GH GambleHub

تقویت محیط تولید و حسابرسی

1) اهداف و حوزه مسئولیت

تولید نه تنها «پایدارترین محیط» است، بلکه بیشتر مورد حمله قرار گرفته است. وظیفه ما:
  • به حداقل رساندن منطقه حمله و شعاع انفجار ؛
  • حفاظت از کانال ها، حساب ها، اسرار و مصنوعات تحویل ؛
  • شناسایی و پاسخ به حوادث سریع تر از اهداف MTTR
  • تایید انطباق (GDPR/PCI DSS/قوانین محلی)
  • حفظ حسابرسی از تمام اقدامات مهم.

اصول کلیدی: اعتماد صفر، حداقل امتیاز، تقسیم بندی، همه چیز به عنوان کد، امنیت به طور پیش فرض.

2) محیط شبکه و تقسیم بندی

بخش ها: لبه (WAF، مدیریت ربات، DDoS)، DMZ (دروازه)، برنامه (میکروسرویس)، داده ها (DB/caches)، Backoffice/Ops (CI/CD، مشاهده پذیری).
سیاست های L4/L7: انکار به طور پیش فرض، اجازه صریح توسط services/namespaces/ports.
mTLS در یک خوشه TLS 1. 2 + در محیط، HSTS، رمزهای امن.
فیلتر ورودی: WAF (OWASP Top-10)، anti-bot، محدودیت نرخ، بلوک های جغرافیایی/ASN، CAPTCHA در مسیرهای خطر.
حفاظت DDoS: همیشه در + خودکار کاهش، پروفایل های جداگانه برای API/محتوای استاتیک.
کنترل خروج: فقط میزبان خارجی لازم برای ارائه دهندگان (PSP/KYC/بازی ها).

3) هویت، دسترسی و امتیازات (IAM/PAM)

SSO (OIDC/SAML) + MFA برای انسان ؛ OIDC Tokens/Workload Identity برای خدمات.
RBAC/ABAC: نقش هایی با حداقل مجوز مورد نیاز ؛ «شکستن شیشه» دسترسی تحت ممیزی و TTL.
PAM: چک کردن جلسه محرمانه بر اساس تقاضا، ضبط کامل و ورود به سیستم.
CIEM (ابرها): جستجو برای حقوق بیش از حد و نقش مرده، اصلاح خودکار.
دسترسی به داده های تولید: فقط از طریق پرش/پروکسی تایید شده، با ماسک PII.

4) اسرار و رمزنگاری

KMS/HSM: ذخیره سازی کلید، رمزگذاری پاکت، چرخش با اطلاعیه ها.
مدیر مخفی: اعتبارات کوتاه مدت، اسرار را از Git/logs حذف کنید.
امضاها: مصنوعات (cosign)، webhooks (HMAC)، نشانه های خدمات.
زمینه های PAN/PII: نشانه گذاری/رمزگذاری در حالت استراحت ؛ پوشش در سیاهههای مربوط و پیش نمایش.
سیاست های چرخش: کلید/گواهی/کلمه عبور - معمول و مجبور.

5) ظروف و Kubernetes (CWPP/KSPM)

تصاویر پایه: حداقل، آسیب پذیری اسکن در CI ؛ تا جایی که امکان دارد بی ریشه.

سیاست های پذیرش (OPA/Gatekeeper/Kiverno): ممنوعیت «: آخرین»، «ممتاز»، hostPath ؛ نیاز به امضای تصویر

NetworkPolicies: ارتباطات سرویس به سرویس تنها زمانی که مورد نیاز است.
PodSecurity: قابلیت های محدود، FS فقط خواندنی، seccomp، AppArmor.
اسرار: از فروشگاه مخفی CSI (KMS) ؛ هیچ راز آشکاری در ظاهر وجود ندارد.
حفاظت در زمان اجرا: قوانین رفتاری (eBPF)، هشدار به ناهنجاری ها.

مثالی از یک قانون OPA (disallow unsigned images): 
rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6) زنجیره تامین: اعتماد اما بررسی کنید

SBOM در هر ساخت ؛ ذخیره سازی و اتصال به انتشار.
امضای تصویر/آشکار، اعتبار سنجی در کنترل پذیرش.
گواهینامه های SLSA: منشاء قابل اثبات مصنوعات.
سیاست به عنوان کد: Conftest/OPA در Terraform/Helm/K8s قبل از ادغام.
ممنوعیت «آخرین لحظه پچ» بر روی محصول: تمام تغییرات تنها از طریق خط لوله است.

7) آسیب پذیری و مدیریت پچ

SCA/SAST/DAST в CI ؛ مسدود کردن آستانه برای بحرانی/بالا.
دسته به روز رسانی هفتگی (تصاویر، بسته های سیستم عامل، کتابخانه ها) + اضطراری برنامه ریزی نشده است.
اصلاحات انجام شده → بلیط/نسخه های مرتبط با CVE/SBOM.
EASM: نمای خارجی از سطح حمله (زیر دامنه ها، پورت های باز، گواهینامه ها).
تست قلم به طور منظم: حداقل یک بار در سال + هدفمند در جریان بحرانی (پرداخت/CCM).

8) سیاههها، معیارها، ردیابی و ذخیره سازی مصنوعات حسابرسی

سیاهههای استاندارد (JSON) با 'trace _ id'، 'request _ id'، کاربر/مستاجر/جغرافیایی (نام مستعار)، بدون PII/PAN.
معیارها: P50/P95/P99، نرخ خطا، اشباع، DLQ، Retrai، KPI کسب و کار (زمان به کیف پول).
OTel: پایان دادن به پایان برای مسیرهای بحرانی (سپرده/CCL/خروجی).
SIEM: همبستگی رویداد (احراز هویت، تغییر نقش، اقدامات مدیر، قوانین WAF/ربات).
SOAR: واکنش های خودکار (عایق کوره، فراخوانی نشانه، بلوک IP/ASN، ممنوعیت انتشار).
نگهداری: سیاهههای مربوط به عملیات - 30-90 روز ذخیره سازی داغ، مصنوعات حسابرسی - طولانی تر، با توجه به سیاست.

حداقل قالب ثبت) مثال (: 
json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9) ضد رباتها، کلاهبرداری و سناریوهای دفاعی

مدیریت ربات: امضا/رفتار، اثر انگشت دستگاه، چالش های پویا.
محدودیت نرخ/سهمیه: برای هر کاربر/مستاجر/IP ؛ تطبیقی در ناهنجاری ها.
سنسورهای RASP در نقاط پایانی بحرانی (تلاش برای دور زدن امضاهای وب سایت، رانش ساعت، تحویل مجدد).
سیگنال های تقلب: همبستگی با کانال ها (ورود، پرداخت، KYC)، افزایش خودکار.

10) حفاظت، DR و BCP

اهداف RTO/RPO تعریف و آزمایش می شوند (به عنوان مثال، RTO ≤ 1 ساعت، RPO ≤ 5 دقیقه برای پایگاه داده های پرداخت).

پشتیبان گیری: رمزگذاری شده، به صورت دوره ای در ذخیره سازی آفلاین ؛ تست های بازیابی منظم

تکثیر جغرافیایی: دارایی-بدهی/دارایی-دارایی بر اساس منطقه ؛ شکست DNS با کنترل TTL.
فهرست وابستگی های بحرانی (PSP/KYC/aggregators بازی) و برنامه های سوئیچینگ.

11) حوادث و پاسخ

Runbooks: برای قطره ارائه دهنده، رشد تاخیر، سازش نشانه، DDoS.

در تماس: 24/7، چرخش و صفحات انفجار ؛ تمرین مشترک «اتاق جنگ»

ارتباطات: قالب پیام برای مشتریان/شرکا و تنظیم کننده ها.
پس از مرگ (بی گناه): اقدامات برای جلوگیری از تکرار، به روز رسانی سیاست ها/playbooks.

12) انطباق و حفظ حریم خصوصی

GDPR: به حداقل رساندن داده ها، ثبت رضایت، حق حذف/پورت ؛ DPIA برای ارائه دهندگان جدید.
PCI DSS: مناطق نشانه گذاری/جداسازی PAN، بخش های شبکه، سیاهههای مربوط به دسترسی دقیق.
الزامات محلی (حوزه های قضایی بازار): ذخیره سازی داده ها در منطقه، گزارش، پنجره های به روز رسانی.
خط داده: کجا و چگونه PII/PAN جریان ؛ طرحها و DPIA در DevPortal.

13) حسابرسی: انواع، مصنوعات و چرخه

انواع حسابرسی:
  • داخلی (سه ماهه): انطباق با سیاست ها، کنترل تغییرات، دسترسی، اسرار، سیاهههای مربوط، خطوط لوله.
  • خارجی (سالانه/با الزامات): PCI/GDPR/تنظیم کننده های محلی، آزمون قلم، گزارش SOC از ارائه دهندگان.
مصنوعات کلیدی (چه به طبخ در پیش):
  • سیاست های امنیتی، ماتریس نقش IAM، لیست استثنا با تاریخ انقضا.
  • سیاهههای مربوط به تغییر زیرساخت (IaC)، گزارش CI/CD (SBOM، امضا، آزمایش).
  • ثبت نام ارائه دهندگان (PSP/KYC/بازی ها)، ارزیابی ریسک DPIA/فروشنده، قراردادها و SLA ها.
  • سیاهههای مربوط به دسترسی به فروش، نتایج چرخش مخفی، گزارش SIEM/SOAR.
  • برنامه های DR/BCP و پروتکل های تست های بازیابی اخیر.
رویکرد حسابرسی:
  • «اول شواهد»: هر عمل یک مصنوع قابل اثبات است.
  • «No humans in prod»: حداکثر از طریق خطوط لوله و برنامه های تایید شده ؛ تمام جلسات - زیر ورود به سیستم.
  • ردیابی همه چیز - نقشه تغییرات به حوادث/معیارها.

14) Guardrails-as-Code: نمونه ها

Conftest برای Terraform (ممنوعیت پایگاه داده عمومی): 
rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

سیاست پذیرش (K8s): نیاز به برچسب های امنیتی و محدودیت منابع

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15) چک لیست بهداشت روزانه

  • سیاست های WAF/bot فعال، امضاهای به روز شده ؛ ضد DDoS در حالت همیشه فعال
  • کنترل پذیرش در خوشه در حالت اجرا، نه حسابرسی.
  • تمام تصاویر تولید امضا می شوند ؛ SBOM در دسترس است و به انتشار وابسته است.
  • آسیب پذیری های بحرانی/بالا - گم شده یا ثابت با استثنا تاریخ.
  • چرخش اسرار/گواهی - در برنامه، بدون تاخیر.
  • SIEM رویدادهای ورودی/تغییر IAM/release را مرتبط می کند. playbooks SOAR در حال آزمایش هستند.
  • پشتیبان گیری گذشت، بازگرداندن آزمون در برنامه ؛ برنامه DR معتبر است.
  • دسترسی به مواد غذایی - فقط از طریق SSO + MFA/PAM ؛ تمام جلسات ضبط شده
  • «بدون PII در سیاهههای مربوط» - تایید شده توسط اسکنر ؛ ماسک امکان پذیر است.
  • دروازه های انتشار و قابلیت مشاهده به روز شده «به عنوان کد».

16) مدل بلوغ (کوتاه)

1. عمومی - تغییرات دستی، محیط تک، نظارت جزئی.
2. تقسیم بندی پیشرفته، IAM/RBAC، مصنوعات امضا شده، WAF/DDoS، SIEM، تکه های منظم.
3. کارشناس - اعتماد صفر، گارد محافظ به عنوان کد، گواهینامه SLSA، حفاظت از زمان اجرا، اتوماسیون SOAR، «هیچ انسانی در تولید»، ممیزی مداوم.

17) نقشه راه پیاده سازی

M0-M1 (MVP): تقسیم بندی شبکه، WAF/DDoS، SSO + MFA، KMS، سیاست پذیرش پایه، سیاهههای مربوط به استاندارد/معیارها/مسیرهای پیاده سازی، SIEM.
M2-M3: امضای تصویر و تأیید پذیرش، SBOM، Conftest/OPA در IaC، PAM، برنامه چرخش، تکه های منظم، اولین آزمایش DR.
M4-M6: playbooks SOAR، eBPF/تشخیص زمان اجرا، EASM، بسته انطباق (PCI/GDPR)، مجموعه کامل مصنوعات حسابرسی، ring-DR بر اساس منطقه.
M6 +: شبکه Zero-Trust (mTLS در همه جا)، CIEM، گزارش های حسابرسی خودکار، آزمایش مداوم «تیم بنفش».

خلاصه

انگیزه قوی مجموعه ای از قوانین «آهن» نیست، بلکه یک سیستم است: تقسیم بندی، هویت های دقیق و اسرار، تحویل امن، ظروف مدیریت شده، قابلیت مشاهده و پاسخ خودکار. قابلیت اطمینان (مصنوعات حسابرسی، SBOM/امضا، سیاهههای مربوط) را اضافه کنید، و محیط تولید قابل پیش بینی، قابل کنترل و آماده برای ممیزی های خارجی می شود - بدون مصالحه در سرعت انتشار و SLO های کسب و کار.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

Telegram
@Gamble_GC
شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.