GH GambleHub

संचालन और → प्रबंधन लेखा परीक्षा कॉन्फ़िगरेशन

लेखा परीक्षा विन्यास

1) उद्देश्य और मूल्य

ऑडिटिंग कॉन्फ़िगरेशन उत्तरदायी जवाबदेही और परिवर्तन की पुनरावृत्ति सुनिश्चित करता है: कौन, कब और क्या बदल गया; क्या उचित है; परीक्षण के रूप में; कैसे वापस रोल करने के लिए। यह घटनाओं के जोखिम को कम करता है, रहस्यों का रिसाव, अनुपालन विसंगतियों और "छिपे हुए" संपादन को संपादित करता है।

मुख्य परिणाम:
  • कॉन्फ़िग के लिए सत्य का एकल स्रोत (SoT)।
  • पूर्ण परिवर्तन ट्रेसिंग (एंड-टू-एंड)।
  • अनुमानित रिलीज और त्वरित रोलबैक।
  • अनुपालन और सुरक्षा नीतियां।

2) स्कोप

बुनियादी ढांचा: Terraform/Helm/Ansible/K8s अभिव्यक्ति, नेटवर्क ACL/WAF/CDN।

अनुप्रयोग विन्यास: 'yaml/json/properties' फ़ाइलें, फ़ीचर फ्लैग, लिमिट/कोटा.

रहस्य और कुंजी: वॉल्ट/kms, प्रमाणपत्र, टोकन, पासवर्ड।

डेटा पाइपलाइन: स्कीमा, परिवर्तन, ईटीएल/स्ट्रीम शेड्यूल।

एकीकरण: PSP/KYC/प्रदाता, वेबहूक, रीट्री/टाइमआउट नीतियां।

अवलोकन: अलर्ट नियम, डैशबोर्ड, एसएलओ/एसएलए।

3) सिद्धांत

डेटा के रूप में कॉन्फ़िग: घोषणात्मक, वर्गीकृत, परीक्षण योग्य कलाकृतियाँ।

अपरिवर्तनीयता और पहचान: कोड से माध्यम की प्रजनन क्षमता।

योजनाएं और अनुबंध: सख्त सत्यापन (JSON-Schema/Protobuf), बैक/फॉरवर्ड संगतता।

मैनुअल एडिट्स को कम करना: केवल एमआर/पीआर के माध्यम से परिवर्तन।

कर्तव्यों का पृथक्करण (SoD) और 4-आँखें: लेखक! = deploer; अनिवार्य समीक्षा।

एट्रिब्यूशन और हस्ताक्षर: कमिट/रिलीज के हस्ताक्षर, कलाकृतियों के सत्यापन।

4) लेखा परीक्षा वास्तुकला

1. SCM (Git) SoT के रूप में: भंडार में सभी कॉन्फ़िग, 'मुख्य' शाखा संरक्षित है।

2. पंजीकरण:
  • कॉन्फ़िग रजिस्ट्री (कॉन्फ़िग, संपत्ति, एसएलए, वातावरण की निर्देशिका),
  • स्कीमा रजिस्ट्री (कॉन्फिग/इवेंट स्कीमा संस्करण),
  • नीति इंजन (OPA/Conftest) - जाँच का सेट।
  • 3. CI/CD-gates: प्रारूप/योजना स्थिर जाँच नीति जाँच गुप्त स्कैन ड्राई-रन परिवर्तन योजना।
  • 4. डिलीवरी: GitOps (उदा। बहाव डिटेक्टर और एप्लिकेशन ऑडिट लॉग के साथ ArgoCD/Flux)।
  • 5. साक्ष्य स्टोर: ऑडिट कलाकृतियों का एक भंडार (योजना, लॉग, हस्ताक्षर, बिल्ड, एसबीओएम)।
  • 6. एक्शन लॉग: 'CREAD/ADSPLOVE/ASPLAVE/ROLBACK/ACCE' इवेंट का अपरिवर्तनीय लॉग (

5) ऑडिट डेटा मॉडल (न्यूनतम)

Сущности: 'कॉन्फ़िगटेम (आईडी, एनवी, सेवा, स्वामी, schema_version, संवेदनशीलता)'

События: 'परिवर्तन _ id, अभिनेता, कार्रवाई, ts, diff_hash, कारण, अनुमोदन []'

Артефакты: 'प्लान _ url, test_report_url, policy_report, हस्ताक्षर, release_tag'

कनेक्शन: RFC/टिकट ↔ PR ↔ depla (sha) ↔ रिलीज़ रिकॉर्डिंग ↔ SLO मॉनिटरिंग।

6) परिवर्तन प्रक्रिया (एंड-टू-एंड)

1. RFC/टिकट - लक्ष्य, जोखिम, बैकआउट।

2. पीआर/एमआर → लिंटिंग, योजनाबद्ध सत्यापन, नीति जांच, गुप्त स्कैन।

3. योजना/पूर्वावलोकन → ड्राई-रन/प्लान, संसाधन डिफ, लागत/प्रभाव अनुमान।

4. अनुमोदन (4-eyes/SoD, उच्च जोखिम पर सीएबी लेबल)।

5. तैनात करें (विंडो/पंचांग द्वारा) → GitOps लागू होता है; बहाव चेतावनी सक्षम।

6. सत्यापन → धुआं/एसएलओ-माली, परिणाम की पुष्टि।

7. सबूत संग्रहीत करना - सबूत स्टो कॉन्फिग शब्दकोश अद्यतन कर रहा है।

7) नीतियां और नियम (उदाहरण)

SoD: PR लेखक प्रोड में नहीं है।

समय सीमा: "फ्रीज" के बाहर कोई उत्पादन नहीं।

स्कोप: संवेदनशील कुंजियों को बदलने के लिए सुरक्षा/अनुपालन से 2 अद्यतन की आवश्यकता होती है

रहस्य: रेपो में रखने की मनाही; तिजोरी पथ + अभिगम भूमिका केवल संदर्भ।

नेट्स: '0 के साथ अंतर्ग्रहण। 0. 0. 0/0 'को अस्थायी अपवाद और टीटीएल के बिना अनुमति नहीं है।

अलर्ट: CAB के बिना P1 की आलोचना को कम करना निषिद्ध है।

8) गुप्त नियंत्रण

वॉल्ट/केएमएस भंडारण, लघु टीटीएल, स्वचालित घुमाव।

सीआई (प्रमुख पैटर्न, उच्च-एन्ट्रापी) में गुप्त स्कैनिंग।

वातावरण/भूमिकाओं द्वारा रहस्यों का अलगाव; न्यूनतम आवश्यक विशेषाधिकार।

एन्क्रिप्शन "तार पर" और "आराम पर"; रहस्यों तक पहुंच के बंद ऑडिट लॉग।

9) उपकरण (चर)

लिंट/स्कीमा: 'yamllint', 'jsonschema', 'ajv', 'cue'।

नीति: OPA/Conftest, Checkov/tfsec/kube-policies।

GitOps: ArgoCD/Flux (बहाव का पता लगाने, ऑडिट, RBAC)।

रहस्य: HashiCorp वॉल्ट, क्लाउड KMS, प्रमाणित प्रबंधक।

स्कैनर: trufflehog, gitleaks (रहस्य); ओपीए/रेगुला (नियम)।

रिपोर्टिंग: DWH/BI को निर्यात लॉग, घटना और परिवर्तन प्रणाली के लिंक।

10) नियमों और कलाकृतियों के उदाहरण

सीमा कॉन्फ़िगरेशन के लिए JSON-Schema

json
{
"$schema": "http://json-schema. org/draft-07/schema#",
"title": "limits",
"type": "object",
"required": ["service", "region", "rate_limit_qps"],
"properties": {
"service": {"type":"string", "pattern":"^[a-z0-9-]+$"},
"region": {"type":"string", "enum":["eu","us","latam","apac"]},
"rate_limit_qps": {"type":"integer","minimum":1,"maximum":5000},
"timeouts_ms": {"type":"integer","minimum":50,"maximum":10000}
},
"additionalProperties": false
}

कन्फेस्टेस्ट/ओपीए (रेगो) - इनकार करें '0। 0. 0. 0/0 'в ingress

rego package policy. network

deny[msg] {
input. kind == "IngressRule"
input. cidr == "0. 0. 0. 0/0"
msg:= "Ingress 0. 0. 0. 0/0 is not allowed. Specify specific CIDRs or throw an exception with TTL"
}

Conftest/OPA - SoD

rego package policy. sod

deny[msg] {
input. env == "prod"
input. pr. author == input. pr. merger msg: = "SoD: PR author cannot hold in prod."
}

SQL (DWH) - जिसने एक महीने में अलर्ट की आलोचना को कम कर दिया

sql
SELECT actor, COUNT() AS cnt
FROM audit_events
WHERE action = 'ALERT_SEVERITY_CHANGED'
AND old_value = 'P1' AND new_value IN ('P2','P3')
AND ts >= date_trunc('month', now())
GROUP BY 1
ORDER BY cnt DESC;

गीत संदेश उदाहरण (आवश्यक क्षेत्र)


feat(config/payments): raise PSP_B timeout to 800ms in EU

RFC: OPS-3421
Risk: Medium (PSP_B only, EU region)
Backout: revert PR + restore timeout=500ms
Tests: schema ok, conftest ok, e2e ok

11) निगरानी और सतर्कता

बहाव-पहचान: एक क्लस्टर में कॉन्फिग ≠ Git → P1/P2 सिग्नल + ऑटो-रिमेडिएशन (सामंजस्य)।

उच्च जोखिम वाला परिवर्तन: नेटवर्क/रहस्य/नीतियां बदलें - # security-ops में अधिसूचना।

गुम साक्ष्य: योजना/हस्ताक्षर/रिपोर्ट के बिना तैनात करें - ब्लॉक या अलर्ट।

समाप्त संपत्ति: प्रमाणपत्र/कुंजी वैधता अवधि - सक्रिय सक्रिय अलर्ट।

12) मेट्रिक्स और केपीआई

लेखा परीक्षा कवरेज% - स्कीमा/नीतियों/स्कैनर के तहत कॉन्फ़िग का हिस्सा।

बहाव MTTR औसत बहाव समाशोधन समय है।

नीति अनुपालन% - पीआर को नीतियां पास करें।

रहस्य लीक MTTR - लीक से रिकॉल/रोटेशन तक।

बैकआउट दर - कॉन्फ़िग परिवर्तन के रोलबैक का अनुपात।

औसत परिवर्तन आकार - लाइनों/संसाधनों पर औसत डिफ (कम बेहतर है)।

13) रिपोर्टिंग और अनुपालन

लेखा परीक्षा निशान: भंडारण ≥ 1-3 वर्ष (आवश्यकताओं के अनुसार), अपरिवर्तनीय भंडारण।

नियामक: आईएसओ 27001/27701, एसओएक्स जैसे एसओडी, जीडीपीआर (पीआईआई), उद्योग की आवश्यकताएं (आईगेमिंग: जीजीआर/एनजीआर गणना, सीमा, बोनस नियम) में परिवर्तन के लिए लेखांकन।

मासिक रिपोर्ट: शीर्ष परिवर्तन, नीति उल्लंघन, बहाव, समाप्ति प्रमाणपत्र, रोटेशन की स्थिति।

14) प्लेबुक

ए। बहाव प्रोड में पता चला

1. प्रभावित सेवा के लिए ऑटो-डिपॉजिट ब्लॉक करें।

2. मौजूदा स्थिति का स्नैपशॉट हटाएँ.

3. गिट के साथ तुलना करें, 'सामंजस्य' या रोलबैक शुरू करें।

4. घटना P2 बनाएँ, बहाव स्रोत निर्दिष्ट करें (मैनुअल kubectl/console).

5. सुरक्षा सक्षम करें: कोई प्रत्यक्ष परिवर्तन (PSP/ABAC), मालिकों को सूचित करें।

बी। पीएसपी प्रमाणपत्र समाप्त हो गया

1. बैकअप पथ/PSP पर स्विच करें, टाइमआउट/रिट्रेसेस को कम करें।

2. पीकेआई प्रक्रिया के माध्यम से एक नया प्रमाणपत्र जारी करें, गिट के माध्यम से कॉन्फिग को अपडेट करें।

3. स्मोक टेस्ट, ट्रैफिक वापस करें, घटना को बंद करें, पोस्टमार्टम क

सी। सीक्रेट हिट पीआर

1. कुंजी/टोकन निरस्त करें, घुमाव का उपयोग करें।

2. इतिहास को फिर से लिखें/कैश से कलाकृतियों को हटाएं, आरसीए जारी करें।

3. गुप्त स्कैनर में एक नियम जोड़ें, कमांड को प्रशिक्षित करें।

15) एंटी-पैटर्न

मैनुअल ट्रेस और रोलबैक के बिना "बिक्री पर" संपादित करता है।

योजनाओं के बिना और बिना सत्यापन के कॉन्फ़िग।

केएमएस/वॉल्ट के बिना गिट/सीआई चर में रहस्य।

"वैश्विक सुपर-राइट" के बराबर मोनोरपोस।

बहाव अलर्ट और एप्लिकेशन लॉग के बिना "डेफ" GitOps।

विशाल पीआर "एक बार में सभी" - अस्पष्ट विशेषता और उच्च जोखिम।

16) चेकलिस्ट

विलय से पहले

  • आरेख और लिंटर्स पास हुए
  • ओपीए/कन्फेटेस्ट नीतियां हरी हैं
  • गुप्त-स्कैन - "स्वच्छ"
  • योजना/diff संलग्न, जोखिम मूल्यांकन, बैकआउट तैयार
  • 2 अप्रैल (prod) और SoD मिले

तैनाती से पहले

  • रिलीज विंडो और कैलेंडर की जाँच की गई
  • बहाव निगरानी सक्रिय है
  • SLO माली कॉन्फ़िगर, धूम्रपान परीक्षण तैयार

मासिक

  • नियत समय पर कुंजियों/प्रमाणपत्रों का घूर्णन
  • मालिकों और अधिकारों की सूची
  • ओपीए/बहिष्करण नियम समीक्षा (टीटीएल)
  • फायर-ड्रिल परीक्षण

17) डिजाइन युक्तियाँ

परिवर्तनों को छोटे डिफ्यूज़में विभाजित करें; एक पीआर एक लक्ष्य है।

आरएफसी/जोखिम/रोलबैक के साथ अनिवार्य पीआर/प्रतिबद्ध टेम्पलेट।

गतिशील कॉन्फ़िग के लिए, ऑडिट और रोलबैक के साथ "कॉन्फ़िग सेंटर" का उपयोग करें।

Versionize सर्किट; प्रवास के बिना तोड़ ने पर प्रतिबंध।

"कॉन्फिग मैप" की कल्पना करें: क्या, कहां, किसे नियंत्रित किया जाता है।

18) परिवर्तन और घटना प्रबंधन के साथ एकीकरण

PR RFC - कैलेंडर जारी करें - घटनाएँ/पोस्टमार्टम।

कॉन्फिग रिलीज़ करने के लिए ऑटो-टाई मैट्रिक्स (एसएलओ/व्यवसाय)।

पुराने फ्लैग/अपवाद (टीटीएल) को मिटाने के लिए स्वतः बनाएँ कार्य.

19) नीचे की रेखा

ऑडिटिंग कॉन्फ़िगरेशन "पेपर रिपोर्टिंग" नहीं है, लेकिन एक परिचालन विश्वसनीयता तंत्र है: कॉन्फ़िग डेटा हैं, परिवर्तन नियंत्रित और सत्यापन योग्य हैं, रहस्य लॉक और कुंजी के तहत हैं, और पूरी कहानी पारदर्य और सत्य है। यह एक स्थिर, आज्ञाकारी और पूर्वानुमानित मंच है।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

Telegram
@Gamble_GC
इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।