GH GambleHub

لایه های امنیتی در زیرساخت

(بخش: تکنولوژی و زیرساخت)

خلاصه ای کوتاه

امنیت یک سیستم از لایه ها است: هر لایه عقب می ماند و اگر حملات قبلی شکست بخورد، حملات را تشخیص می دهد. برای iGaming، این امر به ویژه مهم است: جریان پرداخت، PII، ادغام شرکا و بارهای پیک. در زیر چارچوب دفاع در عمق است که شبکه، هویت، برنامه ها، داده ها و فرآیندهای عملیاتی را به یک برنامه مدیریت شده متصل می کند.

1) مدل تهدید و مبانی

مدلسازی تهدید: زنجیره STRIDE/kill برای جریانهای کلیدی (ورود، واریز، پیشنهاد، برداشت، بک فایل).
Zero Trust: «به طور پیش فرض اعتماد نکنید»، حداقل حقوق، در هر هاپ بررسی کنید.
حداقل امتیاز و تفکیک وظایف: نقش ها اتمی هستند، عملیات حساس از هم جدا هستند.
امن به طور پیش فرض: پورت های بسته، سیاست های انکار همه، پیش فرض های امن.
حسابرسی: همه دسترسی ها/تغییرات - در حسابرسی متمرکز.

2) شبکه و محیط

هدف: اجتناب از حرکت جانبی و مدیریت ریسک به صورت جداگانه.

تقسیم بندی/مناطق: لبه (CDN/WAF) → API → خدمات → داده ها (DB/KMS) → admin/backhoe.
جداسازی VPC/VNet + زیر شبکه برای خدمات عمومی/خصوصی ؛ کنترل NAT/خروج (از جمله خروج allowlist به PSP/ارائه دهندگان بازی).
mTLS در همه جا (مش/ورودی)، TLS 1. 2 +/HSTS/پیکربندی رمزنگاری روشن.
WAF/مدیریت ربات/DDoS در محیط ؛ ضد امتیاز برای چاشنی اعتبار.
امنیت DNS: split-horizon، DNSSEC، تحمل خطا، پین کردن حافظه پنهان برای دامنه های بحرانی.

Пример: Kubernetes NetworkPolicy (انکار همه + اجازه لیست): 
yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-deny-all, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
ingress: [] # deny-all egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]

3) هویت و دسترسی (IAM/PAM)

هدف: هر دسترسی موجه، محدود و شفاف حسابرسی شده است.

SSO + MFA برای افراد و اتومبیل ؛ کلید های سخت افزاری برای حساب های مجاز.
RBAC/ABAC برای cloud/K8s/backoff ؛ SCIM - خودکار روشن/خاموش.
دسترسی JIT (موقت)، شیشه شیشه ای با حسابرسی پیشرفته.
حساب های خدمات با نشانه های کوتاه مدت (OIDC/JWT)، ممیزی اسرار مشتری.
Bastion/command mirroring: دسترسی به پایگاه داده ها/گره های تولید - فقط از طریق جلسات سنگر و نوشتن.

4) اسرار و کلید

هدف این است که از بین بردن نشت و ارائه یک چرخه عمر کلید قابل کنترل است.

KMS/HSM (کلید جادوگر)، چرخش منظم ؛ تقسیم کلید به مناطق/اهداف.
اسرار Vault/Cloud KMS با کرید پویا و اجاره نامه.

رمزگذاری:
  • در حالت استراحت (DB/سطل/عکس فوری) با رمزگذاری پاکت.
  • حمل و نقل (TLS/mTLS)
  • نشانه گذاری برای داده های پرداخت ؛ موضوعات PAN-safe و امنیت 3 دامنه (PCI DSS).
مثال: سیاست خرک (قطعه): 
hcl path "kv/prod/payments/" {
capabilities = ["read","list"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}

5) امنیت ظروف و Kubernetes

هدف: به حداقل رساندن سطح حمله در سطح زمان اجرا.

تصاویر: حداقل پایه، بدون کامپایلر/پوسته ؛ امضا (cosign) و SBOM.
کنترل پذیرش (OPA/Gatekeeper/Kiverno): ممنوعیت «: آخرین»، «ممتاز»، «hostPath»، «ریشه».
Runtime- политики: Seccomp/AppArmor، 'readOnlyRootFilesystem'، 'رها کردن ALL' قابلیت + اجازه لیست.
اسرار به عنوان حجم/ENV از مدیر مخفی ؛ بدون پخت در تصویر.
PodSecurity (پذیرش или Pod Security): اعمال محدودیت.
ثباتها: خصوصی، با بررسی آسیبپذیری (SAST/DAST/CSA).

محدودیت دروازه بان (مثال): 
yaml apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sAllowedRepos metadata: { name: only-internal-registry }
spec:
repos: ["registry.internal.local/"]

6) زنجیره تامین и CI/CD

هدف: اعتماد به مصنوعات از تعهد به تولید.

سیاست های شاخه: بررسی کد، شاخه های محافظت شده، چک های اجباری.
امضاء و منشأ مصنوع (SLSA/COSIGN)، برچسبهای تغییرناپذیر (تصاویر تغییرناپذیر).
SBOM (CycloneDX/SPDX)، وابستگی/بازسازی و وابستگی های پینینگ.
انزوای CI: دونده های زودگذر، اسرار فقط در مشاغل محافظت شده، بدون متن ساده.
CD-gates: کیفیت/SAST/مجوز/سیاست های فروشنده ؛ تبلیغات فقط از طریق GitOps.

7) امنیت برنامه (API/وب/تلفن همراه)

هدف: جلوگیری از حملات منطقی و فنی

AuthN/AuthZ: OAuth2/OIDC/JWT ؛ TTL کوتاه، چرخش های کلیدی، چک های مخاطب/صادر کننده.
امنیت ورودی: اعتبار/نرمال سازی، حفاظت از تزریق، قالب ها با پارامترها.
CSP/HSTS/XFO/XSS-Protection، CORS دقیق، محدودیت MIME/اندازه قابل دانلود.
محدودیت نرخ/سهمیه ها، کلید های idemotency برای پرداخت/پرداخت.
Ficheflags: سریع کشتن سوئیچ برای ویژگی های خطرناک است.

هدرهای امنیتی NGINX (قطعه): 
nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:;" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;

8) داده ها، PII و انطباق (از جمله PCI)

هدف: حداقل جمع آوری، حداقل دسترسی، حداکثر شفافیت.

داده - zones/классы: «عمومی/داخلی/محرمانه/pii/pci». برچسب ها در غرفه ها و سیاهههای مربوط.
حداقل PII: pseudonymization از 'player _ id'، نشانه گذاری جزئیات پرداخت.
سیاست های ذخیره سازی: گرم/سرد، WORM برای ممیزی ؛ حذف خودکار TTL.
دسترسی: فقط از طریق نقش ها و ویژگی های توافق شده (منطقه/هدف).
تقسیم بندی PCI: بخش جدا شده، سیاهههای مربوط به دسترسی، اسکن منظم/ASV.

9) لایه لبه: حفاظت از CDN/WAF/DDoS/bot

هدف: از بین بردن «زباله» به هسته پلت فرم.

CDN: بلوک های جغرافیایی، استراتژی های حافظه پنهان، حفاظت لایه 7.
WAF: امضاهای اساسی + قوانین سفارشی برای API (طرح های JSON، ممنوعیت روش های غیر استاندارد).
رباتها: تجزیه و تحلیل رفتاری، اثر انگشت دستگاه، نرخ محدود/captcha برای ناهنجاری.
TLS/ALPN: رمزهای قدیمی را خاموش کنید، مهر OCSP را روشن کنید.

10) نظارت، تله متری و SecOps

هدف: مشاهده حملات و واکنش قبل از وقوع حادثه

قابلیت مشاهده: معیارها/سیاههها/مسیرها با «ردیابی _ id» و فیلدهای حسابرسی.
SIEM/SOAR: همبستگی رویداد (احراز هویت، تغییرات IAM، محرک های WAF، دسترسی به اسرار).
قوانین تشخیص: 401/403 سنبله، نقش تشدید، پرداخت جرم، ناهنجاری های جغرافیایی.
اسکن: SAST/DAST/IAST، CSPM/KSPM، آزمون های منظم pene و اشکالات اشکال.
ضد تقلب: به ثمر رساندن معاملات/رفتار، فیلترهای سرعت، لیست تحریم ها.

11) قابلیت اطمینان، ذخیره و تداوم کسب و کار

هدف: زنده ماندن از سقوط بدون از دست دادن داده ها و SLA ها.

تکرار و PITR برای پایگاه های داده، عکس های مکرر با بازیابی آزمون.
طرح DR: RTO/RPO، اسکریپت های شکست منطقه، تست های سوئیچینگ.
اسرار در DR: کلید مستقل/KMS ماکت، روند چرخش اضطراری.
راهنماهای رسمی: چک لیست بازیابی و تمرینات روز بازی.

12) فرآیندهای عملیاتی و فرهنگ

هدف این است که امنیت «پیش فرض» باشد.

Security by PR: بازبینی امنیتی اجباری برای تغییرات حساس.

سیاست های انتشار: پنجره های شب/پیک بسته ؛ چک لیست قبل از پرواز

Runbooks امن - دستورالعمل با پارامترهای امن، اقدامات حسابرسی.
آموزش: شبیه سازی فیشینگ، آموزش حادثه، جلسات جدول زنده.

13) چک لیست (کوتاه)

شبکه و محیط

  • همه ورودی در هر WAF/CDN ؛ DDoS فعال شد
  • mTLS بین خدمات ؛ انکار تمام سیاستهای شبکه
  • خروج allowlist به ارائه دهندگان خارجی

شناسایی هویت

  • SSO + MFA ؛ JIT و شکستن شیشه با ممیزی
  • RBAC/ABAC، SCIM-غیر فعال کردن اخراج
  • حساب های خدمات با نشانه های کوتاه

K8s/containers

  • امضای تصویر + SBOM ؛ ممنوعیت «: دیر»
  • Seccomp/AppArmor، FS فقط خواندنی، کلاه قطره
  • سیاست های دروازه بان/کیورنو و لیست های انکار

اسرار/کلید

  • خرک/KMS، چرخش، تقسیم کلید
  • رمزگذاری در حالت استراحت/در حمل و نقل
  • نشانه گذاری برای پرداخت

CI/CD и زنجیره تامین

  • دونده های فصلی ؛ اسرار فقط در مشاغل محافظت شده
  • SAST/DAST/مجوز ؛ امضاهای مصنوعی
  • ارتقاء GitOps، دروازه های کیفیت

داده/PII/PCI

  • طبقه بندی داده ها و برچسب ها در مخازن
  • سیاست های نگهداری/WORM ؛ دسترسی به نقش
  • جداسازی بخش PCI، اسکن ASV

عملیات بخش

  • قوانین SIEM/SOAR، هشدار تشدید
  • فیلترهای ضد تقلب و سرعت
  • برنامه DR، آزمایشات RTO/RPO

14) نمونه هایی از سیاست های «سخت»

کیورنو: ممنوعیت کانتینرهای ممتاز

yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: { name: disallow-privileged }
spec:
rules:
- name: no-priv match: { resources: { kinds: ["Pod"] } }
validate:
message: "Privileged containers are not allowed"
pattern:
spec:
containers:
- securityContext:
privileged: "false"

OPA (Rego): ممنوعیت «شبکه میزبان»

rego package kubernetes.admission

violation[msg] {
input.request.kind.kind == "Pod"
input.request.object.spec.hostNetwork == true msg:= "hostNetwork is not allowed"
}

15) ضد الگوهای

«محافظت از محیط» بدون mTLS داخلی/تقسیم بندی → حرکت جانبی.
اسرار در متغیرهای CV، آپلود به سیاهههای مربوط.
آخرین تصاویر، بدون امضا و SBOM.
سیاست Allow-all در خوشه ؛ neimspaces مشترک برای همه چیز.
رمزگذاری «بر روی کاغذ» بدون چرخش واقعی کلید و آزمون بازیابی.
تکیه بر WAF به جای تصحیح منطق و اعتبار سنجی داده ها.
بدون تمرینات DR/سناریوهای جدولی - برنامه «جمع آوری گرد و غبار» است.

16) چگونه شروع کنیم (برنامه 90 روزه)

1. هفته 1-2: موجودی دارایی/داده، طبقه بندی، نقشه جریان

2. هفته 3-4: سیاست های mTLS/deny-all شبکه، فیلترهای WAF/DDoS/bot را فعال کنید.
3. هفته 5-6: Vault/KMS، چرخش کلیدی، نشانه گذاری پرداخت.

4. هفته 7-8: دروازه بان/کیورنو, Seccomp/AppArmor, 'ممتاز '/' hostPath' ممنوعیت

5. هفته 9-10: امضای تصویر، SBOM، CI/CD گیتس، ارتقاء GitOps.
6. هفته 11-12: قوانین SIEM/SOAR، هشدار تشدید، ضد تقلب.
7. هفته 13: تمرین DR، به روز رسانی Runabook و وضعیت انطباق (PII/PCI).

نتایج به دست آمده

لایه های امنیتی معماری راه حل ها هستند، نه مجموعه ای از چک باکس ها. ترکیب تقسیم بندی شبکه و Zero Trust، IAM دقیق، containers/K8s امن، اسرار مدیریت شده و رمزنگاری، خطوط لوله محافظت شده، دفاع لبه و قابلیت مشاهده SecOps. سپس، حتی در صورت حملات و سقوط، پلت فرم یکپارچگی داده ها، محرمانه بودن PII/PCI و در دسترس بودن جریان های کلیدی - سپرده ها، پیشنهادات و برداشت ها - در هر ساعت اوج را حفظ خواهد کرد.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.