خطافات الويب (HMAC)، رموز الخدمة.
حقول PAN/PII: الترميز/التشفير في الراحة ؛ الإخفاء في السجلات والمعاينات.
سياسات التناوب: مفاتيح/شهادات/كلمات مرور - روتينية وقسرية.

5) الحاويات و Kubernetes (CWPP/KSPM)

الصور الأساسية: الحد الأدنى من نقاط الضعف والمسح في CI ؛ عديمة الجذور حيثما أمكن ذلك.
سياسات القبول (OPA/Gatekeeper/Kyverno): حظر ': آخر'، 'امتياز'، hostPath ؛ تتطلب توقيعات الصور.
NetworkPolicies: الاتصال من خدمة إلى خدمة فقط عند الحاجة.
PodSecurity: قدرات محدودة، FS للقراءة فقط، seccop، AppArmor.
الأسرار: من Secret Store CSI (KMS) ؛ لا يوجد سر واضح في البيانات.
حماية وقت التشغيل: القواعد السلوكية (eBPF)، التنبيهات إلى الحالات الشاذة.

مثال على قاعدة OPA (عدم السماح بالصور غير الموقعة): 
rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6) سلسلة التوريد: الثقة ولكن تحقق

SBOM لكل بناء ؛ التخزين والربط بالإطلاق.
الصورة/التوقيعات البيانية، المصادقة على وحدة التحكم في القبول.
شهادات SLSA: أصل القطع الأثرية الذي يمكن إثباته.
Policy-as-Code: Conftest/OPA on the Terraform/Helm/K8s before the demge.
حظر «التصحيح في اللحظة الأخيرة» على المنتج: جميع التغييرات تتم فقط عبر خط الأنابيب.

7) الضعف وإدارة التصحيح

SCA/SAST/DAST в CI; سد العتبات الحرجة/العالية.
دفعات التحديث الأسبوعية (الصور، حزم نظام التشغيل، المكتبات) + الطوارئ غير المجدولة.
التصويبات التي أجريت → تذاكر/إصدارات مرتبطة بـ CVE/SBOM.
EASM: رؤية خارجية لسطح الهجوم (مناطق فرعية، موانئ مفتوحة، شهادات).
اختبارات القلم المنتظمة: مرة واحدة على الأقل في السنة + تستهدف التدفقات الحرجة (المدفوعات/CCM).

8) سجلات ومقاييس وآثار وتخزين القطع الأثرية لمراجعة الحسابات

السجلات الموحدة (JSON) مع «تتبع - معرف»، «طلب - معرف»، مستخدم/مستأجر/جو (اسم مستعار)، لا PII/PAN.
المقاييس: p50/p95/p99، معدل الخطأ، التشبع، DLQ، retrai، business KPI (Time-to-Wallet).
OTEL: من البداية إلى النهاية للطرق الحرجة (الإيداع/CCL/الناتج).
SIEM: ارتباط الحدث (التوثيق، تغييرات الأدوار، الإجراءات الإدارية، قواعد WAF/bot).
SOAR: ردود الفعل التلقائية (عزل الموقد، استدعاء رمزي، كتلة IP/ASN، حظر الإطلاق).
الاحتفاظ: سجلات التشغيل - التخزين الساخن لمدة 30-90 يومًا، والتحف التدقيق - أطول، وفقًا للسياسات.

نموذج السجل الأدنى (مثال): 
json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9) مضادات الروبوتات وعمليات الاحتيال والسيناريوهات الدفاعية

إدارة الروبوت: التوقيعات/السلوك، بصمة الجهاز، التحديات الديناميكية.
حدود الأسعار/الحصص: لكل مستخدم/مستأجر/شريك التنفيذ ؛ التكيف في الحالات الشاذة.
أجهزة استشعار RASP على نقاط النهاية الحرجة (محاولات لتجاوز توقيعات الخطابات الشبكية، وانجراف الساعة، وإعادة التسليم).
إشارات الاحتيال: الارتباط بالقنوات (تسجيل الدخول، المدفوعات، KYC)، التصعيد التلقائي.

10) الحماية، DR و BCP

يتم تحديد واختبار أهداف RTO/RPO (على سبيل المثال، RTO ≤ 1 ساعة، RPO ≤ 5 دقيقة لقواعد بيانات الدفع).
النسخ الاحتياطية: مشفرة، بشكل دوري في التخزين غير المتصل بالإنترنت ؛ اختبارات الاستعادة المنتظمة.
الازدواجية الجغرافية: الأصول والخصوم والأصول حسب المنطقة ؛ فشل DNS مع تحكم TTL.
دليل التبعيات الحرجة (PSP/KYC/مجمعات الألعاب) وخطط التبديل.

11) الحوادث والاستجابة

دفاتر التشغيل: لانخفاض المزود، نمو زمن الوصول، حل وسط رمزي، DDoS.
تحت الطلب: 24/7، صفحات التناوب والانفجار ؛ ممارسة «غرفة الحرب» المشتركة.
الاتصالات: نماذج الرسائل للعملاء/الشركاء والمنظمين.
تشريح الجثة (بلا لوم): إجراءات لمنع التكرار، وتحديث السياسات/كتب اللعب.

12) الامتثال والخصوصية

اللائحة العامة لحماية البيانات: تقليل البيانات إلى أدنى حد، وسجلات الموافقة، والحق في حذف/منفذ ؛ DPIA لمقدمي الخدمات الجدد.
PCI DSS: مناطق ترميز/عزل PAN، شرائح الشبكة، سجلات الوصول الصارمة.
المتطلبات المحلية (الولايات القضائية السوقية): تخزين البيانات في المنطقة، والإبلاغ، وتحديث النوافذ.
نسب البيانات: أين وكيفية تدفق PII/PAN ؛ و DPIA في DevPortal.

13) التدقيق: الأنواع والقطع الأثرية والدورة

أنواع مراجعة الحسابات:
  • داخلي (ربع سنوي): الامتثال للسياسات، ومراقبة التغييرات، والوصول، والأسرار، وجذوع الأشجار، وخطوط الأنابيب.
  • خارجي (سنويًا/حسب المتطلبات): PCI/GDPR/المنظمون المحليون، اختبارات القلم، تقارير SOC لمقدمي الخدمات.
القطع الأثرية الرئيسية (ما يجب طهيه مسبقًا):
  • السياسات الأمنية، مصفوفة الأدوار IAM، قائمة الاستثناءات مع تاريخ انتهاء الصلاحية.
  • سجلات تغيير البنية التحتية (IaC)، تقارير CI/CD (SBOM، التوقيعات، الاختبارات).
  • سجل مقدمي الخدمات (PSP/KYC/games)، وتقييمات مخاطر البائعين/إدارة شؤون الإعلام، والعقود، واتفاقات البيئة المستدامة.
  • سجلات الوصول إلى المبيعات، نتائج التناوب السرية، تقارير SIEM/SOAR.
  • خطط DR/BCP وبروتوكولات اختبارات الاستعادة الأخيرة.
نهج مراجعة الحسابات:
  • «الأدلة أولاً»: كل ممارسة هي قطعة أثرية يمكن التحقق منها.
  • «لا يوجد بشر عازمون»: الحد الأقصى عن طريق خطوط الأنابيب والتطبيقات المعتمدة ؛ جميع الجلسات - تحت السجل.
  • تتبع كل شيء - تغييرات الخريطة للحوادث/المقاييس.

14) حواجز الحماية: أمثلة

Terraform (حظر قاعدة البيانات العامة): 
rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

سياسة القبول (K8s): تتطلب ملصقات أمنية وحدود للموارد

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15) قائمة مراجعة النظافة اليومية

  • سياسات WAF/bot النشطة، وتحديث التوقيعات ؛ ضد DDoS في الوضع الدائم.
  • مراقبو القبول في المجموعة في دولة الإنفاذ، وليس مراجعة الحسابات.
  • توقع جميع صور الإنتاج ؛ SBOM متاح ومرتبط بالإصدار.
  • نقاط الضعف الحرجة/العالية - المفقودة أو الثابتة مع استثناءات التاريخ.
  • تناوب الأسرار/الشهادات - في الموعد المحدد، لا تأخير.
  • يربط SIEM أحداث دخول/تغيير IAM/الإصدار ؛ يتم اختبار كتب اللعب SOAR.
  • اجتياز النسخ الاحتياطية، واستعادة الاختبار في الموعد المحدد ؛ خطة DR صالحة.
  • الحصول على الغذاء - فقط عن طريق SSO + MFA/PAM ؛ وتسجل جميع الجلسات.
  • «لا يوجد مؤشر استثمار دولي في السجلات» - تم التحقق من صحته بواسطة الماسحات الضوئية ؛ يتم تمكين الإخفاء.
  • تحديث بوابات الإصدار وقابلية الملاحظة «as-code».

16) نموذج النضج (موجز)

1. تغييرات أساسية - يدوية، محيط واحد، رصد جزئي.
2. متقدم - التجزئة، IAM/RBAC، القطع الأثرية الموقعة، WAF/DDoS، SIEM، بقع منتظمة.
3. خبير - Zero Trust، حواجز الحماية كرمز، شهادة SLSA، حماية وقت التشغيل، أتمتة SOAR، «لا يوجد بشر في الحث»، تدقيق مستمر.

17) خارطة طريق التنفيذ

M0-M1 (MVP): تجزئة الشبكة، WAF/DDoS، SSO + MFA، KMS، سياسة القبول الأساسية، السجلات/المقاييس/المسارات الموحدة، SIEM.
M2-M3: توقيعات الصور والتحقق من القبول، SBOM، Conftest/OPA على IaC، PAM، خطة التناوب، التصحيحات العادية، اختبارات DR الأولى.
M4-M6: كتب اللعب SOAR، eBPF/الكشف عن وقت التشغيل، EASM، حزمة الامتثال (PCI/GDPR)، مجموعة كاملة من القطع الأثرية لمراجعة الحسابات، ring-DR حسب المنطقة.
M6 +: شبكة Zero-Trust (mTLS في كل مكان)، CIEM، تقارير تتبع التدقيق الآلية، اختبار «الفريق الأرجواني» المستمر.

موجز

الحث القوي ليس مجموعة من قواعد «الحديد»، ولكنه نظام: التجزئة، والهويات والأسرار الصارمة، والتسليم الآمن، والحاويات المدارة، وإمكانية المراقبة، والاستجابة الآلية. أضف إمكانية التحقق (القطع الأثرية لمراجعة الحسابات، SBOM/التوقيعات، جذوع الأشجار)، وتصبح بيئة الإنتاج قابلة للتنبؤ، ويمكن التحكم فيها، وجاهزة لعمليات التدقيق الخارجية - دون تنازلات بشأن سرعة الإطلاق ومسؤوليات الأعمال.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

Telegram
@Gamble_GC
بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.