Firewall və trafikin filtrasiyası

(Bölmə: Texnologiya və Infrastruktur)

Qısa xülasə

Faervol perimetrdə bir qutu deyil, L3-L4-dən L7-yə qədər təbəqəli filtrasiya modelidir: bulud təhlükəsizlik qrupları/NACL, Kubernetes-də şəbəkə siyasətləri, egress-control (çıxış), WAF və edge-də bot-menecment və mTLS/xidmət üçün mənbə-həqiqət xidmətə. iGaming üçün əsas şey ödəniş axınlarının və oyun provayderlərinin qorunması, geo-siyasət, DNS nəzarəti və müşahidə edilməsidir (kim, harada, nə vaxt və niyə).

1) Məqsədlər və prinsiplər

Default deny: default qadağandır, minimum zəruri icazə.
Defense-in-depth: perimetrdə, buludda, klasterdə və tətbiqdə eyni siyasətlər.
Egress-first: Çıxış trafiki giriş trafiki ilə eyni riskdir (PSP, oyun provayderləri, poçt, analitika).
Identity> Adres: Mümkün olduqda, çılpaq IP əvəzinə identity (mTLS/Spiffe) ilə icazə veririk.
Müşahidə və audit: həllərin qeydləri (allow/deny), izləmə, hadisələrlə korrelyasiya.

2) Filtrasiya qatlarının xəritəsi

1. Edge: CDN/WAF/DDoS/bot qorunması, L7 qaydaları, TLS terminasiyası.
2. Bulud: VPC/alt şəbəkə/VM səviyyəsində Təhlükəsizlik Qrupları/NACL/Firewall Rules.
3. Klaster: Kubernetes NetworkPolicy, mTLS və L7 filtrləri ilə xidmət (Envoy/Istio).
4. Host: iptables/nftables/ufw, agent eBPF filtrləri.
5. App: rate-limit/idempotency/WAF in-app, egress üçün domen siyahıları.
6. DNS: split-horizon, allowlist rezolverlər, risk-domen bloku/tipləri.

3) Perimetri: WAF, DDoS və bot menecmenti

WAF: əsas işarələr + API altında xüsusi qaydalar (JSON sxemləri, metodları/məzmun növü).
Botlar: davranış skoru, device fingerprint, anomaliyalar üçün dinamik kapça.
DDoS: L3/4 (volium/sinaps) və L7 (HTTP floods) - edge avtomatik atma.
Geo/ASN: Riskli istiqamətlər üçün regionları/avtonom sistemləri məhdudlaşdırırıq (məsələn, inzibati panel).

nginx
Разрешаем только JSON POST/GET на /api/
location /api/ {
limit_req zone=rl_api burst=50 nodelay;
if ($request_method!~ ^(GET    POST)$) { return 405; }
if ($http_content_type!~ "application/json") { return 415; }
proxy_pass http://api_upstream;
}
ModSecurity CRS + собственные правила modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/crs.conf;

4) Bulud: Security Groups və NACL

Security Group (stateful) - portlar/protokollar/seqmentlər üzrə filtrlər.
NACL (stateless) - alt şəbəkələrin kobud tor filtrasiyası.

yaml security_group:
name: api-sg ingress:
- proto: tcp; port: 443; cidr: 0.0.0.0/0 # через CDN/WAF egress:
- proto: tcp; port: 443; cidr: 203.0.113.0/24  # PSP-X
- proto: tcp; port: 443; cidr: 198.51.100.0/24 # ProviderA
- proto: udp; port: 53; cidr: 10.10.0.10/32  # только наш DNS

Təcrübə: PSP/oyun provayderlərinin xüsusi diapazonlarına ayrı-ayrı SG və egress-allowlist saxlamaq üçün ödənişlər. Yeniləmələr - IaC və revyu vasitəsilə.

5) Kubernetes: NetworkPolicy və xidmət qarışığı

NetworkPolicy klaster daxilində L3/4 məhdudlaşdırır; default «hər kəs hər kəslə danışır» - bağlayın.

yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: deny-all, namespace: prod }
spec:
podSelector: {}
policyTypes: [Ingress, Egress]
ingress: []
egress: []
---
Разрешаем API разговаривать с платежным сервисом и DNS apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-allow-specific, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]
- to:
- ipBlock: { cidr: 10.10.0.10/32 }
ports: [{ protocol: UDP, port: 53 }]

• mTLS hər yerdə (identifikasiya xidmətləri, IP deyil).
• L7-filtrasiya (metodlar/hosts/yollar/başlıqlar), circuit-breaker, outlier-ejection.
• Xidmət Hesabı/Spiffe ID.

yaml apiVersion: security.istio.io/v1 kind: AuthorizationPolicy metadata: { name: api-to-payments, namespace: prod }
spec:
selector: { matchLabels: { app: payments } }
action: ALLOW rules:
- from:
- source:
principals: ["spiffe://prod/ns/prod/sa/api-sa"]
to:
- operation:
methods: ["POST"]
paths: ["/deposit","/withdraw"]

6) Host faylları: iptables/nftables/eBPF

nft table inet filter {
sets {
psp { type ipv4_addr; elements = { 203.0.113.10, 203.0.113.11 } }
}
chains {
input { type filter hook input priority 0; policy drop;
ct state established,related accept iifname "lo" accept tcp dport {22,443} accept
}
output { type filter hook output priority 0; policy drop;
ct state established,related accept udp dport 53 ip daddr 10.10.0.10 accept  # только наш DNS tcp dport 443 ip daddr @psp accept    # egress к PSP
}
forward { type filter hook forward priority 0; policy drop; }
}
}

eBPF agentləri (Cilium və s.) incə L3-L7 siyasətləri və görünürlük (flows, DNS, HTTP meta-məlumat) verir.

7) Egress-nəzarət və təyinat kataloqları

Allowlist xarici zənglər üçün domen/IP (PSP, poçt, KYC, oyun provayderləri).
DNS pinning/SNI siyasətləri: yalnız etibarlı rezolver vasitəsilə sürmək; xam IP egress qadağan.
Ödəniş, oyun və ümumi konturlar üçün ayrı VPC/VNet egress.
PII olmayan trafik üçün TLS yoxlama ilə proxy; ödəniş axınları - MITM olmadan, yalnız birbaşa mTLS/PII-safe.

8) TLS/mTLS və kriptopolitika

TLS 1. 2 +, müasir şifrələr, OCSP stapling, HSTS.
mTLS daxilində - Spiffe ID/xidmət hesablarının sertifikatlaşdırılması.
Sertifikatların müntəzəm rotasiyası və etimad zəncirlərinin yoxlanılması.
CORS/CSP L7-proxy ön hücum mənbələri kəsmək üçün.

9) Rate-limit və L7-kvotaları

IP/ASN/prefikslər üzrə Edge-limitlər; tətbiq limitləri - şəxsiyyətə görə (hesab/tenant/açar).
POST ödəniş əməliyyatları üçün Idempotency-keys, retrajların dubl yaratmaması üçün.
Leaky/Token bucket jitter ilə; deqradasiya zamanı - «boz cavablar «/kapça/yavaşlama.

10) DNS təhlükəsizliyi

Yalnız korporativ rezolverlərə icazə verilir (VPC resolver/CoreDNS tərəfindən qaldırılmışdır).
Split-horizon: Daxili adlar xaricdən birləşmir.
Zərərli TLD/kateqoriyalar bloku, DoH/DoT-dən çıxmaq qadağasıdır.
Sorğu loqosu və anomaliyalar üzrə alertinq (yeni domenlər, tez-tez NXDOMAIN).

11) Log, müşahidə və test

Fairwall log (allow/deny, qaydalar, baytlar), WAF auditi, DNS log → SIEM/SOAR.
Exemplars: 'trace _ id' → problemli sorğu yoluna sürətli atlama ilə kilidləmə metrikası.
Sintetika: PSP/oyun provayderlərinin lazımi bölgələrdən müntəzəm olaraq əlçatanlığını yoxlayın.
Şəbəkənin xaos testləri: packet loss, RTT, DNS səhvləri - qaydaların reaksiyasını və avtomatik remediasiyanı yoxlayırıq.

12) Avtomatlaşdırma və IaC

Bütün qaydalar kod kimi (Terraform/Ansible/Helm/Kyverno/Gatekeeper).
Təhlükəsizlik Siyasətçiləri (OPA) ilə Pull-request-review.
Version və annotasiyalar: hər hansı bir qayda dəyişikliyi qrafiklərdə qeyd olunur.
Kanarya dəyişiklikləri: şəbəkə siyasətlərini tədricən yuvarlamaq (namespace/label, 5-10% pod).

13) iGaming xüsusiyyətləri

Ödəniş marşrutları (PSP): ayrı-ayrı egress qrupları, ciddi allowlist, kodların/vaxtların monitorinqi.
Oyun provayderləri: CDN domenlərinin whitelisting, qəfil redaktorlardan qorunma.
Geo-qaydalar: yerli məhdudiyyətlərə uyğunluq, edge bölgə blokları.
Backoffice/KYC: yalnız etibarlı şəbəkələrdən/bastion + MFA vasitəsilə giriş.
Frod: L7 velocity limitləri və anormal mənbələrin API «ağır» sorğular.

14) Sürətli qaydaların nümunələri

UFW (host)

bash ufw default deny incoming ufw default deny outgoing ufw allow 22/tcp ufw allow 443/tcp ufw allow out to 10.10.0.10 port 53 proto udp ufw allow out to 203.0.113.0/24 port 443 proto tcp

Istio EnvoyFilter (qeyri-standart metodların qadağan edilməsi, ideya)

yaml typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.http.router.v3.Router до роутера — Lua/Match для блокировки методов not in [GET,POST,OPTIONS]

NGINX rate-limit

nginx limit_req_zone $binary_remote_addr zone=rl_api:10m rate=10r/s;
server {
location /api/ { limit_req zone=rl_api burst=50 nodelay; proxy_pass http://api; }
}

15) Giriş çek siyahısı

1. Default deny bulud (SG/NACL), klaster (NetworkPolicy) və hosts səviyyəsində.
2. PSP/provayderlərə Egress-allowlist, yalnız etibarlı DNS vasitəsilə.
3. WAF/bot-menecment/DDoS edge, L7-REST/JSON altında qaydaları və downloads.
4. mTLS xidmətlər arasında, şəxsiyyət avtorizasiyası (Spiffe/SA).
5. Rate-limit/quotas edge və app, idempotency-keys ödənişlər üçün.
6. DNS siyasətləri: DoH/DoT, split-horizon, loging qadağası.
7. Logi və SIEM: mərkəzləşdirilmiş kolleksiya allow/deny/WAF/DNS, anomaliyalar üzrə alertlər.
8. IaC prosesləri: qaydalar kodu, PR-review, kanarya yuvarlanma, annotasiyalar.
9. Testlər/xaos: RTT/loss/DNS nasazlıqları, fallback marşrutlarının və avto skriptlərin yoxlanılması.
10. Müntəzəm yoxlamalar: istifadə olunmayan qaydaların auditi, PSP/CDN ünvanlarının rotasiyası.

16) Anti-nümunələr

«Hər şeyi açın və WAF-a ümid edin» - perimetri daxili trafiki xilas etməyəcək.
Egress-control yoxdur -/C2 sızması üçün ampul tuneli.
Kubernetes-də Allow-all NetworkPolicy - yan hərəkət təmin edilir.
Domain/DNS nəzarət olmadan dinamik CDN/PSP dünyada yalnız IP filtrasiya.
MTLS olmadan TLS terminasiyasının yeganə nöqtəsi xidmətlərin dəyişdirilməsidir.
IaC/audit olmadan məhsulda qaydaların əl ilə düzəldilməsi - bərpa olunmazlıq və borclar.
Firewall log «heç bir yerdə» - müşahidə olmadan, bu sadəcə «qara qutu».

Nəticələr

Effektiv trafik filtrasiyası platformanın memarlıq parçasıdır: edge-WAF və bulud SG-dən NetworkPolicy və mTLS-ə qədər, PSP/provayderlərə sərt egress nəzarəti və IaC vasitəsilə idarəetmə ilə. Bu sistem sızma və hücum riskini azaldır, SLO çərçivəsində ödənişlər və oyunlar saxlayır və tam audit və müşahidə sayəsində hadisələrin tez bir zamanda araşdırılmasına kömək edir.