GH GambleHub

طبقات الأمن في البنية التحتية

(القسم: التكنولوجيا والهياكل الأساسية)

موجز

الأمان هو نظام من الطبقات: كل طبقة تتراجع وتكتشف الهجمات إذا فشلت الطبقة السابقة. بالنسبة إلى iGaming، يعد هذا أمرًا بالغ الأهمية بشكل خاص: تدفقات الدفع، و PII، ودمج الشركاء، وذروة الأحمال. فيما يلي إطار العمل الدفاعي المتعمق، الذي يربط الشبكة والهوية والتطبيقات والبيانات والعمليات التشغيلية ببرنامج واحد مُدار.

1) نموذج التهديد والأساسيات

نمذجة التهديد: STRIDE/سلسلة القتل لتدفقات المفتاح (تسجيل الدخول، الإيداع، العطاء، السحب، العودة).
Zero Trust: «لا تثق افتراضيًا»، الحد الأدنى من الحقوق، تحقق من كل قفزة.
أقل امتياز وفصل بين الواجبات: الأدوار عمليات ذرية وحساسة منفصلة.
تأمين افتراضي: الموانئ المغلقة، وسياسات الحرمان من الجميع، والتخلف عن السداد الآمن.
إمكانية مراجعة الحسابات: جميع عمليات الوصول/التغييرات - في المراجعة المركزية للحسابات.

2) الشبكة والمحيط

الغرض: تجنب الحركة الجانبية وإدارة المخاطر بشكل منعزل.

التجزئة/المناطق: Edge (CDN/WAF) → API → خدمات → البيانات (DB/KMS) → إدارة/backhoe.
عزل VPC/VNet + شبكات فرعية للخدمات العامة/الخاصة ؛ NAT/ext control (بما في ذلك ext-alowist إلى PSP/مزودي اللعبة).
mTLS في كل مكان (شبكة/دخول)، TLS 1. 2 +/HSTS/تكوين التشفير الشفاف.
WAF/إدارة الروبوتات/DDoS على المحيط ؛ مضاد للتسجيل لحشو أوراق الاعتماد.
أمن DNS: الأفق المنقسم، DNSSEC، تحمل الأخطاء، تثبيت ذاكرة التخزين المؤقت للمجالات الحرجة.

Пример: Kubernetes NetworkPolicy (رفض كل شيء + السماح بالقائمة): 
yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-deny-all, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
ingress: [] # deny-all egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]

3) الهوية والوصول (IAM/PAM)

الغرض: يتم تبرير كل وصول وتقييده ومراجعته بشفافية.

SSO + MFA للأشخاص والسيارات ؛ مفاتيح الأجهزة للحسابات المميزة.
والمكتب الإقليمي لآسيا والمحيط الهادئ/مركز آسيا والمحيط الهادئ لشؤون cloud/K8s/backoff ؛ SCIM - تشغيل/إيقاف تلقائي.
الوصول إلى IT (مؤقت)، كسر الزجاج مع تعزيز مراجعة الحسابات.
حسابات الخدمة ذات الرموز القصيرة الأجل (OIDC/JWT)، تدقيق أسرار العملاء.
معقل/انعكاس الأوامر: الوصول إلى قواعد بيانات الإنتاج/العقد - فقط من خلال جلسات المعقل والكتابة.

4) الأسرار والمفاتيح

الهدف هو القضاء على التسريبات وتوفير دورة حياة رئيسية يمكن التحكم فيها.

KMS/HSM (مفتاح المعالج)، التناوب المنتظم ؛ تقسيم المفاتيح إلى مناطق/أهداف.
أسرار Vault/Cloud KMS مع عروض ديناميكية وعقد إيجار.

التشفير:
  • في الراحة (DB/bulets/snapshots) مع تشفير المغلف.
  • أثناء العبور (TLS/mTLS).
  • ترميز بيانات الدفع ؛ خيوط آمنة PAN وأمن 3 مجالات (PCI DSS).
مثال: سياسة القبو (جزء): 
hcl path "kv/prod/payments/" {
capabilities = ["read","list"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}

5) أمن الحاويات و Kubernetes

الغرض: التقليل إلى أدنى حد من سطح الهجوم على مستوى وقت التشغيل.

الصور: الحد الأدنى الأساسي، لا توجد أجهزة تجميع/أصداف ؛ (تجميل) و SBOM.
مراقبة القبول (OPA/Gatekeeper/Kyverno): الحظر «: الأحدث»، «المميز»، «المسار المضيف»، «الجذر».
Runtime - политики: Seccomp/AppArmor و "ReadOnlyRootFilesystem' و" إسقاط جميع "القدرات + قائمة السماح.
أسرار كحجم/env من المدير السري ؛ بدون خبز في الصورة.
PodSecurity (или Pod Security Admission): فرض القيود.
السجلات: خاصة، مع فحص نقاط الضعف (SAST/DAST/CSA).

حارس البوابة قيد (مثال): 
yaml apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sAllowedRepos metadata: { name: only-internal-registry }
spec:
repos: ["registry.internal.local/"]

6) سلسلة الإمداد и CI/CD

الغرض: مصنوعات ثقة من الالتزام بالإنتاج.

سياسات الفروع: مراجعة الرموز، الفروع المحمية، الفحوصات الإلزامية.
توقيع القطع الأثرية ومصدرها (SLSA/COSIGN)، علامات ثابتة (صور غير قابلة للتغيير).
SBOM (CycloneDX/SPDX)، التبعية/التجديد والتثبيت.
عزل CI: عدائون سريع الزوال، أسرار فقط في الوظائف المحمية، نص بلا نص.
الأقراص المدمجة: الجودة/SAST/التراخيص/سياسات البائعين ؛ الترويج فقط من خلال GitOps.

7) أمان التطبيق (API/web/mobile)

الهدف: منع الهجمات المنطقية والتقنية.

AuthN/AuthZ: OAuth2/OIDC/JWT; TTL قصيرة، تناوب المفتاح، فحص الجمهور/المُصدر.
أمان المدخلات: التحقق/التطبيع، حماية الحقن، النماذج مع البارامترات.
CSP/HSTS/XFO/XSS-Protection, strict CORS, MIME/limite.
حد الأسعار/الحصص، مفاتيح الخصوصية للمدفوعات/المدفوعات.
Ficheflags: مفتاح قتل سريع للميزات الخطرة.

رؤوس أمان NGINX (جزء): 
nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:;" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;

8) البيانات، PII والامتثال (بما في ذلك PCI)

الهدف: الحد الأدنى من الجمع، الحد الأدنى من الوصول، أقصى قدر من الشفافية.

Data- zones/классы: 'public/internal/confidential/pii/pci'. علامات في الخزائن والسجلات.
تقليل PII: تسمية مستعارة لـ «player _ id»، ترميز تفاصيل الدفع.
سياسات التخزين: ساخنة/باردة، وورم للتدقيق ؛ حذف TTL التلقائي.
الوصول: فقط من خلال الأدوار والخصائص المتفق عليها (المنطقة/الهدف).
تجزئة PCI: مقطع معزول، سجلات وصول، فحوصات منتظمة/ASVs.

9) طبقة الحافة: CDN/WAF/DDoS/حماية الروبوت

الهدف: التخلص من «القمامة» في قلب المنصة.

CDN: الكتل الجغرافية، استراتيجيات التخزين المؤقت، حماية الطبقة 7.
WAF: التوقيعات الأساسية + القواعد الجمركية لواجهة برمجة التطبيقات (مخططات JSON، حظر الطرق غير القياسية).
الروبوتات: التحليلات السلوكية، بصمة الجهاز، حد المعدل/الكابتشا للحالات الشاذة.
TLS/ALPN: إيقاف تشغيل الشفرات القديمة، وتشغيل تدبيس OCSP.

10) الرصد والقياس عن بعد و SecOps

الهدف: شاهد الهجمات ورد قبل الحادث.

إمكانية الملاحظة: المقاييس/السجلات/المسارات مع 'التعقب _ id' ومجالات مراجعة الحسابات.
SIEM/SOAR: ارتباط الحدث (التوثيق، تغييرات IAM، مشغلات WAF، الوصول إلى الأسرار).
قواعد الكشف: 401/403 ارتفاعات، تصعيد الأدوار، المدفوعات الجماعية، الشذوذ الجغرافي.
المسح: SAST/DAST/IAST، CSPM/KSPM، اختبارات القضيب المنتظمة ومكافآت الأخطاء.
مكافحة الاحتيال: تسجيل المعاملات/السلوك، مرشحات السرعة، قوائم العقوبات.

11) الموثوقية والاحتياطي واستمرارية تصريف الأعمال

الهدف: النجاة من الانهيار دون فقدان البيانات و SLAs.

تكرار و PITR لقواعد البيانات، لقطات متكررة مع استعادة الاختبار.
خطة DR: RTO/RPO، نصوص المنطقة الفاشلة، تبديل الاختبارات.
الأسرار في DR: مفاتيح مستقلة/نسخة طبق الأصل من KMS، عملية دوران الطوارئ.
الأدلة الرسمية: قوائم مراجعة الاسترداد وتمارين يوم اللعبة.

12) العمليات التنفيذية والثقافة

الهدف هو أن يكون الأمن «افتراضيًا».

الأمن من قبل العلاقات العامة: المراجعة الأمنية الإلزامية للتغييرات الحساسة.
سياسات الإصدار: إغلاق النوافذ الليلية/الذروة ؛ قوائم مراجعة ما قبل الرحلة.
آمن Runbook - تعليمات مع معلمات آمنة وإجراءات تدقيق.
التدريب: محاكاة التصيد الاحتيالي، والتدريب على الحوادث، وجلسات الطاولة الحية.

13) القوائم المرجعية (قصيرة)

الشبكة والمحيط

  • جميع الدخول لكل WAF/CDN ؛ تمكين DDoS
  • MTLS بين الخدمات ؛ حرمان الجميع من سياسات الشبكة
  • Ext-alowist لمقدمي الخدمات الخارجيين

الهوية

  • SSO + MFA ؛ JIT وكسر الزجاج مع التدقيق
  • RBAC/ABAC، SCIM-Deactivate Layoffs
  • حسابات الخدمة ذات الرموز القصيرة

K8s/containers

  • توقيعات الصور + SBOM ؛ الحظر «: في وقت متأخر»
  • Seccomp/AppArmor، FS للقراءة فقط، قبعات إسقاط
  • سياسات حارس البوابة/كيفيرنو ورفض القوائم

أسرار/مفاتيح

  • قبو/KMS، تناوب، تقسيم المفتاح
  • التشفير عند الراحة/أثناء العبور
  • ترميز المدفوعات

CI/CD и سلسلة الإمداد

  • العدائين سريع الزوال ؛ أسرار فقط في الوظائف المحمية
  • SAST/DAST/التراخيص ؛ توقيعات القطع الأثرية
  • ترويج GitOps، بوابات الجودة

البيانات/PII/PCI

  • تصنيف البيانات والعلامات في المستودعات
  • سياسات الاحتفاظ/إدارة الديدان ؛ الوصول حسب الدور
  • عزل قطاع PCI، فحوصات ASV

SecOps

  • قواعد SIEM/SOAR، تنبيهات التصعيد
  • مرشحات مكافحة الغش والسرعة
  • خطة DR، اختبارات RTO/RPO

14) أمثلة على السياسات «الصعبة»

كيفيرنو: حظر الحاويات المميزة

yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: { name: disallow-privileged }
spec:
rules:
- name: no-priv match: { resources: { kinds: ["Pod"] } }
validate:
message: "Privileged containers are not allowed"
pattern:
spec:
containers:
- securityContext:
privileged: "false"

OPA (Rego): حظر 'HostNetwork'

rego package kubernetes.admission

violation[msg] {
input.request.kind.kind == "Pod"
input.request.object.spec.hostNetwork == true msg:= "hostNetwork is not allowed"
}

15) الأنماط المضادة

«حماية المحيط» بدون تجزئة/تجزئة داخلية → حركة جانبية.
الأسرار في متغيرات CI env، والتحميل على السجلات.
الصور: الأحدث، بدون توقيعات و SBOM.
سياسة السماح للجميع في المجموعة ؛ المساحات المشتركة لكل شيء.
التشفير «على الورق» بدون دوران حقيقي للمفاتيح واختبارات الاسترداد.
الاعتماد على WAF بدلاً من تصحيح المنطق والتحقق من صحة البيانات.
لا توجد تمارين DR/سيناريوهات مجدولة - الخطة هي «جمع الغبار».

16) كيفية البدء (خطة 90 يومًا)

1. الأسبوع 1-2: مخزون الأصول/البيانات، التصنيف، خريطة التدفق

2. الأسبوع 3-4: تمكين mTLS/رفض جميع سياسات الشبكة، مرشحات WAF/DDoS/bot.
3. الأسبوع 5-6: قبو/KMS، تناوب المفاتيح، ترميز الدفع.

4. الأسبوع 7-8: حظر Gatekeeper/Kyverno و Seccomp/AppArmor و «المتميز »/« المسار المضيف»

5. الأسبوع 9-10: توقيعات الصور، SBOM، CI/CD Gates، GitOps Promotion.
6. الأسبوع 11-12: قواعد SIEM/SOAR، تنبيهات التصعيد، مكافحة الاحتيال.
7. الأسبوع 13: تمرين DR وتحديث Runabook وحالة الامتثال (PII/PCI).

النتائج

طبقات الأمان هي بنية الحلول، وليست مجموعة من صناديق الشيكات. اجمع بين تجزئة الشبكة و Zero Trust، و IAM الصارم، containers/K8s الآمنة، والأسرار المدارة والتشفير، وخطوط الأنابيب المحمية، والدفاع على الحافة، وإمكانية ملاحظة SecOps. بعد ذلك، حتى في حالة وقوع هجمات وتحطم، ستحافظ المنصة على سلامة البيانات، وسرية PII/PCI، وتوافر التدفقات الرئيسية - الودائع والعطاءات وعمليات السحب - في أي ساعات ذروة.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.