GH GambleHub

Infrastrukturda təhlükəsizlik təbəqələri

(Bölmə: Texnologiya və Infrastruktur)

Qısa xülasə

Təhlükəsizlik bir qat sistemidir: hər qat əvvəlki uğursuz olduqda hücumları saxlayır və aşkar edir. iGaming üçün bu xüsusilə kritikdir: ödəniş axınları, PII, tərəfdaşlıq inteqrasiyaları və pik yüklər. Aşağıda - şəbəkə, şəxsiyyət, proqramlar, məlumatlar və əməliyyat proseslərini bir idarə olunan proqrama birləşdirən defense-in-depth çərçivəsi.

1) Təhdidlər modeli və əsas prinsipləri

Threat Modeling: Əsas axınlar üçün STRIDE/kill chain (giriş, depozit, bahis, nəticə, backofis).
Zero Trust: «default etibar etməyin», minimum hüquqlar, hər hop üzərində yoxlama.
Least Privilege & Segregation of Duties: rolları atom, həssas əməliyyatlar bölünür.
Secure by Default: qapalı limanları, deny-all siyasətləri, təhlükəsiz defolt.
Auditability: Bütün girişlər/dəyişikliklər - mərkəzləşdirilmiş auditdə.

2) Şəbəkə və perimetr

Məqsəd: yan hərəkət və izolyasiya riskini idarə qarşısını almaq.

Seqmentasiya/zonalar: Edge (CDN/WAF) → API → Services → Data (DB/KMS) → admin/backofis.
VPC/VNet izolyasiya + ictimai/özəl xidmətlər üçün alt şəbəkələr; NAT/egress-nəzarət (o cümlədən PSP/oyun provayderlərinə egress-allowlist).
mTLS hər yerdə (mesh/Ingress), TLS 1. 2 +/HSTS/aydın kriptovalyutası.
WAF/bot-menecment/DDoS perimetri; credential stuffing üçün anti-scoring.
DNS təhlükəsizliyi: split-horizon, DNSSEC, arıza müqaviməti, kritik domenlər üçün cash-pinning.

Пример: Kubernetes NetworkPolicy (deny-all + allow-list): 
yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-deny-all, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
ingress: [] # deny-all egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]

3) Kimlik və giriş (IAM/PAM)

Məqsəd: Hər giriş haqlı, məhdud və şəffaf audit.

İnsanlar və maşınlar üçün SSO + MFA; imtiyazlı hesablar üçün hardware açarları.
bulud/K8s/backofis üçün RBAC/ABAC; SCIM - Avtomatik açma/söndürmə.
JIT-giriş (müvəqqəti), gücləndirilmiş auditlə break-glass.
Qısa ömürlü tokenlərlə Service Accounts (OIDC/JWT), müştəri sirlərinin auditi.
Bastion/güzgü komandaları: Prod-DD/qovşaqlara giriş - yalnız bastion və səsyazma seansları vasitəsilə.

4) Sirləri və açarları

Məqsəd: sızmaları aradan qaldırmaq və açarların idarə olunan həyat dövrünü təmin etmək.

KMS/HSM (master açarı), müntəzəm rotasiya; açarların zonalara/hədəflərə bölünməsi.
dynamic-creds və lease ilə gizli saxlama (Vault/Cloud KMS Secrets).

Şifrələmə:
  • At rest (DB/bakets/snapshots) envelope encryption ilə.
  • In transit (TLS/mTLS).
  • Ödəniş məlumatları üçün Tokenization; PAN-safe axını və 3-domain security (PCI DSS).
Nümunə: Vault siyasəti (fraqment): 
hcl path "kv/prod/payments/" {
capabilities = ["read","list"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}

5) Konteyner təhlükəsizliyi və Kubernetes

Hədəf: Hücum səthini rentaym səviyyəsində minimuma endirmək.

Şəkillər: minimal baza, kompilyator/shell olmadan; imzalar (cosign) və SBOM.
Admission Control (OPA/Gatekeeper/Kyverno): qadağa ': latest', 'privileged', 'hostPath', 'root'.
Runtime-политики: Seccomp/AppArmor, `readOnlyRootFilesystem`, `drop ALL` capabilities + allow-list.
Secrets gizli menecerindən volume/env kimi; heç bir bake-in görüntü.
PodSecurity (или Pod Security Admission): enforce restricted.
Qeydlər: Şəxsi, boşluqları yoxlanılmış (SAST/DAST/CSA).

Gatekeeper Constraint (nümunə): 
yaml apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sAllowedRepos metadata: { name: only-internal-registry }
spec:
repos: ["registry.internal.local/"]

6) Supply-chain и CI/CD

Məqsəd: kommitdən prodakşna qədər olan artefaktlara etibar etmək.

Branch-policies: kod-review, qorunan filiallar, məcburi yoxlamalar.
Artefaktların imzası və provenance (SLSA/COSIGN), dəyişməz etiketlər (immutable görüntülər).
SBOM (CycloneDX/SPDX), Dependabot/Renovate və pinning asılılığı.
CI izolyasiyası: efemer runners, sirləri yalnız qorunan joblarda, no-plaintext.
CD-geytlar: quality/SAST/lisenziyalar/satıcı-siyasətlər; yalnız GitOps vasitəsilə promosyon.

7) Proqram təhlükəsizliyi (API/veb/mobil)

Məqsəd: məntiqi və texniki hücumların qarşısını almaq.

AuthN/AuthZ: OAuth2/OIDC/JWT; qısa TTL, açar rotasiyası, audience/issuer yoxlama.
Input Security: validasiya/normallaşma, inyeksiya qorunması, parametrləri ilə şablonları.
CSP/HSTS/XFO/XSS-Protection, ciddi CORS, yüklənən MIME/ölçüləri məhdudlaşdırır.
Rate limit/quotas, idempotency-keys ödənişlər/ödənişlər üçün.
Ficheflags: təhlükəli funksiyalar üçün sürətli kill-switch.

NGINX security headers (fraqment): 
nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:;" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;

8) Data, PII və komplayens (PCI daxil olmaqla)

Məqsəd: minimum yığım, minimum giriş, maksimum şəffaflıq.

Data-zones/классы: `public/internal/confidential/pii/pci`. Anbar və lojalarda etiketlər.
PII-nin minimallaşdırılması: 'player _ id' təxəllüsü, ödəniş rekvizitlərinin tokenləşdirilməsi.
Saxlama siyasəti: isti/soyuq, audit üçün WORM; TTL avtomatik çıxarılması.
Giriş: yalnız razılaşdırılmış rollar və atributlar vasitəsilə (region/məqsəd).
PCI seqmentasiyası: izolyasiya seqmenti, giriş jurnalları, müntəzəm skan/ASV.

9) Edge qat: CDN/WAF/DDoS/bot qorunması

Məqsəd: platformanın nüvəsinə «zibil» səpmək.

CDN: geo-bloklar, önbellək strategiyaları, layer-7-dən qorunma.
WAF: əsas işarələr + API altında xüsusi qaydalar (JSON sxemləri, qeyri-standart metodların qadağan edilməsi).
Botlar: davranış analitikası, device fingerprint, anomaliyalar üçün rate-limit/kapçalar.
TLS/ALPN: köhnə şifrələri söndürmək, OCSP stapling aktiv.

10) Monitorinq, Telemetriya və SecOps

Məqsəd: hücumları görmək və hadisədən əvvəl cavab vermək.

Müşahidə: metriklər/loglər/treyslər ilə 'trace _ id' və audit sahələri.
SIEM/SOAR: hadisələrin korrelyasiyası (autentifikasiya, IAM dəyişiklikləri, WAF işləmələri, sirlərə giriş).
Aşkarlama qaydaları: 401/403 sıçrayışlar, role-escalation, kütləvi ödənişlər, geo anomaliyalar.
Scanning: SAST/DAST/IAST, CSPM/KSPM, müntəzəm pene testləri və bug-bounty.
Anti-frod: əməliyyatlar/davranış, velocity filtrləri, sanksiya siyahıları.

11) Etibarlılıq, ehtiyat və biznes sabitliyi

Məqsəd: məlumat və SLA itkisi olmadan uğursuzluqdan xilas olmaq.

DB üçün replikasiya və PITR, testlərin bərpası ilə tez-tez snapshot.
DR planı: RTO/RPO, region failover ssenariləri, keçid testləri.
DR sirləri: müstəqil açarlar/KMS replikası, təcili rotasiya prosesi.
Formal qaydalar: bərpa yoxlama vərəqləri və game-day təlimləri.

12) Əməliyyat prosesləri və mədəniyyət

Məqsəd: təhlükəsizliyin «default» olması.

Security by PR: həssas dəyişikliklər üçün məcburi security-review.
Buraxılış siyasəti: gecə/pik pəncərələr bağlıdır; pre-flight yoxlama vərəqləri.
Secure Runbooks: təhlükəsiz parametrləri ilə təlimatlar, fəaliyyət audit.
Təlim: fişinq simulyasiyaları, insident təlimləri, «canlı» tabletop sessiyaları.

13) Nəzarət siyahıları (qısa)

Şəbəkə və perimetr

  • WAF/CDN üçün bütün ingress; DDoS aktiv
  • mTLS xidmətlər arasında; deny-all şəbəkə siyasətçiləri
  • Xarici provayderlərə Egress-allowlist

Kimlik

  • SSO+MFA; Audit ilə JIT və break-glass
  • RBAC/ABAC, SCIM işdən çıxarılması
  • Qısa tokenlərlə Service Accounts

K8s/konteynerlər

  • Şəkil imzaları + SBOM; qadağa ': latest'
  • Seccomp/AppArmor, read-only FS, drop caps
  • Gatekeeper/Kyverno siyasəti və deny-siyahıları

Sirlər/açarlar

  • Vault/KMS, rotasiya, açar ayrılması
  • Şifrələmə at rest/in transit
  • Ödənişlər üçün Tokenization

CI/CD и supply-chain

  • Efemer rannerləri; sirləri yalnız qorunan job
  • SAST/DAST/lisenziyalar; Artefaktların imzaları
  • GitOps-promosyon, keyfiyyətli geytalar

Məlumat/PII/PCI

  • Saxlama məlumatlarının təsnifatı və etiketləri
  • Retention/WORM siyasəti; rollar üzrə giriş
  • PCI seqmentinin izolyasiyası, ASV skanları

SecOps

  • SIEM/SOAR qaydaları, eskalasiyalar üçün alert
  • Anti-frod və velocity filtrləri
  • DR planı, RTO/RPO testləri

14) «Sərt» siyasətlərin nümunələri

Kyverno: imtiyazlı konteynerlərin qadağan edilməsi

yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: { name: disallow-privileged }
spec:
rules:
- name: no-priv match: { resources: { kinds: ["Pod"] } }
validate:
message: "Privileged containers are not allowed"
pattern:
spec:
containers:
- securityContext:
privileged: "false"

OPA (Rego): qadağa 'hostNetwork'

rego package kubernetes.admission

violation[msg] {
input.request.kind.kind == "Pod"
input.request.object.spec.hostNetwork == true msg:= "hostNetwork is not allowed"
}

15) Anti-nümunələr

«Perimetri qoruyun» daxili mTLS/segmentation → yan hərəkət olmadan.
env-dəyişən CI sirləri, Loads download.
Şəkillər ': latest', imzasız və SBOM.
Klaster allow-all siyasəti; hər şey üçün ümumi nişanlar.
Açarların real rotasiyası və bərpa testləri olmadan «kağız üzərində» şifrələmə.
Məntiqi düzəltmək və məlumatları təsdiqləmək əvəzinə WAF-a güvənmək.
DR təlimləri/tablo ssenariləri yoxdur - plan «tozlanır».

16) Başlamaq üçün necə (90 gün üçün plan)

1. Həftə 1-2: assetlərin/məlumatların inventarlaşdırılması, təsnifat, axın xəritəsi.
2. Həftə 3-4: mTLS/deny-all şəbəkə siyasətlərini, WAF/DDoS/bot filtrlərini işə salın.
3. Həftə 5-6: Vault/KMS, açar rotasiyası, ödənişlərin tokenlaşdırılması.
4. Həftə 7-8: Gatekeeper/Kyverno, Seccomp/AppArmor, qadağalar 'privileged '/' hostPath'.
5. Həftə 9-10: şəkil imzaları, SBOM, CI/CD geytaları, GitOps-promosyon.
6. Həftə 11-12: SIEM/SOAR qaydaları, alert eskalasiya, anti-frod.
7. Həftə 13: DR təlimi, Runabook və uyğunluq statusunun yenilənməsi (PII/PCI).

Nəticələr

Təhlükəsizlik təbəqələri həllərin arxitekturasıdır, «işarələr» toplusu deyil. Şəbəkə seqmentasiyası və Zero Trust, ciddi IAM, təhlükəsiz konteynerlər/K8s, idarə olunan sirlər və kriptolar, qorunan payplaynlər, edge müdafiəsi və SecOps müşahidə. Sonra, hətta hücumlar və uğursuzluqlar zamanı platforma məlumatların bütövlüyünü, PII/PCI məxfiliyini və hər hansı bir pik saatlarda əsas axınların - depozitlərin, dərəcələrin və nəticələrin mövcudluğunu qoruyacaq.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.