GH GambleHub

Zero Trust Memarlıq

Qısa xülasə

Zero Trust (ZT) - şəbəkə perimetri artıq etibarlı zona sayılmayan təhlükəsizlik modelidir. Hər bir sorğu (user → app, service → service, device → network) kontekst siqnalları (şəxsiyyət, cihaz vəziyyəti, yeri, risk, davranış) nəzərə alınmaqla aydın autentifikasiya, avtorizasiya və şifrələmədən keçir. Məqsəd blast radius-u minimuma endirmək, lateral hərəkət riskini azaltmaq və uyğunluğu asanlaşdırmaqdır.

Zero Trust-un əsas prinsipləri

1. Açıq etimad yoxdur: etimad/VPN/ASN şəbəkəsindən miras qalmır.
2. Giriş minimal zəruridir: «yalnız indi lazım olanı təmin etmək» siyasəti.
3. Davamlı yoxlama: seanslar və tokenlər mütəmadi olaraq risk və kontekstə görə çox qiymətləndirilir.
4. Güzəşt fərziyyəsi: seqmentasiya, müşahidə, sürətli konteynment və açar rotasiyası.
5. Hər yerdə şifrələmə: TLS 1. 2+/1. 3 və mTLS daxili data planes, DNS qorunan, KMS/HSM sirləri.

Hədəf landşaft və nəzarət domenləri

Şəxsiyyət: insanlar (IdP: SSO, MFA, passkeys/FIDO2), maşınlar (SPIFFE/SVID, x509/mTLS).
Cihazlar: siyasətə uyğunluq (MDM/EDR, disk şifrələnmiş, yamalar, jailbreak/root - qadağandır).
Şəbəkə: mikroseqmentasiya L3/L7, ZTNA/SDP-şlyuzlar, xidmət-mesh (Envoy/Istio/Linkerd).
Applications/API: mTLS, OIDC/JWT, sorğu imzaları (HMAC), rate limits, DLP/maskalama.
Məlumat: təsnifat (Public/Confidential/Restricted), tokenizasiya/sahə səviyyəsində şifrələmə.
Müşahidə: mərkəzləşdirilmiş autentifikasiya/avtorizasiya qeydləri, davranış analitikası, SLO/SLA.

Referens-memarlıq (müstəvilər kəsiyində)

Control Plane: IdP/CIAM, PDP/PEP (OPA/Envoy), siyasət kataloqu, PKI/CA, cihazların sertifikatlaşdırılması.
Data Plane: proxy-access (ZTNA), mTLS üçün sidecar-proxy (Envoy) və L7 siyasəti, servis şlüzləri/API GW.
Management Plane: xidmətlər kataloqu, CMDB, CI/CD, gizli idarəetmə (Vault/KMS), mərkəzləşdirilmiş audit.

Sorğu axını (user → app):

1. Identifikasiya (SSO + phishing-resistant MFA) → 2) Cihaz qiymətləndirilməsi (MDM posture) → 3) ZTNA proxy app mTLS qurur → 4) PDP (siyasət) atributlar əsasında qərar qəbul (ABAC/RBAC) → 5) davamlı risklərin yenidən qiymətləndirilməsi (vaxt, geo, anomaliyalar).

Kimlik və avtorizasiya

IdP/SSO: OIDC/SAML, MFA default, üstünlük FIDO2 (passkeys).
RBAC/ABAC: rollar + kontekstin atributları (cihaz statusu, bölmə, risk profili).
Just-In-Time (JIT) giriş: avtomatik geri çağırışla müvəqqəti imtiyazlar; break-glass - ciddi tənzimlənir.
mTLS maşınlar üçün: SPIFFE/SVID və ya qısamüddətli sertifikatlarla daxili PKI; avtomatik rotasiya buraxılışı.

Qurğular və kontekst

Uyğunluq testi (posture): OS/EDR versiyası, disk enkript, firewall daxil; qeyri-compliant → minimum və ya blok giriş.
Sertifikatlaşdırma: device identity + signed attestations (MDM/Endpoint).
Şəbəkə məhdudiyyətləri: üçüncü tərəf tunel bloku, məcburi korporativ DNS, DNS/WebRTC sızıntılarına qarşı qorunma.

Şəbəkə və mikroseqmentasiya

«Düz» VLAN-dan imtina: bunun əvəzinə - seqmentlər/VRF və L7-də siyasət.
Service Mesh: sidecar-proxy mTLS, siyasət avtorizasiyası (OPA/EnvoyFilter), telemetriya təmin edir.
ZTNA/SDP: şəbəkəyə deyil, konkret proqrama giriş; , PDP-də siyasət.
Remote Access: app proxy ilə «qalın» VPN əvəz; fallback-tunellər marşrutlar/limanlarda məhduddur.

Siyasət və həll mühərriki

PDP/PEP: Policy Decision Point (OPA/Styra, Cedar и пр.) + Policy Enforcement Point (Envoy/Istio/Gateway).
Siyasət modeli: deklarativ qaydalar (Rego/Cedar), statik və kontekst atributlar, risk qiymətləndirilməsi.

Rego nümunəsi (sadələşdirilmiş): 
rego package access. http

default allow = false

allow {
input. user. role == "support"
input. request. path == "/admin/tickets"
input. device. compliant == true time. now_hh >= 8 time. now_hh <= 20
}

Həllərin izlənməsi: audit üçün 'input '/' result '/' explain' loqosu.

Şifrələmə və etibarlılıq

TLS 1. 2+/1. 3 hər yerdə, ciddi şifrələmə, HSTS, OCSP stapling.
mTLS daxili: xidmət, yalnız qarşılıqlı sertifikatlar üzrə xidmət; qısamüddətli açarlar (saat/gün).
Secrets: KMS/HSM, dynamic secrets (Vault), qısa TTL, tətbiqlər üçün least-privilege.

Müşahidə, SLO və cavab

Metriklər (minimum dəst):
  • Autentifikasiya və avtorizasiyanın müvəffəqiyyəti (%), PDP qərar vaxtının p95, p95 TLS-handshake.
  • Siyasət tərəfindən bloklanan sorğuların faizi (anomaliyalar/saxta).
  • ZTNA broker və Mesh Controller mövcudluğu.
  • Kompliant cihazların payı və trendləri.
SLO (nümunələr):
  • "ZTNA mövcudluğu ≥ 99. 95 %/ay; p95 authZ decision ≤ 50 мс».
  • "mTLS ilə sorğuların payı ≥ 99. 9%».
  • "0-dan çox deyil. 1 %/gün saxta giriş uğursuzluqları".

Alartinq: deny sıçrayışlar, əl sıxma p95 deqradasiya, qeyri-palid zəncirlər, kompliant cihazların payının düşməsi, coğrafiya anomaliyaları/ASN.

Perimetrdən Zero Trust-a keçid: yol xəritəsi

1. Inventarizasiya: proqramlar, məlumat axını, istehlakçılar, həssaslıq (PII/kart/ödənişlər).
2. Kimlik və MFA: SSO və phishing-resistant MFA hər kəs üçün.
3. Cihazların konteksti: MDM/EDR, əsas uyğunluq siyasətləri, qeyri-compliant blok.
4. Prioritet yolların mikroseqmentasiyası: ödənişlər, arxa ofis, inzibati; mTLS daxil.
5. Xüsusi giriş üçün ZTNA: proxy vasitəsilə proqramların yayımlanması, «geniş VPN» aradan qaldırılması.
6. ABAC siyasətləri: mərkəzləşdirilmiş PDP, deklarativ qaydalar, audit.
7. Service mesh genişləndirilməsi: S2S mTLS, L7 siyasəti, telemetri.
8. Avtomatlaşdırma və SLO: alertinq, siyasət testləri (siyasi CI), oyun günləri "ya IdP mövcud deyilsə? ».

iGaming/Fintech üçün xüsusiyyətlər

Sərt domen seqmentasiyası: ödənişlər/PII/antifrod/məzmun - ayrı-ayrı perimetrlər və siyasətlər; yalnız ZTNA.
PSP/banklarla qarşılıqlı əlaqə: ASN/diapazonlar üzrə allow-list, PSP-end-pointlərə mTLS, authZ-də Time-to-Wallet və nasazlıqların monitorinqi.
Məzmun təchizatçıları və tərəfdaşları: müvəqqəti API JIT girişləri, qısa TTL tokenləri, inteqrasiya auditi.
Komplayens: PCI DSS/GDPR - məlumatların minimuma endirilməsi, DLP/təxəllüsləşdirmə, həssas cədvəllərə girişlərin qeydiyyatı.

Təchizat zəncirlərinin təhlükəsizliyi və CI/CD

Artefakt imzaları (SLSA/Provenance): konteyner imzaları (cosign), K8s Admission siyasəti.
SBOM və boşluqlar: SBOM (CycloneDX) generasiyası, paylaynda policy-gate.
CI sirləri: OIDC-bulud KMS federasiya; statik açarları qadağan.
Rotasiyalar: tez-tez, avtomatik; hadisələrdə məcburi revoke.

Tipik səhvlər və anti-nümunələr

«ZTNA = yeni VPN»: proqram əvəzinə şəbəkə yayımı - Zero Trust deyil.
Heç bir cihaz yoxlama: MFA var, lakin yoluxmuş/rutin cihazlar daxil olur.
Tək super istifadəçi: JIT və ayrı rolların olmaması.
Xidmətlər kodunda siyasət: mərkəzləşdirilmiş audit/yeniləmənin mümkünsüzlüyü.
mTLS qismən: mTLS → «dəlik» kontursuz xidmətlərin bir hissəsi.
Sıfır UX: həddindən artıq MFA sorğuları, SSO yoxdur; nəticə - komandalara müqavimət.

Texnologiya seçimi üçün mini bələdçi

İstifadəçi girişi: ZTNA/SDP broker + IdP (OIDC, FIDO2 MFA).
Xidmət təhlükəsizliyi: xidmət-mesh (Istio/Linkerd) + OPA/Envoy authZ.
PKI: SPIFFE/SVID və ya qısa TTL ilə Vault PKI.
Siyasətlər: OPA/Rego və ya Cedar; Git saxlamaq, CI (policy-tests) yoxlamaq.
Log və telemetriya: OpenTelemetry → mərkəzləşdirilmiş analiz, anomaliyalar detalı.

Konfiqurasiya nümunələri (fraqmentlər)

Envoy (xidmətlər arasında myutual-TLS)

yaml static_resources:
listeners:
- name: listener_https filter_chains:
- filters:
- name: envoy. filters. network. http_connection_manager typed_config:
"@type": type. googleapis. com/envoy. extensions. filters. network. http_connection_manager. v3. HttpConnectionManager route_config: { name: local_route, virtual_hosts: [] }
transport_socket:
name: envoy. transport_sockets. tls typed_config:
"@type": type. googleapis. com/envoy. extensions. transport_sockets. tls. v3. DownstreamTlsContext common_tls_context:
tls_params: { tls_minimum_protocol_version: TLSv1_2 }
tls_certificates:
- certificate_chain: { filename: /certs/tls. crt }
private_key: { filename: /certs/tls. key }
validation_context:
trusted_ca: { filename: /certs/ca. crt }
require_signed_certificate: true

OPA/Rego: hesabatlara yalnız «finance» -dən, kompliant-cihazlardan, iş saatlarında daxil olmaq

rego package policy. reports

default allow = false

allow {
input. user. dept == "finance"
input. device. compliant == true input. resource == "reports/profit"
time. now_hh >= 8 time. now_hh <= 21
}

Sıfır Trust Giriş Çek Siyahısı

1. Bütün istifadəçilər və administratorlar üçün SSO və MFA FIDO2 daxil edin.
2. Qeyri-compliant kilidi ilə device posture (MDM/EDR) daxil edin.
3. ZTNA (per-app) istifadəçi girişini tərcümə edin, VPN yalnız dar S2S kanalları üçün buraxın.
4. Daxili - mTLS default + qısa ömürlü sertifikatlar.
5. Siyasətləri mərkəzləşdirin (PDP/OPA), Git-də saxlayın, CI-də test edin.
6. Həssas domenləri seqmentləşdirin (ödənişlər/PII/geri ofis) və east-west məhdudlaşdırın.
7. Telemetriya, SLO və auth/authZ, mTLS payına, posture siqnallarına uyğunlaşdırın.
8. «game days» (IdP-dən imtina, açar sızması, brokerin düşməsi) keçirmək və SOP/geri çəkilmələri düzəltmək.

FAQ

Zero Trust VPN tamamilə əvəz edir?
Xüsusi giriş üçün - bəli, ZTNA lehinə. S2S magistralları üçün VPN/IPsec qala bilər, lakin mTLS və sərt siyasətlər.

ZT UX-ni pisləşdirə bilərmi?
Əgər düşüncəsiz. SSO + FIDO2, adaptiv MFA və per-app UX girişi ilə adətən yaxşılaşır.

Xidmət meş tətbiq etmək lazımdır?
Həmişə deyil. Lakin böyük mikroservis mühiti üçün mesh mTLS/siyasət/telemetriyanı kökündən sadələşdirir.

Yekun

Zero Trust məhsul deyil, memarlıq intizamıdır: yeni bir perimetr, cihazların konteksti, tətbiqi giriş (ZTNA), mikroseqmentasiya və hər yerdə mTLS, mərkəzləşdirilmiş siyasət və ölçülə bilən etibarlılıq kimi şəxsiyyət. Yol xəritəsi və yoxlama siyahısını izlədikdən sonra hücum səthini azaltacaq, auditi sürətləndirəcək və «default etimad» olmadan davamlı təhlükəsizlik əldə edəcəksiniz.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.