GH GambleHub

חיזוק סביבת המזון

חיזוק סביבת הייצור

1) מטרה ומסגרת

קשיחות היא מערכת שיטתית של מנהגים המפחיתים את הסבירות לאירועים ואת הנזק שנגרם להם. מיקוד: היקף API, נתוני לקוחות/תשלומים, CI/CD, פלטפורמת מכולות, גישה, שינוי שליטה, תצפית ותאימות.

עקרונות מפתח:
  • אבטחה לפי עיצוב וברירת מחדל: מינימום הרשאות נדרשות, ברירות מחדל מאובטחות.
  • אמון לא ברשת ולא בזהויות ללא אימות.
  • הגנה בעומק: הגנה רב-רמה (network # service # application ac data).
  • ”לבנות פעם אחת, להפעיל הרבה”.
  • E2E עקבות ואוזניות: מי, מתי, מה השתנה ולמה.

2) מודל איום ונכסים קריטיים

נכסים: חשבונות ואסימוני תשלום, נתוני PII/דרכון, מאזני RNG/משחק, מפתחות הצפנה, סודות אינטגרציה, צינורות פריסה, תמונות מכולות.
וקטורים: פגיעות תלות, דליפות אסימון, misconfiguration/K8s ענן, SSRF/RCE ב-API, שרשרת אספקה (פשרת CI/CD/מאגר), גישה פנימית, תנועת DDOS/בוט.
תרחישים: משיכת כספים על ידי ישות לא מורשית, החלפת מקדמים/מאזן, ניקוז בסיס, לכידת צינור, עריכה ידנית במוצר.

3) ארכיטקטורת רשת ובידוד

סגמנט: הפרד VPC/VNet עבור prod/stage/dev. בתוך פרוד - תת ־ רשת לקצה (LB/WAF), API, מסד נתונים, אנליטיקה, שירותי ניהול.
מדיניות ”מותרת במפורש”: מכחיש-כל בין תת-רשתות, לפתוח רק את הנמלים/הכיוונים הדרושים.
MTLS בין שירותים, סבב תעודות הוא אוטומטי.

דוגמה למדיניות Networks Policy K8s

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata:
name: default-deny namespace: prod spec:
podSelector: {}
policyTypes: ["Ingress","Egress"]
apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata:
name: allow-api-to-db namespace: prod spec:
podSelector:
matchLabels: {app: db}
ingress:
- from:
- podSelector: {matchLabels: {app: api}}
ports: [{protocol: TCP, port: 5432}]

4) זהויות וגישה (פאם/JIT)

SSO + MFA לכל הגישה האנושית.
RBAC&ABAC - תפקידים בענן, אשכול, שם ורמת יישום.
פאם: קפיצה/באסטיון, גישת JIT (זמן מוגבל), הקלטת הפעלה.
פריצה: חשבונות אטומים עם מפתח לחומרה, תמצית יומן.
סריקות קבועות של ”למי יש גישה למה”, סקירה אחת ל-30 יום.

5) סודות ומפתחות

מנהל כספת/KMS/סודות, לא כולל סודות Git.
KMS/HSM עבור מפתחות מאסטר; KEK/DEK, סיבוב אוטומטי.
מדיניות TTL: אסימונים קצרי ימים (OIDC/JWT), חשבונות זמניים של CI.
הצפנה: במנוחה (AES-256/GCM), בטיסה (TLS 1. 2 +/mTLS), עמודות מידע PII/כרטיס - עם מפתח נפרד.

6) התקשות שרשרת אספקה/תקליטור

בידוד של רצים לדרבן (אירח את עצמו ברשת פרטית).
חתימה של חפצים (Sigstore/cosign), אימות של חתימה על depla.
SBOM (CyclonDX/SPDX), SCA/VA על כל התחייבות ולפני שחרור.
מדיניות ”אין תג אחרון”, רק תגיות בלתי ניתנות לשינוי.
עקרון 4-העין: סקירת קוד חובה ושינוי אישור.
תשתית כקוד: Terraform/Helm complicy-as-code (OPA/Confest).

דוגמה לתקנת אופ "א (איסור S3/Storage ציבורי): 
rego package iac. guardrails

deny[msg] {
input. resource. type == "storage_bucket"
input. resource. acl == "public-read"
msg:= sprintf("Public bucket forbidden: %s", [input. resource. name])
}

7) מכולות וקוברנטס

בסיס תמונה מינימלי (ללא הפרעה), ללא שורשים, ללא קריאה בלבד FS, טיפת CAPS.
בקרת כניסה: למנוע חסוי, hostPath, hostNetwork.
תקני אבטחת תרמיל: קו בסיס/מוגבלת ns prod ns.
אימג 'פילם וובהוק - דילוג רק על תמונות חתומות.
מדיניות זמן ריצה (Falco/eBPF): התראות לסינקולים לא תקינים.
מכסה/טווח: הגנה על צמתים מפני ”שכנים רועשים”.

8) היקף API: WAF, מגבלות קצב, בוט/DDOS

שער API: אימות (OAuth2/JWT/HMAC), נורמליזציה, mTLS, סכימת אימות.
חוקים בסיסיים + קסטות למדדים עסקיים.
מגבלות קצב: global/by IP/by client key; ”אסימונים” והתפוצץ.

דוגמה למגבלת קצב NGINX: 
nginx limit_req_zone $binary_remote_addr zone=api:20m rate=10r/s;

server {
location /api/ {
limit_req zone=api burst=30 nodelay;
proxy_pass http://api_backend;
}
}

ניהול בוט: אותות התנהגותיים, טביעת אצבע התקן, אתגר.
DDOS: קרצוף CDN/Edge, קרצוף אוטומטי, ”שיגור אפל” לתכונות חמות.

9) מדיניות הגדרות וברירות מחדל מאובטחות

דגלים/מתגי הריגה כדי לנטרל במהירות תכונות מסוכנות.
הגדרות כקוד עם אימות מעגל, קנרית/כחול-ירוק לתצורות.
זמן לבטל כ-KPI בעת ביטול הגדרות/מפתחות.

10) נתונים ופרטיות

סיווג: PII/מימון/יומני הפעלה/טלמטריה.
מזעור: לאחסן רק את מה שאתה צריך, אנונימיות/פסאודונימיזציה.
גיבויים: חשבון/פרויקט נפרד, הצפנה, חזרות רגילות של ד "ר.
כללי נסיגה: אותה שיטה, מהירות-גבולות, סיכונים-ניקוד, 4-עיניים.
החזקה/שמירה חוקית: לוחות זמנים אחסון, סילוק מנוהל.

11) יכולת תצפית, התראות ותגובה

שלישייה: רישומים (לא מכילים סודות), מדדים (SLO/SLA), שבילים (W3C).
אותות אבטחה: הצלחה/כישלון של קלט, הסלמה של הרשאות, שינויים בסודות, סטיות תנועה.
SIEM + SOAR: מתאם וספרי משחק חצי אוטומטיים.
חוברות משחקים: DDoS, דליפה של סודות, פשרה של רץ, rollback של שחרור, ”הקפאה” של תשלומים.
MTTD/MTR כמדדים ראשיים של תגובה.

12) שינוי וניהול שחרור

שינוי לוח ייעוץ (משקל קל) לשינויים בסיכון גבוה.
שערים קדם-פרוד: בדיקות, אבטחה, סלסול, נדידת מסד נתונים.
קנארי/כחול ירוק/צל דפלי, גלגול אוטומטי על ידי SLO.
איסור על עריכה ישירה בדרבן: שינויים רק דרך הצינור.

13) פגיעות וטלאים

מדיניות תיקון: קריטית - בהקדם האפשרי; גבוה - במשך ימים N.
הצל אחרי התיקון; חשיפת CVE שוקלת.
תרגילי טבלה מחזוריים והתקפות פיקוד אדומות בחלונות המודגשים.

14) ציות וביקורת חשבונות

מסגרות בקרה: PCI DSS (תשלומים), SOC 2, ISO 27001.
חפצים: מטריצת שליטה, רישומי שינוי, דוחות סריקה, תוצאות בדיקת ד "ר, סקירת גישה.
זמינות מתמשכת: ”ראיות כקוד” - חפצים נאספים אוטומטית מקווי צינורות ומערכות.

15) כלכלה ואמינות

מעקות בטיחות לפי עלות: מכסות, תקציבים, התראות, כיבוי אוטומטי של משאבים שאינם בשימוש.
קיבולת: תכנון מוכוון SLO, בדיקות עומס, ”ימים של כאוס”.
סדר העדיפויות: RTO/RPO על ידי שירות, מפת תלות.

16) אנטי דפוסים

סודות של V.env בגיט, ”אדמיניסטרציה” נפוצה לכולם, ”SSH ישיר בפרוד”, תיקונים ידניים במכולות, תגיות ”עדכניות”, אשכול אחד משותף לכל דבר, דליים ציבוריים, CI-runner עם אינטרנט יוצא ברשת פרוד, יומנים עם PII, אין להרוג מתג עבור תכונות ”חמות”.

17) רשימת התחלה מהירה (90 ימים)

0-30 ימים

אפשר MFA/SSO, סקירת גישה; מכחיש-כל מדיניות רשת; מנהל סודות/KMS; זכות אסורה K8s; אפשר התראות כניסה/הסלמה בסיסיות של WAF/Rate.

31-60 ימים

חתימת תמונה + מדיניות אימג 'ם; SBOM + SCA CI; קנרית/רולבק; מתאם SIEM; ספרי משחק של IR; JIT/PAM; גיבוי עם מבחן ד "ר.

61-90 ימים

מעקות בטיחות של אופ "א עבור IC; EBPF/Falco; ניהול בוט; סקירת גישה תקופתית; תרגיל אבטחת כאוס; ביקורת על תצורות ומעקות בטיחות.

18) מדדי בגרות

נגישות:% מהחשבונות עם MFA, גיל ממוצע של אסימונים, זמן החזרה.
צינור:% חתום/SBOM תמונות, כיסוי SAST/DAST.
פלטפורמה: שיתוף תרמילים עם FS בלבד, PSS-מוגבל, NetworkPolicy כיסוי.
היקפי:% API עם rate-limit/WAF כללים, תגובה ממוצעת DDOS.
IR: MTTD/MTTR, תדר שולחן עליון, אחוז החזרות המוצלחות של DR.
ציות: פרופורציה של בקרה עם ראיות אוטומטיות.

19) נספח: תבניות מדיניות

AWS SCP (ציבור באן דלי)

json
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "DenyPublicS3",
"Effect": "Deny",
"Action": ["s3:PutBucketAcl","s3:PutBucketPolicy"],
"Resource": "",
"Condition": {"StringEquals": {"s3:x-amz-acl": "public-read"}}
}]
}

קוברנטס PodSecurity (שם-תווית)

yaml apiVersion: v1 kind: Namespace metadata:
name: prod labels:
pod-security. kubernetes. io/enforce: restricted pod-security. kubernetes. io/audit: restricted

אופ "א עבור מכולות (חסויים אסורים)

rego package k8s. admission deny[msg] {
input. request. object. spec. containers[_].securityContext. privileged == true msg:= "Privileged containers are not allowed in prod"
}

20) מסקנה

חיזוק סביבת המזון הוא תהליך מתמשך. עדיפות אמצעים להקלת סיכונים: גישה וסודות, בידוד רשת, חתימת חפצים ובקרת צינור, הגנה היקפית API, תצפית ושינוי משמעת. לבנות את השאר בצורה איטרטיבית, לכידת מדדי בגרות ושליטה בכלכלה.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

Telegram
@Gamble_GC
התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.