שכבות אבטחה בתשתיות
(סעיף: טכנולוגיה ותשתיות)
סיכום קצר
אבטחה היא מערכת של שכבות: כל שכבה מתאפקת ומזהה התקפות אם הקודמת נכשלה. עבור iGaming, זה קריטי במיוחד: תשלום זורם, PII, שילוב שותפים ועומס שיא. להלן מסגרת ההגנה לעומק, המחברת את הרשת, הזהות, היישומים, הנתונים והתהליכים המבצעיים לתוכנית מנוהלת אחת.
1) מודל איום ויסודות
מודל איום: STRIDE/kill chain להזרמות מפתחות (התחברות, הפקדה, הצעה, משיכה, הילוך אחורי).
אפס אמון: ”אל תבטח כברירת מחדל”, זכויות מינימום, בדוק כל הופ.
לפחות פריבילגיה והפרדה בין חובות: תפקידים הם פעולות אטומיות ורגישות המופרדות.
מאובטח כברירת מחדל: נמלים סגורים, מדיניות מכחישה, ברירת מחדל בטוחה.
שמיעה: כל הנגישות/שינויים בביקורת מרכזית.
2) רשת והיקף
מטרה: להימנע מתנועה לרוחב ולנהל את הסיכון באופן בידוד.
Segmentation/zones: Edge (CDN/WAF) = שירותי API * = data (DB/KMS) = admin/backhaw.
בידוד VPC/VNet + תת-רשת לשירותים ציבוריים/פרטיים; NAT/egress control (כולל egress-allowlist לספקי PSP/game).
MTLS בכל מקום (רשת/אינגרס), TLS 1. 2 +/HSTS/תצורת קריפטו ברורה.
WAF/BOT ניהול/DDOS בהיקף; נגד ניקוד למילוי נושים.
אבטחת DNS: אופק מפוצל, DNSSEC, סובלנות לקויה, מצבורי מטמון לתחומים קריטיים.
yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-deny-all, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
ingress: [] # deny-all egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]3) זהות וגישה (IAM/PAM)
המטרה: כל גישה מוצדקת, מוגבלת ומבוקרת בשקיפות.
SSO + MFA לאנשים ומכוניות; מפתחות חומרה לחשבונות חסויים.
RBAC/ABAC עבור cloud/K8s/backoff; SCIM - אוטומטי ב/off.
גישה (זמנית) JIT, פריצת זכוכית עם ביקורת ביקורת משופרת.
חשבונות שירות עם אסימונים קצרי ימים (OIDC/JWT), ביקורת סודות לקוחות.
שיקוף Bastion/Command: גישה לבסיסי נתונים/צמתים בייצור - רק באמצעות הפעלות ביסוס וכתיבה.
4) סודות ומפתחות
המטרה היא לחסל דליפות ולספק אופני חיים ניתנים לשליטה.
KMS/HSM (מפתח אשף), סיבוב רגיל; חלוקת מפתחות לאזורים/מטרות.
כספת/ענן סודות KMS עם דינמי-סדקים וחכירה.
- במנוחה (DB/דליים/תמונות) עם הצפנת מעטפה.
- במעבר (TLS/mTLS).
- טוקניזציה עבור נתוני תשלום; אשכולות פאן-בטוחים ואבטחה תלת-תחומית (PCI DSS).
hcl path "kv/prod/payments/" {
capabilities = ["read","list"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}5) אבטחה של מכולות וקוברנטות
מטרה: לצמצם את משטח ההתקפה ברמת הזינוק.
תמונות: בסיסי מינימלי, ללא מהדרים/קונכיות; חתימות (coseign) ו-SBOM.
בקרת כניסה (OPA/Gatekeeeper/Kyverno): איסור ”: האחרונה”, ”frivided”, ”hostPath”, ”root”.
Runtime-Filesystem: Seccomp/Apparmor, ”ReaderresSystem',” Drop ALl' יכולות + LET-List.
סודות כמו נפח/env מהמנהל הסודי; בלי לאפות בתמונה.
PODSECTRITY (כניסה לאבטחה): אכיפה מוגבלת.
רשמים: פרטי, עם בדיקת פגיעות (SAST/DAST/CSA).
yaml apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sAllowedRepos metadata: { name: only-internal-registry }
spec:
repos: ["registry.internal.local/"]6) שרשרת אספקה/תקליטור
מטרה: אמון בחפצים מהתחייבות לייצור.
מדיניות ענפה: סקירת קוד, סניפים מוגנים, בדיקות חובה.
חתימת חפץ ומקור (SLSA/COSIGN), תגיות בלתי ניתנות לשינוי (immutable images).
SBOM (CyclonDX/SPDX), Dependabot/Respondate ותלות.
בידוד מודיע: רצים זמניים, סודות רק בעבודות מוגנות, ללא טקסט.
CD-Gates: איכות/SAST/רישיונות/ספקים-פוליסות; קידום רק דרך GitOps.
7) אבטחת יישומים (API/web/mobile)
מטרה: למנוע התקפות הגיוניות וטכניות.
AuthN/AuthZ: OAuth2/OIDC/JWT; TL קצר, סיבובי מפתח, בדיקת קהל/מסירה.
אבטחת קלט: אימות/נורמליזציה, הגנה על הזרקה, תבניות עם פרמטרים.
CSP/HSTS/XFO/XSS-Protection, CORS קפדנית, מגבלת MIME/גודל הורדה.
הגבלת קצב/מכסות, אידמפוטנטיות-מפתחות לתשלומים/פיטורים.
פישפלאג: מתג חיסול מהיר לתכונות מסוכנות.
nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:;" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;8) נתונים, PII וציות (כולל PCI)
מטרה: איסוף מינימום, גישה מינימלית, שקיפות מקסימלית.
אזורי נתונים/cultievaction: ”ציבורי/פנימי/סודי/pii/pci”. תגיות בכספות ויומנים.
מזעור PII: פסאודונימיזציה של 'player _ id', סימון פרטי התשלום.
מדיניות אחסון: חם/קר, תולעת לביקורת; מחיקת TTL אוטומטית.
גישה: רק באמצעות תפקידים ומאפיינים מוסכמים (אזור/מטרה).
מקטע PCI: קטע מבודד, יומני גישה, סריקות רגילות/ASVs.
9) שכבת קצה: CDN/WAF/DDOS/BOT protection
המטרה: להוציא ”זבל” אל ליבת הרציף.
CDN: Geo-blocks, אסטרטגיות מטמון, הגנה שכבה-7.
WAF: חתימות בסיסיות + כללים מותאמים אישית עבור API (תוכניות JSON, איסור על שיטות לא סטנדרטיות).
בוטים: אנליטיקה התנהגותית, טביעת אצבע התקן, קצב מוגבל/קפטצ 'ה לחריגות.
TLS/ALPN: כבה צפנים ישנים, הדק OCSP.
10) ניטור, טלמטריה וסקופ "ח
ראה התקפות ולהגיב לפני האירוע.
תצפית: metrics/logs/trails עם "trace _ id' ושדות ביקורת.
SIEM/SOAR: התאמת אירועים (אימות, שינויי IAM, הפעלת WAF, גישה לסודות).
כללי גילוי: 401/403 קוצים, הסלמת תפקידים, תשלום המוני, סטיות גיאו.
סריקה: SAST/DAST/IAST, CSPM/KSPM, בדיקות פין רגילות ופרקי באגים.
אנטי הונאה: ניקוד עסקאות/התנהגות, מסנני מהירות, רשימות סנקציות.
11) אמינות, מילואים והמשכיות עסקית
מטרה: לשרוד את ההתרסקות ללא איבוד נתונים וסלאבים.
שכפול ופיטאר לבסיסי נתונים, תמונות תכופות עם שחזור בדיקה.
תוכנית: RTO/RPO, איזור כשל בתסריטים, החלפת מבחנים.
סודות בד "ר: מפתחות עצמאיים/העתק KMS, תהליך סיבוב חירום.
מדריכים רשמיים: רשימות התאוששות ותרגילי יום-משחק.
12) תהליכים מבצעיים ותרבות
המטרה היא שהאבטחה תהיה ”ברירת מחדל”.
אבטחה על ידי יחסי ציבור: סקירת אבטחה מנדטורית לשינויים רגישים.
מדיניות שחרור: חלונות לילה/שיא סגורים; רשימות בדיקת טרום טיסה.
אבטחת ספרי ריצה - הוראות עם פרמטרים מאובטחים, פעולות ביקורת.
אימונים: סימולציות דיג, אימוני אירוע, פגישות שולחן בשידור חי.
13) רשימות בדיקה (קצר)
רשת והיקף
[ ] All Indress per WAF/CDN; DDOS מופעל[ ] mTLS בין שירותים; מכחיש כל מדיניות רשת[ ] רשימת יציאות לספקים חיצונייםזהות
[ ] SSO + MFA; JIT ושבר זכוכית עם ביקורת חשבונות[ ] RBAC/ABAC, SCIM-לבטל פיטורים[ חשבונות שירות ] עם אסימונים קצריםK8s/containers
[ ] חתימות תמונה + SBOM; איסור ': latest&fost[ ] Seccomp/Apparmor, קריאה בלבד FS, כובעים טיפה[ ] מדיניות שומר השער/קיוורנו ורשימות הכחשהסודות/מפתחות
[ ] כספת/KMS, סיבובים, פיצול מפתח[ ] הצפנה במנוחה/במעבר[ ] טוקניזציה לתשלומיםשרשרת CI/CD
[ ] אצנים ארעיים; סודות רק בעבודות מוגנות[ ] SAST/DAST/רישיונות; חתימות חפצים[ ] קידום GitOps, שערי איכותנתונים/PII/PCI
[ ] סיווג נתונים ותגים במאגרים[ מדיניות שימור ]/תולעת; גישה לפי תפקיד[ ] בידוד קטע PCI, סריקות ASVמחסנים
[ ] חוקי SIEM/SOAR, התראות הסלמה[ ] מסננים נגד הונאות ומהירות[ ] ד "ר תוכנית, בדיקות RTO/RPO14) דוגמאות למדיניות ”קשה”
בנינג מכולות חסויות
yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: { name: disallow-privileged }
spec:
rules:
- name: no-priv match: { resources: { kinds: ["Pod"] } }
validate:
message: "Privileged containers are not allowed"
pattern:
spec:
containers:
- securityContext:
privileged: "false"אופ "א (ריגו): איסור 'houstworkk&pos
rego package kubernetes.admission
violation[msg] {
input.request.kind.kind == "Pod"
input.request.object.spec.hostNetwork == true msg:= "hostNetwork is not allowed"
}15) אנטי דפוסים
”הגן על ההיקף” ללא mTLS/קטגמנטציה פנימית.
סודות ב CI מאפשר משתנים, מעלה ליומנים.
תמונות ': האחרון', אין חתימות ו SBOM.
אפשר-כל מדיניות באשכול; מרחבים נפוצים לכל דבר.
הצפנה ”על הנייר” ללא סיבוב אמיתי של מפתחות ובדיקות התאוששות.
הסתמכו על WAF במקום תיקון היגיון ואימות נתונים.
אין תרגילי ד "ר/תרחישים טבעיים - התכנית היא" איסוף אבק ".
16) איך להתחיל (תכנית 90 יום)
1. שבוע 1-2: מלאי נכסים/נתונים, סיווג, מפת זרימה
2. שבוע 3-4: אפשר מדיניות רשת mTLS/מכחיש-כל, מסנני WAF/DDOS/bot.
3. שבוע 5-6: כספת/KMS, סיבובי מפתח, אסימון תשלום.
4. שבוע 7-8: שומר הסף/קיוורנו, Seccomp/Apparmor, ”מיוחס ”/” hostPath” bans'
5. שבוע 9-10: חתימות תמונה, SBOM, CI/CD Gates, GitOps קידום.
6. שבוע 11-12: SIEM/SOAR כללים, התראות הסלמה, אנטי הונאה.
7. שבוע 13: תרגיל ד "ר, עדכון Runabook וסטטוס ציות (PII/PCI).
תוצאות
שכבות אבטחה הן הארכיטקטורה של פתרונות, לא סט של קופסאות צ 'ק-בוקס. לשלב קטעי רשת ו-Zero Trust, IAM קפדנית, containers/K8s מאובטחת, סודות והצפנה מנוהלים, צינורות מוגנים, לאחר מכן, גם במקרה של התקפות והתרסקויות, הפלטפורמה תשמור על שלמות המידע, על סודיות PII/PCI ועל זמינות זרמי המפתח - מרבצים, הצעות מחיר ומשיכות - בכל שעות השיא.