ट्रांजिट एनक्रिप्शन में

पारगमन गोपन में

1) नियंत्रण की परिभाषा और सीमा

इन-ट्रांजिट एन्क्रिप्शन पूरे नेटवर्क ट्रांसमिशन पथ (ब्राउज़र सर्वर, सर्विस सेवा, एजेंट ब्रोकर, डेटा सेंटर एप्लिकेशन, डेटा सेंटर) के साथ डेटा का संरक्षण है ताकि चैनल पर निष्क्रिय अवरोधन और सक्रिय न हो।

हम क्या कवर करते हैं: सार्वजनिक और निजी एपीआई (एचटीटीपी/एचटीटीपीएस, जीआरपीसी), स्ट्रीमिंग और ब्रोकर (काफ्का, एनएटीएस, रब्बिटएमक्यू), वेबसॉकेट, डेटाबेस और नेटवर्क पर कैश, क्लस्टर के भीतर, वीपीएन/डेटा के बीच बादल, DNS अनुरोध, मोबाइल/IoT ग्राहक।

हम पूरी तरह से कवर नहीं करते हैं: एंडपॉइंट (होस्ट/ब्राउज़र समझौता) पर हमले, आवेदन कमजोरियां, लॉग/डंप से लीक। यह अलग-अलग नियंत्रणों (A&A, अधिकार न्यूनतम करने, आराम पर एन्क्रिप्शन, सुरक्षित लॉगिंग) द्वारा हल किया जाता है।

2) धमकी मॉडल और लक्ष्य

जोखिम: ट्रैफिक इंटरसेप्शन/स्पूफिंग (एमआईटीएम), प्रोटोकॉल डाउनग्रेड/सिफर सूट, नकली प्रमाणपत्र/सीए, प्रमुख रिसाव, एसएनआई/मेटाडेटा हमले, मिश्रित सामग्री, संतुलन पर टीएलएस गलत।

1. क्रिप्टोग्राफिक प्रमाणीकरण के साथ गोपनीयता + अखंडता।

2. डाउनग्रेड का विरोध (सख्त नीति और कॉन्फिग)।

3. पक्षकारों की पहचान (सर्वर, यदि आवश्यक हो - आपसी)।

4. प्रबंधित प्रमाणपत्र/कुंजी जीवनचक्र और ऑडिटिंग।

5. सुरक्षा व्यापार-बंद के बिना प्रदर्शन प्रो

3) बुनियादी सिद्धांत

TLS डिफ़ॉल्ट रूप से हर जगह है। बाहरी और आंतरिक यातायात - एन्क्रिप्ट।

आधुनिक संस्करण। टीएलएस 1। मानक के रूप में 3; टीएलएस 1। 2 - केवल सख्त नीतियों के तहत। 1 अक्षम करें। 0/1. 1.

PFS के साथ AEAD सिफर सुइट्स। एईएस-जीसीएम या ChaCha20-Poly1305; पीएफएस (ईसी) डीएचई के माध्यम से।

घटता/कुंजी परीक्षा X25519 (अधिमानतः) या secp256r1 (P-256)। RSA कुंजी ≥2048, ECDSA (P-256) से बेहतर है।

mTLS जहां विश्वास दुर्लभ है। इंटर-सर्विस चैनल, एडमिन एपीआई, ब्रोकर, डेटाबेस - आपसी प्रमाणीकरण के माध्यम से।

वेब के लिए HSTS। सार्वजनिक डोमेन के लिए जबरन HTTPS + प्रीलोड।

"एन्क्रिप्ट-एंड-एन्क्रिप्ट-फिर से" सचेत रूप से। परिधि + बैकेंड या एंड-टू-एंड पासथ्रू पर पुन: एन्क्रिप्शन पर टीएलएस-समाप्ति - खतरे मॉडल के अनुसार चयन करें।

क्रिप्टो-चपलता। शून्य डाउनटाइम के साथ घटता/सुइट/संस्करण बदलने की क्षमता।

4) प्रोटोकॉल स्टैक और स्क्रिप्ट

4. 1 HTTP/2, HTTP/3 (QUIC), gRPC, WebSocket

ALPN: h2 के लिए , h3 के लिए; h2c अवरोधक (टीएलएस के बिना)।

HTTP/3/QUIC: विलंबता, एम्बेडेड 0-RTT, और यौगिक प्रवास को कम करता है; 0-RTT चुनिंदा (रीप्ले जोखिम) की अनुमति दें।

gRPC: h2/h3 से अधिक; अनिवार्य टीएलएस, वैकल्पिक एमटीएलएस + प्रति-आरपीसी प्राधिकरण।

वेबसॉकेट: wss ://केवल; प्रॉक्सी/बैलेंसर में - डोमेन का सही उन्नयन और टीएलएस पिनिंग।

4. 2 अंतर-सेवा यातायात और सेवा-जाल

सिडकार मॉडल (इस्तियो/लिंकर्ड, आदि)। स्वचालित एमटीएलएस, अनुमति नीति, प्रमाणपत्र घुमाव।

SPIFFE/SPIRE। विकेंद्रीकृत सेवा पहचान (SPIFFE ID), SVID प्रमाणपत्र, लघु TTL।

टीएलएस पैरामीटर केंद्रीकृत हैं। सेवा कोड में कॉन्फिग विसंगतियों को न्यूनतम करें।

4. 3 दलाल/स्ट्रीमिंग/कतारें

काफ्का/एनएटीएस/रैबिटएमक्यू: TLS फॉर kliyent↔broker और broker↔broker; यदि संभव हो तो mTLS।

TLS पर SASL: यदि mTLS संभव नहीं है, टोकन/लॉगिन द्वारा सत्यापन, लेकिन चैनल को गोपित करें.

एसीएल और विषय प्राधिकरण। एनक्रिप्शन ≠ एक्सेस कंट्रोल।

4. 4 डेटाबेस और कैश

PostgreSQL/MySQL/SQL सर्वर: TLS, CN/SAN सत्यापन, CA पिन/रूट सक्षम करें।

रेडिस/मेमकैच: स्टंनल/टीएलएस मूली का उपयोग करें; उत्पाद में सादे यातायात का निषेध।

4. 5 नेटवर्क/सुरंगें

डेटा केंद्रों/बादलों के बीच: IPsec (IKEv2) या वायरगार्ड (आदिम का एक आधुनिक सेट)।

व्यवस्थापक पहुंच: आधुनिक KEH/ciphers के साथ SSH; कोई पासवर्ड नहीं, सिर्फ कुंजी/एसएसओ।

4. 6 डीएनएस और सहायक प्रोटोकॉल

ग्राहकों के लिए और जहां संभव हो सके क्लस्टर के भीतर TLS (DoT) पर HTTPS (DoH )/DNS पर DNS।

मिश्रित सामग्री अक्षम करें। कुछ भी नहीं http : //ऑन पेज https ://।

5) प्रमाणपत्र, पीकेआई और प्रमुख प्रबंधन

पीकेआई मॉडल: बाहरी डोमेन के लिए - सार्वजनिक सीए; आंतरिक यातायात के लिए - अपने CA या SPIRE-CA।

स्वचालन: ACME/Cert-Manager के लिए Kubernetes, छोटा TTL, ऑटो-रोटेशन.

OCSP स्टेपलिंग и CRL। मोर्चों पर स्टेपलिंग चालू करें; नियमित रूप से श्रृंखलाओं को अपडेट

पिनिंग - सावधानी के साथ। मोबाइल/डेस्कटॉप क्लाइंट में - आपातकालीन रोलिंग तंत्र के साथ पिन सीए/एसपीकेआई।

कुंजी भंडारण: HSM/KMS/गुप्त भंडारण में निजी कुंजी; न्यूनतम एक्सपोज़र; लॉगिंग निषेध।

6) कॉन्फ़िगरेशन: अभ्यास प्रोफाइल

• संस्करण: टीएलएस 1। 3 (आवश्यक), टीएलएस 1। 2 (फॉलबैक)।

• टीएलएस 1। 3: 'TLS _ AES _ 128 _ GCM _ SHA256', 'TLS _ AES _ 256 _ GCM _ SHA384', 'TLS _ CHACHA20 _ POLY1305 _ SH256'।
• टीएलएस 1। 2: 'ECDHE-ECDSA-AES128-GCM-SHA256', 'ECDHE-RSA-AES128-GCM-SHA256' (यदि आवश्यक हो)।
• घटता: X25519, secp256r1।
• प्रमाणपत्र: ECDSA-पसंदीदा, RSA-fallback।
• सुरक्षित हेडर: 'स्ट्रिक्ट-ट्रांसपोर्ट-सिक्योरिटी', 'एक्स-कंटेंट-टाइप-ऑप्शन', 'एक्स-फ्रेम-ऑप्शन' (मामले से), 'रेफरर-पॉलिसी'।
• कुकीज़: 'सिक्योर', 'Httpown', 'SempSite' (डिज़ाइन द्वारा Lax/Strict)।

• क्लाइंट प्रमाणपत्र जरूरी है।
• छोटा टीटीएल क्लाइंट एसवीआईडी (घंटे/दिन), स्वचालित घूर्णन।
• नीतियां: कौन किससे जुड़ सकता है (इरादा-आधारित/जाल प्राधिकरण के माध्यम से काम करता है)।

7) प्रदर्शन और विश्वसनीयता

हार्डवेयर त्वरण: क्रिप्टो, वरीयता - एईएस-एनआई के बिना सीपीयू पर।

सत्र फिर से शुरू: टीएलएस 1। 3 टिकट; जीवन काल पर विचार करें (इत्र और सुरक्षा के बीच संतुलन)।

0-RTT: केवल अज्ञात प्रश्नों के लिए; रिप्ले से बचाव (सर्वर एंटी-रीप्ले तंत्र)।

बैलेंसर/प्रॉक्सी: स्पष्ट रूप से समाप्ति बनाम पासथ्रो का चयन करें; समाप्ति पर - बैकएंड में फिर से एन्क्रिप्ट करें।

अवलोकन: ALPN हैंडशेक/त्रुटि/बातचीत मेट्रिक्स, TLS प्रतिशत 1। 3, प्रमाणपत्र समाप्ति, OCSP स्थिति।

8) परीक्षण और सत्यापन

टीएलएस प्रोफाइल का स्कैन। समर्थित संस्करणों/सुइट/कर्व्स और HSTS/OCSP की नियमित जांच।

नकारात्मक परीक्षण: डाउनग्रेड का निषेध, कमजोर सूट की अस्वीकृति, एसएनआई के बिना कनेक्शन की विफलता/वैध श्रृंखला प्रमाणपत्र के बिना।

चैनल पेन्टेस्ट: MITM सिमुलेशन, मोबाइल क्लाइंट में पिनिंग चेक, 0-RTT रीप्ले प्रयास।

अराजकता परीक्षण: प्रमाणपत्र की समाप्ति/निरसन, OCSP/CA की अनुपलब्धता।

9) बार-बार गलतियाँ और उनसे कैसे बचें

टीएलएस सक्षम, लेकिन कोई होस्ट सत्यापन नहीं। हम हमेशा CN/SAN की जांच करते हैं, 'InsecureSkipVerify' को प्रतिबंधित करते हैं।

मिश्रित सामग्री। Http संसाधनों को https पृष्ठों पर अवरोधित करें, CSP का उपयोग करें।

कमजोर/पुराने संस्करण और सूट। टीएलएस 1 अक्षम करें। 0/1. 1, CBC/RC4/3DES।

आवक पुन: एन्क्रिप्शन की कमी। बैलेंसर से आवेदन तक सादा यातायात एक जोखिम है।

लंबे समय तक जीवित प्रमाण पत्र। छोटा टीटीएल और स्वतः अद्यतन करें.

प्रॉक्सी के पीछे खराब एसएनआई/एएलपीएन। TLS पास/समाप्ति के साथ SNI/ALPN संचरण सही करें।

10) मिनी व्यंजनों (कॉन्फ़िगरेशन टुकड़े)

ssl_protocols      TLSv1. 3 TLSv1. 2;
ssl_ciphers       TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers on;
ssl_ecdh_curve     X25519:P-256;
ssl_stapling      on;
ssl_stapling_verify   on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

transport_socket:
name: envoy. transport_sockets. tls typed_config:
"@type": type. googleapis. com/envoy. extensions. transport_sockets. tls. v3. DownstreamTlsContext common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_3 validation_context:
trusted_ca: { filename: /etc/tls/ca. crt }
tls_certificates:
certificate_chain: { filename: /etc/tls/tls. crt }
private_key:   { filename: /etc/tls/tls. key }
require_client_certificate: true

[Interface]
PrivateKey = <priv>
Address  = 10. 10. 0. 1/24
[Peer]
PublicKey = <pub>
AllowedIPs = 10. 10. 0. 0/24
Endpoint  = gw. example. com:51820
PersistentKeepalive = 25

11) नीतियां और अनुपालन

न्यूनतम आवश्यकताएं: टीएलएस 1। 3 जहां भी संभव हो; टीएलएस 1। 2 - सुइट्स के एक सीमित सेट के साथ।

विनियमन: पीसीआई डीएसएस/वित्तीय क्षेत्र - कमजोर संस्करणों/सुइट्स का निषेध; अनिवार्य रोटेशन और ऑडिट।

जीरो ट्रस्ट दृष्टिकोण: प्रति कार्यभार, निरंतर सत्यापन और सेवा-स्तर की नीतियों की पहचान।

12) ऑपरेशन और एसएलओ

SLO: ≥99% सफल हैंडशेक, TLS 1 पर ≥95% यातायात। 3, 0% मिश्रित सामग्री।

अलर्ट: प्रमाणपत्रों की समाप्ति (<14 दिन), हैंडशेक विफलताओं में वृद्धि, टीएलएस 1 शेयर में गिरावट। 3, OCSP स्टेपलिंग त्रुटियां।

प्रक्रियाएं: सीए/रूट का आपातकालीन प्रतिस्थापन, समझौता की गई कुंजी का निरसन, 0-RTT को अक्षम करना।

13) चेकलिस्ट

• टीएलएस 1 अक्षम। 0/1. 1 और कमजोर सुइट्स, AEAD और PFS शामिल हैं।
• ALPN कॉन्फ़िगर (h2/h3); h2c का निषेध।
• एचएसटीएस सक्षम (सार्वजनिक डोमेन के लिए), कोई मिश्रित सामग्री नहीं।
• प्रमाणपत्र स्वतः अद्यतन हैं, OCSP स्टेपलिंग चल रहा है.
• आंतरिक चैनल mTLS (या वायरगार्ड/IPsec समकक्ष) द्वारा संरक्षित हैं।
• क्लाइंट/एसडीके पर मान्य होस्ट/चेन सत्यापन।

• TLS/ALPN/त्रुटि और समाप्ति संस्करण मॉनिटर करें।
• क्रिप्टो-चपलता योजना (नए सुइट्स/कर्व्स में अनुवाद)।
• आवधिक चैनल पेन्टेस्ट और कॉन्फिग समीक्षा।

14) एफएक्यू

प्रश्न: क्या टीएलएस केवल परिधि पर पर्याप्त है?

अरे नहीं। आंतरिक यातायात को भी एन्क्रिप्ट किया जाना चाहिए (एमटीएलएस/सुरंग/जाल), विशेष रूप से बादलों में और बहु-पट्टे के दौरान।

प्रश्न: क्या आपको एक 0-RTT की आवश्यकता है?

A: अज्ञात अनुरोधों के लिए बिंदुवार सक्षम करें, अन्यथा पुनरावृत्ति के जोखिम के कारण अक्षम करें।

प्रश्न: अंतर-डेटा केंद्र के लिए क्या चुनना है? IPsec या वायरगार्ड?

A: वायरगार्ड सरल और तेज है, IPsec परिपक्व और व्यापक रूप से समर्थित है। दोनों वैध हैं जब सही ढंग से कॉन्फ़िगर किया जाता है।

प्रश्न: आप "जाने पर" वेबहूक की रक्षा कैसे करते हैं?

A: HTTPS एक आधुनिक प्रोफ़ाइल + प्रेषक प्रमाणपत्र सत्यापन (यदि mTLS) + पेलोड हस्ताक्षर और टाइमस्टैम्प सत्यापन (देखें वेबहुक डिलीवरी गारंटी, अनुरोध हस्ताक्षर और सत्यापन)।

• "बाकी एन्क्रिप्शन में"
• "प्रमाणीकरण और प्राधिकरण"
• "हस्ताक्षर करें और निवेदन सत्यापित करें"
• "S2S प्रमाणीकरण"
• "प्रमुख प्रबंधन और घूर्णन"