खाद्य पर्यावरण को मजबूत बनाना

उत्पादन वातावरण को मजबूत करना

1) उद्देश्य और फ्रेम

सख्ती प्रथाओं का एक व्यवस्थित सेट है जो घटनाओं की संभावना और उनके कारण होने वाली क्षति को कम करता है। फोकस: एपीआई परिधि, ग्राहक/भुगतान डेटा, सीआई/सीडी, कंटेनर प्लेटफॉर्म, पहुंच, नियंत्रण, अवलोकन और अनुपालन।

• डिजाइन और डिफ़ॉल्ट द्वारा सुरक्षा: न्यूनतम आवश्यक विशेषाधिकार, सुरक्षित डिफ़ॉल्
• जीरो ट्रस्ट: सत्यापन के बिना न तो नेटवर्क और न ही पहचान पर भरोसा करें।
• रक्षा-में-गहराई: बहु-स्तरीय सुरक्षा (नेटवर्क → सेवा → एप्लिकेशन → डेटा)।
• कलाकृतियों की अपरिपक्वता: "एक बार निर्माण करें, कई चलाएं।"
• E2E निशान और श्रवण: कौन, कब, क्या बदल गया - और क्यों।

2) धमकी मॉडल और महत्वपूर्ण संपत्ति

संपत्ति: खाते और भुगतान टोकन, पीआईआई/पासपोर्ट डेटा, आरएनजी/गेम बैलेंस, एन्क्रिप्शन कुंजी, एकीकरण रहस्य, पाइपलाइनों, कंटेनर छवियों को तैनात करना।

वैक्टर: निर्भरता कमजोरियां, टोकन लीक, क्लाउड misconfiguration/K8s, एपीआई में एसएसआरएफ/आरसीई, आपूर्ति श्रृंखला (सीआई/सीडी/रिपॉजिटरी समझौता), इनसाइडर एक्सेस, डीडीओएस/बॉट ट्रैफिक।

परिदृश्य: एक अनधिकृत इकाई द्वारा धन की वापसी, गुणांक/शेष का प्रतिस्थापन, आधार नाली, पाइपलाइन कैप्चर, उत्पाद में मैनुअल संपादन।

3) नेटवर्क वास्तुकला और अलगाव

विभाजन: प्रोड/स्टेज/देव के लिए अलग VPC/VNet। एज (एलबी/डब्ल्यूएएफ), एपीआई, डेटाबेस, एनालिटिक्स, व्यवस्थापक सेवाओं के लिए प्रोड - सबनेट्स के अंदर।

नीति "स्पष्ट रूप से अनुमत": सबनेट्स के बीच सभी को अस्वीकार करें, केवल आवश्यक बंदरगाहों/दिशाओं को खोलें।

सेवाओं के बीच mTLS, प्रमाणपत्र घूर्णन स्वचालित है।

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata:
name: default-deny namespace: prod spec:
podSelector: {}
policyTypes: ["Ingress","Egress"]
apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata:
name: allow-api-to-db namespace: prod spec:
podSelector:
matchLabels: {app: db}
ingress:
- from:
- podSelector: {matchLabels: {app: api}}
ports: [{protocol: TCP, port: 5432}]

4) पहचान और पहुंच (पीएएम/जेआईटी)

सभी मानव पहुंच के लिए SSO + MFA।

RBAC&ABAC - क्लाउड, क्लस्टर, नेमस्पेस और एप्लिकेशन स्तर पर भूमिकाएँ।

PAM: जंप/गढ़, JIT एक्सेस (सीमित समय), सत्र रिकॉर्डिंग।

ब्रेक-ग्लास: हार्डवेयर कुंजी के साथ सील खाता, लॉग जारी।

हर 30 दिनों में एक बार समीक्षा करने वाले "जिनके पास क्या है" का नियमित स्कैन।

5) रहस्य और चाबियाँ

वॉल्ट/केएमएस/सीक्रेट्स मैनेजर, गिट से रहस्य को बाहर करें।

मास्टर कुंजी के लिए केएमएस/एचएसएम; KEK/DEK, स्वचालित घुमाव।

TTL नीतियां: अल्पकालिक टोकन (OIDC/JWT), CI के लिए अस्थायी खाते।

एन्क्रिप्शन: आराम पर (AES-256/GCM), उड़ान में (TLS 1। 2 +/mTLS), PII/कार्ड डेटा कॉलम - एक अलग कुंजी के साथ।

6) आपूर्ति श्रृंखला и सीआई/सीडी सख्त

प्रोड के लिए धावकों का अलगाव (एक निजी नेटवर्क में स्व-होस्ट)।

कलाकृतियों का हस्ताक्षर (Sigstore/cosign), depla पर हस्ताक्षर का सत्यापन।

SBOM (CycloneDX/SPDX), SCA/VA प्रत्येक प्रतिबद्धता पर और रिलीज से पहले।

"कोई टैग नवीनतम" नीतियां, केवल अपरिवर्तनीय टैग।

4-आंख सिद्धांत: अनिवार्य कोड समीक्षा और अनुमोदन बदलें।

कोड के रूप में बुनियादी ढांचा: Terraform/Helm с पॉलिसी-as-code (OPA/Conftest)।

rego package iac. guardrails

deny[msg] {
input. resource. type == "storage_bucket"
input. resource. acl == "public-read"
msg:= sprintf("Public bucket forbidden: %s", [input. resource. name])
}

7) कंटेनर और कुबर्नेट्स

न्यूनतम छवि आधार (विचलित), रूटलेस, रीड-ओनली एफएस, सीएपी छोड़ दें।

प्रवेश नियंत्रण: विशेषाधिकार प्राप्त, HostPath, hostNetwork

पॉड सिक्योरिटी स्टैंडर्ड: बेसलाइन/प्रतिबंधित для प्रोड एन।

Image caption Webhook - केवल हस्ताक्षरित छवियों को छोड़ देना

रनटाइम नीतियां (फाल्को/ईबीपीएफ): असामान्य सिस्कॉल के लिए अलर्ट।

कोटा/ Range: "शोर पड़ोसियों" से नोड्स की रक्षा करना।

8) एपीआई परिधि: डब्ल्यूएएफ, रेट लिमिट्स, बोट/डीडीओएस

गेटवे एपीआई: प्रमाणीकरण (OAuth2/JWT/HMAC), सामान्यीकरण, एमटीएलएस, स्कीमा सत्यापन।

WAF: व्यापार मैट्रिक्स के लिए बुनियादी नियम + जाति।

दर सीमा: वैश्विक/आईपी द्वारा/ग्राहक कुंजी द्वारा; "टोकन" और फट गया।

nginx limit_req_zone $binary_remote_addr zone=api:20m rate=10r/s;

server {
location /api/ {
limit_req zone=api burst=30 nodelay;
proxy_pass http://api_backend;
}
}

बॉट प्रबंधन: व्यवहार संकेत, उपकरण फिंगरप्रिंट, चुनौती।

DDoS: गर्म सुविधाओं के लिए CDN/एज स्क्रबिंग, ऑटोस्कलिंग, "डार्क-लॉन्च"।

9) कॉन्फ़िगरेशन नीतियां और सुरक्षित चूक

जोखिम भरी सुविधाओं को जल्दी से अक्षम करने के लिए झंडे/किल-स्विच।

कॉन्फ़िग-ए-कोड सर्किट सत्यापन के साथ, कॉन्फ़िग के लिए कैनरी/ब्लू-ग्रीन।

कॉन्फ़िग/कुंजी को रद्द करते समय केपीआई के रूप में टाइम- टू-रिवोक करें।

10) डेटा और गोपनीयता

वर्गीकरण: पीआईआई/वित्त/ऑपरेटिंग लॉग/टेलीमेट्री।

न्यूनतम करना: केवल वही संग्रहीत करें जिसकी आपको आवश्यकता है, गुमनामी/छद्म नाम।

बैकअप: अलग खाता/परियोजना, एन्क्रिप्शन, नियमित डीआर रिहर्सल।

निकासी नियम: समान-विधि, वेग-सीमा, जोखिम-स्कोरिंग, 4-आंखें।

कानूनी पकड ़/प्रतिधारण: भंडारण अनुसूची, प्रबंधित निपटान।

11) अवलोकन, अलर्ट और प्रतिक्रिया

ट्रायड: लॉग (रहस्य युक्त नहीं), मैट्रिक्स (SLO/SLA), ट्रेल्स (W3C)।

सुरक्षा संकेत: इनपुट की सफलता/विफलता, विशेषाधिकारों में वृद्धि, रहस्यों में बदलाव, यातायात विचलन।

SIEM + SOAR: सहसंबंध और अर्ध-स्वचालित प्लेबुक।

हादसा प्लेबुक: डीडीओएस, रहस्यों का रिसाव, धावक का समझौता, रिलीज का रोलबैक, भुगतान का "ठंड"।

जवाबदेही के प्राथमिक मैट्रिक्स के रूप में MTTD/MTTR।

12) परिवर्तन और रिलीज प्रबंधन

उच्च जोखिम वाले परिवर्तनों के लिए सलाहकार बोर्ड (हल्का) बदलें।

प्री-प्रोड गेट्स: परीक्षण, सुरक्षा, पर्फ, डेटाबेस माइग्रेशन।

कैनरी/ब्लू-ग्रीन/शैडो डेपली, एसएलओ द्वारा स्वचालित रोलबैक।

प्रोड में प्रत्यक्ष संपादन प्रतिबंधित करें: केवल पाइपलाइन के माध्यम से परि

13) कमजोरियां और पैच

पैच नीति: महत्वपूर्ण - एएसएपी; उच्च - एन दिनों के लिए।

फिक्स के बाद रेस्कैन; CVE-एक्सपोज़र वेटिंग।

अराजकता-सुरक्षा: आवधिक तालिका-शीर्ष अभ्यास और हाइलाइट की गई खिड़कियों में लाल कमांड हमले।

14) अनुपालन और लेखा परीक्षा

नियंत्रण ढांचे: पीसीआई डीएसएस (भुगतान), एसओसी 2, आईएसओ 27001।

कलाकृतियाँ: नियंत्रण मैट्रिक्स, लॉग बदलें, स्कैन रिपोर्ट, डीआर परीक्षण परिणाम, पहुंच-समीक्षा।

निरंतर उपलब्धता: "कोड के रूप में सबूत" - कलाकृतियों को पाइपलाइनों और प्रणालियों से स्वचालित रूप से एकत्र किया जाता है।

15) अर्थशास्त्र और विश्वसनीयता

लागत से रेल: कोटा, बजट, अलर्ट, अप्रयुक्त संसाधनों का स्वचालित बंद।

क्षमता: एसएलओ-उन्मुख योजना, लोड परीक्षण, "अराजकता के दिन।"

वसूली प्राथमिकताएं: सेवा, निर्भरता मानचित्र द्वारा आरटीओ/आरपीओ।

16) एंटी-पैटर्न

गिट में v.env का रहस्य, सभी के लिए सामान्य "व्यवस्थापक", "प्रोड में प्रत्यक्ष एसएसएच", कंटेनरों में मैनुअल फिक्स, "नवीनतम" टैग, सब कुछ के लिए एक सामान्य क्लस्टर, सार्वजनिक बाल्टी, पीआईआई के साथ "।

17) तेजी से शुरुआत चेकलिस्ट (90 दिन)

0-30 दिन

एमएफए/एसएसओ सक्षम करें, अभिगम समीक्षा; इनकार-सभी नेटवर्क नीतियों; गोपनीय प्रबंधक/केएमएस; K8s में निषिद्ध विशेषाधिकार; WAF/दर-सीमा मूल प्रविष्टि/वृद्धि अलर्ट सक्षम करें।

31-60 दिन

छवि हस्ताक्षर + छवि नीति; SBOM + SCA в CI; कैनरी/रोलबैक; SIEM सहसंबंध; आईआर प्लेबुक; JIT/PAM; डीआर परीक्षण के साथ बैकअप।

61-90 दिन

IaC के लिए OPA-रेलिंग; eBPF/फाल्को; बॉट प्रबंधन; आवधिक पहुंच-समीक्षा; अराजकता-सुरक्षा अभ्यास; कॉन्फ़िग और लागत-रेलिंग का ऑडिट।

18) परिपक्वता मैट्रिक्स

एक्सेस: MFA के साथ% खाते, टोकन की औसत आयु, समय को याद करें।

पाइपलाइन: % हस्ताक्षरित/SBOM छवियां, SAST/DAST कवरेज।

प्लेटफ़ॉर्म: रीड-ओनली एफएस, पीएसएस-प्रतिबंधित, नेटवर्किंग पॉलिसी कवरेज के साथ फली का हिस्सा।

परिधि: दर-सीमा/WAF नियमों के साथ% API, DDoS की औसत प्रतिक्रिया।

IR: MTTD/MTTR, टेबल-टॉप फ्रीक्वेंसी, सफल DR रिहर्सल का प्रतिशत।

अनुपालन: स्वचालित साक्ष्य के साथ नियंत्रण का अनुपात।

19) परिशिष्ट: नीति टैम्प्लेट

AWS SCP (सार्वजनिक बाल्टी प्रतिबंध)

json
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "DenyPublicS3",
"Effect": "Deny",
"Action": ["s3:PutBucketAcl","s3:PutBucketPolicy"],
"Resource": "",
"Condition": {"StringEquals": {"s3:x-amz-acl": "public-read"}}
}]
}

Kubernetes PodSecurity (namespace-label)

yaml apiVersion: v1 kind: Namespace metadata:
name: prod labels:
pod-security. kubernetes. io/enforce: restricted pod-security. kubernetes. io/audit: restricted

कंटेनरों के लिए ओपीए (निषिद्ध विशेषाधिकार प्राप्त)

rego package k8s. admission deny[msg] {
input. request. object. spec. containers[_].securityContext. privileged == true msg:= "Privileged containers are not allowed in prod"
}

20) निष्कर्ष

खाद्य पर्यावरण को मजबूत बनाना एक सतत प्रक्रिया है। जोखिम शमन उपायों को प्राथमिकता दें: पहुंच और रहस्य, नेटवर्क अलगाव, कलाकृतियों पर हस्ताक्षर और पाइपलाइन नियंत्रण, एपीआई परिधि सुरक्षा, अवलोकन और अनुशासन को बदलना। बाकी पुनरावृत्ति का निर्माण, परिपक्वता मेट्रिक्स और नियंत्रण अर्थशास्त्र