基础架构中的安全层
(部分: 技术和基础设施)
简短的摘要
安全性是层系统:如果前者失败,则每个层都会阻止并检测攻击。对于iGaming来说,这尤其关键:支付流、PII、合作伙伴集成和峰值负载。下方是将网络,身份,应用程序,数据和操作过程连接到单个托管程序的深度防御框架。
1)威胁模式和基本原则
Threat Modeling: STRIDE/kill chain for key stream(登录、存款、出价、出价、出价、出价)。
Zero Trust:"默认情况下不信任",最低限度,检查每个跳。
Least Privilege&Segregation of Duties:角色是原子的,敏感的操作是分开的。
Secure by Default:封闭端口,deny-all策略,安全默认。
Auditability:所有可用性/更改-在集中式审核中。
2)网络和外围
目的:防止横向移动,隔离管理风险。
分段/区域:边缘(CDN/WAF)→ API →服务→数据(DB/KMS)→ admin/bacofis。
VPC/VNet隔离+用于公共/私人服务的子网;NAT/egress控制(包括PSP/游戏提供商的 egress-allowlist)。
mTLS无处不在(mesh/Ingress),TLS 1。2 +/HSTS/清晰的密码配置。
外围的WAF/机器人管理/DDoS;反积分。
DNS安全:split-horizon、DNSSEC、容错、关键域快取。
Пример: Kubernetes NetworkPolicy (deny-all + allow-list):
yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-deny-all, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
ingress: [] # deny-all egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]3)身份和访问(IAM/PAM)
目标:每次访问都是合理、有限和透明的。
用于人员和机器的SSO+MFA;特权帐户的硬件密钥。
用于云/K8s/bacofis的RBAC/ABAC;SCIM-自动打开/关闭。
JIT访问(临时),带有增强审计功能的断面玻璃。
具有短寿命令牌(OIDC/JWT)的服务帐户,客户机机密审核。
基站/命令镜像:仅通过基站和记录会话访问数据库/节点。
4)秘密和钥匙
目的:消除泄漏,确保密钥生命周期可管理。
KMS/HSM(向导键),定期轮换;按区域/目标划分密钥。
保密存储(Vault/Cloud KMS Secrets)具有动态积分和保释金。
- 在rest(DB/buckets/snapshots)与envelope encryption。
- In transit (TLS/mTLS).
- Tokenization用于支付数据;PAN-safe线程和3域安全(PCI DSS)。
hcl path "kv/prod/payments/" {
capabilities = ["read","list"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}5)集装箱和Kubernetes安全
目的:将攻击表面降至最少。
Runtime-политики: Seccomp/AppArmor, `readOnlyRootFilesystem`, `drop ALL` capabilities + allow-list.
PodSecurity (или Pod Security Admission): enforce restricted.
图像:最低基本,没有编译器/壳牌;签名(cosign)和SBOM。
管理控制(OPA/Gatekeeper/Kyverno):禁令":最新","特权","hostPath","root"。
Secrets是来自Secret Manager的volume/env;没有冒充的图像。
寄存器:私有,带有漏洞检查(SAST/DAST/CSA)。
yaml apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sAllowedRepos metadata: { name: only-internal-registry }
spec:
repos: ["registry.internal.local/"]6) Supply-chain и CI/CD
目的:相信从商品到产品的人工制品。
分支政策:修订代码,受保护的分支,强制检查。
工件签名和前瞻性(SLSA/COSIGN),不变标签(不变图像)。
SBOM(CycloneDX/SPDX),Dependabot/Renovate和按下依赖关系。
CI隔离:短暂的跑步者,仅在受保护的jobs中的秘密,无plaintext。
CD门:质量/SAST/许可证/供应商政策;仅通过GitOps进行促销。
7)应用程序安全(API/web/mobile)
目的:防止逻辑和技术攻击。
AuthN/AuthZ: OAuth2/OIDC/JWT;简短的TTL,按键旋转,听力/审阅检查。
输入安全性:验证/正常化、注射保护、带有参数的模板。
CSP/HSTS/XFO/XSS- Protection,严格的CORS,限制可下载的MIME/尺寸。
利率限制/quotas,用于付款/付款的idempotency-keys。
Ficheflagi:用于危险功能的快速杀手开关。
nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:;" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;8)数据,PII和合规性(包括PCI)
目标:最低限度的收集,最低限度的访问,最大程度的透明度。
Data-zones/классы: `public/internal/confidential/pii/pci`.存储库和日志中的标签。
PII最小化:别名"player_id",代号化支付详细信息。
存储策略:热/冷,WORM用于审核;通过TTL自动删除。
访问:仅通过一致的角色和属性(区域/目标)。
PCI分段:隔离段、访问日志、常规扫描/ASV。
9)边缘层: CDN/WAF/DDoS/机器人保护
目的:清除"垃圾"到平台核心。
CDN:地理块,kesh策略,layer-7保护。
WAF:API下的基本签名+定制规则(JSON电路,禁止非标准方法)。
机器人: 行为分析,设备指纹,rate-limit/kapchi异常.
TLS/ALPN:关闭旧密码,启用OCSP stapling。
10)监视,遥测和SecOps
目的:在事件发生前看到攻击并作出反应。
可观察性:带有"trace_id"和audit 字段的度量/logi/traces。
SIEM/SOAR:事件相关性(身份验证,IAM更改,触发WAF,秘密访问)。
检测规则:401/403, role-escalation,质量支付,地质异常。
扫描:SAST/DAST/IAST,CSPM/KSPM,定期笔测试和错误赏金。
反犯罪:交易/行为评分,velocity过滤器,制裁名单。
11)可靠性、储备和业务连续性
目的:在不丢失数据和SLA的情况下生存失败。
复制和PITR for DB,频繁的狙击与测试恢复.
DR计划:RTO/RPO, region failover脚本,开关测试。
DR中的秘密:KMS的独立密钥/复制件,紧急旋转过程。
正式gaids:恢复支票和游戏日练习。
12)操作流程和文化
目的:使安全性"默认"。
公关安全:敏感更改的强制性安全审查。
发布策略:夜间/高峰窗口关闭;飞行前支票单。
Secure Runbooks:安全设置说明,操作审核。
培训:网络钓鱼模拟,事件培训,"实时"tabletop课程。
13)管制清单(简短)
网络和周边
- WAF/CDN背后的所有入口;DDoS启用
- 服务之间的mTLS;deny-all网络策略
- Egress-allowlist到外部提供商
身份认同
[] SSO+MFA;JIT和破玻璃与审计- RBAC/ABAC, SCIM停用裁员
- 具有短令牌的服务帐户
K8s/容器
- 映像签名+SBOM;禁令":最新"
[] Seccomp/AppArmor, read-only FS, drop caps- Gatekeeper/Kyverno政策和deny列表
秘密/钥匙
- Vault/KMS、旋转、密钥共享
- 加密at rest/in transit
- Tokenization用于付款
CI/CD и supply-chain
- 短暂的跑步者;只有受保护的乔巴人的秘密
- SAST/DAST/许可证;工件签名
- GitOps促销,质量门
数据/PII/PCI
- 存储中的数据和标签分类
- Retention/WORM政策;按角色访问
- PCI段隔离,ASV扫描
SecOps
- SIEM/SOAR规则,升级差异
- Anti-frod和velocity过滤器
- DR计划,RTO/RPO测试
14)"硬"政策的例子
Kyverno: 禁止特权容器
yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: { name: disallow-privileged }
spec:
rules:
- name: no-priv match: { resources: { kinds: ["Pod"] } }
validate:
message: "Privileged containers are not allowed"
pattern:
spec:
containers:
- securityContext:
privileged: "false"OPA(Rego): 禁止"hostNetwork"
rego package kubernetes.admission
violation[msg] {
input.request.kind.kind == "Pod"
input.request.object.spec.hostNetwork == true msg:= "hostNetwork is not allowed"
}15)反模式
"我们保护周边"没有内部mTLS/segmentation →横向移动。
env变量CI中的秘密,上载到日志中。
图像":最新",缺少签名和SBOM。
集群中的全局策略;一般的内务空间。
"纸上"加密,没有真正的密钥旋转和恢复测试。
依靠WAF而不是纠正逻辑和验证数据。
没有DR/表格场景演习-计划"灰尘"。
16)如何开始(90天计划)
1.第1周至第2周:asset/数据清单,分类,流图。
2.第3至第4周:启用mTLS/deny-all网络策略,WAF/DDoS/机器人过滤器。
3.第5-6周:保管/KMS,钥匙轮换,付款令牌化。
4.第7-8周:Gatekeeper/Kyverno,Seccomp/AppArmor,禁令"特权"/"hostPath"。
5.第9-10周:图像签名,SBOM,CI/CD门,GitOps促销。
6.第11-12周:SIEM/SOAR规则,升级变量,反欺诈。
7.第13周:DR教学,runabook更新和合规状态(PII/PCI)。
三.成果
安全层是解决方桉体系结构,而不是"复选框"集。连接网络分割和零信任、严格的IAM 、安全容器/K8s、可控秘密和加密、受保护的管道、边缘防御和SecOps可观察性。然后,即使发生攻击和故障,该平台也将在任何高峰时段保持数据完整性、PII/PCI隐私以及关键线程(存款、利率和收款)的可用性。