Sənaye mühitinin möhkəmləndirilməsi və audit

1) Məqsədlər və məsuliyyət sahəsi

• hücum sahəsini minimuma endirmək və Blast Radius;
• kanalları, qeydləri, sirləri və təchizat artefaktlarını qorumaq;
• MTTR hədəflərini daha sürətli aşkar etmək və onlara cavab vermək;
• standartlara (GDPR/PCI DSS/yerli qaydalar) uyğunluğunu təsdiq etmək;
• bütün kritik hərəkətlərin yoxlanılabilirliyini (auditability) saxlamaq.

Əsas prinsiplər: Zero Trust, Least Privilege, Segmentation, Everything-as-Code, Security-by-Default.

2) Şəbəkə perimetri və seqmentasiya

Seqmentlər: Edge (WAF, bot-menecment, DDoS), DMZ (gateway), App (mikroservislər), Data (BD/caches), Backoffice/Ops (CI/CD, observability).
L4/L7 siyasətləri: deny-by-default, servislər/neyspaces/portlar üzrə açıq allow.
mTLS klaster daxilində; TLS 1. 2 + perimetrdə, HSTS, təhlükəsiz şifrələr.
Giriş filtri: WAF (OWASP Top-10), anti-bot, rate limits, geo/ASN blokları, risk yolunda CAPTCHA.
DDoS protection: always-on + auto-mitigation, API/statik məzmun üçün ayrı profillər.
Egress-control: Yalnız provayderlər üçün zəruri xarici hosts (PSP/KYC/oyunlar).

3) Şəxsiyyət, giriş və imtiyazlar (IAM/PAM)

SSO (OIDC/SAML) + insanlar üçün MFA; OIDC tokenləri/Workload Identity xidmətlər üçün.
RBAC/ABAC: minimum icazə ilə rolları; «break-glass» audit və TTL altında giriş.
PAM: istək üzrə imtiyazlı sessiyaların yazılması, tam qeyd və jurnallaşdırma.
CIEM (buludlar): həddindən artıq hüquqların və ölü rolların axtarışı, avtomatik remediasiya.
Prod məlumatlarına giriş: yalnız təsdiqlənmiş jump/proxy vasitəsilə, PII maskası ilə.

4) Sirləri və kriptoqrafiya

KMS/HSM: açarların saxlanması, envelope-şifrələmə, bildirişlərlə rotasiya.
Gizli menecer: qısa ömürlü kreditlər, Git/log sirləri istisna.
İmzalar: artefaktlar (cosign), webhooks (HMAC), xidməti tokenlər.
PAN/PII sahələri: tokenizasiya/şifrələmə at-rest; log və preview maskalama.
Rotasiya siyasəti: açarlar/sertifikatlar/şifrələr - tənzimlənən və məcburi.

5) Konteynerlər və Kubernetes (CWPP/KSPM)

Əsas görüntülər: minimal, CI-də boşluqların skan edilməsi; rootless harada mümkündür.
Admission-policies (OPA/Gatekeeper/Kyverno): qadağan ': latest', 'privileged', hostPath; şəkillərin imzalanmasını tələb edirik.
NetworkPolicies: Xidmətlərarası əlaqə yalnız lazım olduqda.
PodSecurity: məhdud capabilities, read-only FS, seccomp, AppArmor.
Sirləri: Secret Store CSI-dən (KMS); manifestlərdə heç bir plain sirri yoxdur.
Runtime-müdafiə: davranış qaydaları (eBPF), anomaliyalarda alertlər.

rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6) Təchizat zənciri: etibar edin, lakin yoxlayın

Hər bir bild üçün SBOM; saxlama və reliz ilə əlaqə.
Şəkillərin/manifestlərin imzaları, admission-kontrollerdə yoxlama.
SLSA sertifikatları: artefaktların sübut olunan mənşəyi.
Policy-as-Code: Conftest/OPA Terraform/Helm/K8s-dən əvvəl.
Prodda «last-minute patching» qadağası: bütün dəyişikliklər yalnız paypline vasitəsilə.

7) Boşluqların və yamaqların idarə edilməsi

SCA/SAST/DAST в CI; critical/high üçün kilid eşik.
Həftəlik yeniləmə batçları (şəkillər, OS paketləri, kitabxanalar) + təcili plansız.
Yerinə yetirilmiş düzəlişlər → CVE/SBOM-a bağlı biletlər/buraxılışlar.
EASM: Hücum səthinin xarici görünüşü (alt domenlər, açıq portlar, sertifikatlar).
Müntəzəm pen testləri: ildə ən azı bir dəfə + kritik axınlar üçün hədəflənmiş (ödənişlər/KUS).

8) Audit artefaktlarının qeydləri, metrikləri, izləri və saxlanması

Standartlaşdırılmış loqlar (JSON) 'trace _ id', 'request _ id', user/tenant/geo (təxəllüs), PII/PAN olmadan.
Metriklər: p50/p95/p99, error-rate, saturation, DLQ, retray, biznes KPI (Vaxt-to-Wallet).
Trace (OTel): kritik marşrutlar üçün end-to-end (depozit/KUS/çıxarış).
SIEM: hadisələrin korrelyasiyası (autentifikasiya, rolların dəyişdirilməsi, inzibati fəaliyyət, WAF/bot qaydaları).
SOAR: avtomatik reaksiyalar (pod izolyasiyası, token geri çağırılması, IP/ASN bloku, buraxılış qadağası).
Retenshn: əməliyyat qeydləri - 30-90 gün isti saxlama, audit-artefaktlar - siyasətlərə görə daha uzun.

json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9) Antibot, fırıldaqçılıq və müdafiə ssenariləri

Bot menecmenti: işarələr/davranış, device-fingerprint, dinamik çağırışlar.
Rate limits/quotas: per-user/tenant/IP; anomaliyalar üçün adaptiv.
Kritik end nöqtələrində RASP sensorları (webhooks imzasını aşmaq cəhdləri, saat sürüklənməsi, təkrar çatdırılma).
Fraud siqnalları: kanallarla korrelyasiya (giriş, ödənişlər, KYC), avtomatik eskalasiya.

10) Rezerv, DR və BCP

RTO/RPO hədəfləri müəyyən və test edilir (məsələn, RTO ≤ 1 saat, RPO ≤ ödəniş DB üçün 5 dəqiqə).
Arxalar: şifrələnmiş, vaxtaşırı oflayn saxlama; müntəzəm bərpa testləri.
Geo-dublyaj: regionlar üzrə aktiv-passiv/aktiv-aktiv; TTL nəzarət ilə DNS-failover.
Kritik asılılıqlar kataloqu (PSP/KYC/oyun aqreqatorları) və keçid planları.

11) Hadisələr və cavab

Runbooks: provayderin düşməsi, gecikmə artımı, token güzəşti, DDoS üçün.
On-call: 24/7, rotasiya və blast page; birgə «war-room» təcrübə.
Rabitə: müştərilərə/tərəfdaşlara və tənzimləyicilərə mesaj şablonları.
Post-mortem (blameless): təkrarlanmanın qarşısını almaq üçün tədbirlər, siyasətləri/playbukları yeniləmək.

12) Uyğunluq və məxfilik

GDPR: məlumatların minimuma endirilməsi, razılıq qeydləri, silinmə/portasiya hüququ; Yeni provayderlər üçün DPIA.
PCI DSS: tokenizasiya/yalıtılmış PAN zonaları, şəbəkə seqmentləri, ciddi giriş jurnalları.
Yerli tələblər (bazar yurisdiksiyaları): bölgədə məlumatların saxlanması, hesabatlar, yeniləmə pəncərələri.
Data Lineage: PII/PAN harada və necə axır; DevPortal sxemləri və DPIA.

13) Audit: növləri, artefaktları və dövrü

• Daxili (rüblük): siyasətlərə uyğunluq, dəyişikliklərə, girişlərə, sirlərə, qeydlərə, paylaynlara nəzarət.
• Xarici (illik/tələblərə görə): PCI/GDPR/lokal tənzimləyicilər, pen testləri, SOC hesabatları.

• Təhlükəsizlik siyasəti, IAM matrisi rolları, son tarix ilə istisnalar siyahısı.
• Infrastruktur dəyişikliklərinin qeydləri (IaC), CI/CD hesabatları (SBOM, imzalar, testlər).
• Provayderlərin reyestri (PSP/KYC/oyunlar), DPIA/satıcı risk qiymətləndirmələri, müqavilələr və SLA.
• Prod giriş jurnalları, sirr rotasiyalarının nəticələri, SIEM/SOAR hesabatları.
• DR/BCP planları və son bərpa testlərinin protokolları.

• «Evidence-first»: hər təcrübə - yoxlanılan artefakt.
• «No humans in prod»: paylaynlar və təsdiq edilmiş müraciətlər vasitəsilə maksimum; bütün sessiyalar - jurnal altında.
• «Trace everything»: dəyişiklikləri hadisələrlə/metriklərlə əlaqələndirin.

14) Guardrails-as-Code: nümunələr

rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

AdmissionPolicy (K8s): təhlükəsizlik nişanları və resurs limitləri tələb olunur

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15) Qida mühitinin gündəlik gigiyenasının yoxlama siyahısı

• WAF/bot siyasətləri aktivdir, işarələr yenilənir; anti-DDoS always-on rejimində.
• enforce vəziyyətində bir klasterdə Admission-controllers, heç bir audit.
• Bütün prototiplər imzalanmışdır; SBOM mövcuddur və buraxılışa bağlıdır.
• critical/high boşluqları - heç bir və ya tarixi ilə istisnalarla qeyd.
• Sirlərin/sertifikatların rotasiyası - qrafikə uyğun olaraq, gecikmə yoxdur.
• SIEM giriş/dəyişiklik/buraxılış hadisələrini əlaqələndirir; SOAR pleybukları sınaqdan keçirilir.
• Backup keçdi, cədvəldə bərpa testi; DR-plan validen.
• Prod-a giriş - yalnız SSO + MFA/PAM vasitəsilə; bütün sessiyalar qeyd olunur.
• «No PII in logs» - skanerlər tərəfindən təsdiqlənir; maskalama daxil.
• Release gates və müşahidə yeniləndi «as-code».

16) Yetkinlik modeli (qısa)

1. Əsas - əl dəyişikliyi, vahid perimetr, qismən monitorinq.
2. Qabaqcıl - seqmentasiya, IAM/RBAC, imzalanmış artefaktlar, WAF/DDoS, SIEM, müntəzəm yamaqlar.
3. Ekspert - Zero Trust, guardrails-as-code, SLSA-sertifikatlaşdırma, runtime-müdafiə, SOAR-avtomatlaşdırma, «no humans in prod», davamlı audit.

17) Tətbiqi yol xəritəsi

M0-M1 (MVP): şəbəkə seqmentasiyası, WAF/DDoS, SSO + MFA, KMS, əsas Admission-policy, standartlaşdırılmış log/metrik/treys, SIEM.
M2-M3: şəkil imzaları və admission, SBOM, Conftest/OPA-nın IaC, PAM, rotasiya planı, müntəzəm yamalar, ilk DR testləri.
M4-M6: SOAR pleybukları, eBPF/runtime detekti, EASM, komplayens paketi (PCI/GDPR), audit artefaktlarının tam dəsti, regionlar üzrə ring-DR.
M6 +: Zero-Trust şəbəkəsi (hər yerdə mTLS), CIEM, avtomatlaşdırılmış audit nəzarət hesabatları, daimi «purple-team» test.

Qısa nəticə

Güclü məhsul «dəmir» qaydalar dəsti deyil, bir sistemdir: seqmentasiya, ciddi şəxsiyyət və sirlər, təhlükəsiz təchizat, idarə olunan konteynerlər, müşahidə və avtomatlaşdırılmış reaksiya. Buna yoxlanılabilirlik əlavə edin (audit artefaktları, SBOM/imzalar, jurnallar) və prod mühiti proqnozlaşdırıla bilən, idarə oluna bilən və xarici yoxlamalara hazır olur - buraxılış sürəti və biznes SLO ilə bağlı kompromis olmadan.