उत्पादन वातावरण और लेखा परीक्षा को मजबूत बनाना

1) उद्देश्य और जिम्मेदारी का क्षेत्र

• हमले क्षेत्र और ब्लास्ट त्रिज्या को कम करें;
• वितरण के चैनलों, खातों, रहस्यों और कलाकृतियों की रक्षा;
• MTTR लक्ष्यों की तुलना में तेजी से घटनाओं का पता लगाएं और जवाब दें
• अनुपालन की पुष्टि करें (जीडीपीआर/पीसीआई डीएसएस/स्थानीय नियम)
• सभी महत्वपूर्ण कार्यों की श्रवण क्षमता को संरक्षित करें।

मुख्य सिद्धांत: जीरो ट्रस्ट, कम से कम विशेषाधिकार, विभाजन, सब कुछ-जैसे-कोड, सुरक्षा-दर-डिफ़ॉल्ट।

2) नेटवर्क परिधि और विभाजन

सेगमेंट: एज (WAF, बॉट मैनेजमेंट, DDoS), DMZ (गेटवे), ऐप (माइक्रोसर्विस), डेटा (DB/कैश), बैकऑफिस/ऑप्स (CI/CD, वेधशाला)।

L4/L7 नीतियाँ: इनकार-दर-डिफ़ॉल्ट, सेवाओं/नेमस्पेस/पोर्ट द्वारा स्पष्ट अनुमति।

mTLS एक क्लस्टर TLS 1 के भीतर। परिधि पर 2 +, एचएसटीएस, सुरक्षित सिफर।

इनपुट फ़िल्टर: WAF (OWASP टॉप -10), एंटी-बॉट, रेट लिमिट, जियो/ASN ब्लॉक, CAPTCHA जोखिम पथ पर।

DDoS सुरक्षा: हमेशा-ऑन + ऑटो-शमन, API/स्थिर सामग्री के लिए अलग प्रोफाइल।

एग्रेस नियंत्रण: प्रदाताओं के लिए केवल आवश्यक बाहरी मेजबान (PSP/KYC/games)।

3) पहचान, पहुंच और विशेषाधिकार (आईएएम/पीएएम)

एसएसओ (ओआईडीसी/एसएएमएल) + मनुष्यों के लिए एमएफए; सेवाओं के लिए OIDC टोकन/वर्कलोड पहचान।

RBAC/ABAC: न्यूनतम आवश्यक अनुमतियों के साथ भूमिकाएँ; ऑडिट और टीटीएल के तहत "ब्रेक-ग्लास" एक्सेस।

PAM: ऑन-डिमांड विशेषाधिकार प्राप्त सत्र चेक-आउट, पूर्ण रिकॉर्डिंग और लॉगिंग।

CIEM (बादल): अत्यधिक अधिकारों और मृत भूमिकाओं, ऑटो-रिमेडिएशन की खोज करें।

उत्पादन डेटा तक पहुंच: केवल अनुमोदित कूद/प्रॉक्सी के माध्यम से, पीआईआई मास्किंग के साथ।

4) रहस्य और क्रिप्टोग्राफी

केएमएस/एचएसएम: कुंजी भंडारण, लिफाफा एन्क्रिप्शन, सूचनाओं के साथ घुमाव।

गुप्त प्रबंधक: अल्पकालिक क्रेडिट, गिट/लॉग से रहस्यों को बाहर करना।

हस्ताक्षर: कलाकृतियाँ (cosign), वेबहूक (HMAC), सेवा टोकन।

पैन/पीआईआई क्षेत्र: टोकन/एन्क्रिप्शन एट-रेस्ट; लॉग और पूर्वावलोकन में मास्किंग।

घूर्णन नीतियाँ: कुंजी/प्रमाणपत्र/पासवर्ड - रूटीन और मजबूर।

5) कंटेनर और कुबर्नेट्स (CWPP/KSPM)

आधार चित्र: सीआई पर न्यूनतम, स्कैनिंग कमजोरियां; जहाँ भी संभव हो, जड़ रहित।

प्रवेश नीतियां (OPA/गेटकीपर/Kyverno): प्रतिबंधित ': नवीनतम', 'विशेषाधिकार प्राप्त', hostPath; छवि हस्ताक्षर की आवश्यकता है।

नेटवर्किंग पॉलिसी: सेवा से सेवा संचार केवल जरूरत पड़ ने पर।

PodSecurity: सीमित क्षमताएं, केवल रीड-ओनली FS, सेकंडकॉम्प, AppArmor।

रहस्य: सीक्रेट स्टोर सीएसआई (केएमएस) से; कोई स्पष्ट रहस्य जो प्रत्यक्ष

रनटाइम सुरक्षा: व्यवहार संबंधी नियम (ईबीपीएफ), विसंगतियों के लिए अलर्ट।

rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6) आपूर्ति श्रृंखला: विश्वास लेकिन जाँच क

SBOM प्रति बिल्ड; भंडारण और रिलीज से जुड़ ना।

छवि/प्रकट हस्ताक्षर, प्रवेश नियंत्रक पर सत्यापन।

SLSA प्रमाणन: कलाकृतियों की सिद्ध उत्पत्ति।

नीति-के-कोड: विलय से पहले conftest/OPA पर।

उत्पाद पर "अंतिम-मिनट पैचिंग" का निषेध: सभी परिवर्तन केवल पाइपलाइन के माध्यम से होते हैं।

7) भेद्यता और पैच प्रबंधन

SCA/SAST/DAST в CI; महत्वपूर्ण/उच्च के लिए थ्रेसहोल्ड को अवरुद्ध करना।

साप्ताहिक अपडेट बैच (चित्र, ओएस पैकेज, पुस्तकालय) + आपातकालीन अनिर्धारित।

सुधारों ने CVE/SBOM से जुड़े → टिकट/रिलीज़किए।

EASM: हमले की सतह का बाहरी दृश्य (उपडोमेन, खुले बंदरगाह, प्रमाणपत्र)।

नियमित कलम परीक्षण: वर्ष में कम से कम एक बार + महत्वपूर्ण प्रवाह (भुगतान/सीसीएम) पर लक्षित।

8) ऑडिट कलाकृतियों के लॉग, मैट्रिक्स, निशान और भंडारण

'ट्रेस _ आईडी', 'अनुरोध _ आईडी', उपयोगकर्ता/किरायेदार/भू (छद्म नाम), कोई पीआईआई/पैन के साथ मानकीकृत लॉग (JSON)।

मेट्रिक्स: p50/p95/p99, त्रुटि-दर, संतृप्ति, डीएलक्यू, रिट्राई, व्यवसाय केपीआई (टाइम-टू-वॉलेट)।

OTel: महत्वपूर्ण मार्गों के लिए एंड-टू-एंड (जमा/CCL/आउटपुट)।

SIEM: घटना सहसंबंध (प्रमाणीकरण, भूमिका परिवर्तन, व्यवस्थापक कार्य, WAF/बॉट नियम)।

SOAR: ऑटो-रिएक्शन (चूल्हा का इन्सुलेशन, टोकन रिकॉल, आईपी/एएसएन ब्लॉक, रिलीज़ प्रतिबंध)।

प्रतिधारण: ऑपरेटिंग लॉग - 30-90 दिन गर्म भंडारण, ऑडिट कलाकृतियां - नीतियों के अनुसार।

json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9) एंटी-बॉट्स, घोटाले और रक्षात्मक परिदृश्य

बॉट प्रबंधन: हस्ताक्षर/व्यवहार, उपकरण-फिंगरप्रिंट, गतिशील चुनौतियां।

दर सीमा/कोटा: प्रति-उपयोगकर्ता/किरायेदार/आईपी; विसंगतियों में अनुकूली।

महत्वपूर्ण समापन बिंदुओं पर RASP सेंसर (वेबहूक हस्ताक्षर, घड़ी बहाव, फिर से वितरण को बायपास करने का प्रयास)।

धोखाधड़ी संकेत: चैनलों (लॉगिन, भुगतान, केवाईसी), ऑटो-एस्केलेशन द्वारा सहसंबंध।

10) संरक्षण, डीआर और बीसीपी

आरटीओ/आरपीओ लक्ष्यों को परिभाषित और परीक्षण किया जाता है (उदाहरण के लिए, आरटीओ ≤ 1 घंटा, आरपीओ ≤ 5 मिनट भुगतान डेटाबेस के लिए)।

बैकअप: एन्क्रिप्टेड, समय-समय पर ऑफ़ लाइन भंडारण में; नियमित रूप से परीक्षण बहाल करें।

भू-दोहराव: क्षेत्र द्वारा परिसंपत्ति-दायित्व/परिसंपत्ति; टीटीएल नियंत्रण के साथ डीएनएस विफल।

महत्वपूर्ण निर्भरताओं की निर्देशिका (पीएसपी/केवाईसी/गेम एग्रीगेटर्स) और स्विचिंग योजनाएं।

11) घटनाएं और प्रतिक्रिया

रनबुक: प्रदाता ड्रॉप, विलंबता वृद्धि, टोकन समझौता, डीडीओएस के लिए।

ऑन-कॉल: 24/7, रोटेशन और ब्लास्ट पेज; संयुक्त "युद्ध-कक्ष" अभ्यास।

संचार: ग्राहकों/भागीदारों और नियामकों के लिए संदेश टेम्पलेट।

पोस्टमार्टम (दोषरहित): पुनरावृत्ति को रोकने, नीतियों/प्लेबुक को अद्यतन करने के लिए कार्रवाई।

12) अनुपालन और गोपनीयता

GDPR: डेटा न्यूनतम, सहमति रजिस्टर, हटाने/पोर्ट का अधिकार; नए प्रदाताओं के लिए डीपीआईए।

PCI DSS: पैन टोकन/आइसोलेशन ज़ोन, नेटवर्क सेगमेंट, सख्त एक्सेस लॉग।

स्थानीय आवश्यकताएं (बाजार क्षेत्राधिकार): क्षेत्र में डेटा भंडारण, रिपोर्टिंग, खिड़कियों को अद्यतन करें।

डेटा वंश: पीआईआई/पैन प्रवाह कहां और कैसे; DevPortal में योजनाएँ और DPIA।

13) ऑडिट: प्रकार, कलाकृतियाँ और चक्र

• आंतरिक (त्रैमासिक): नीतियों का अनुपालन, परिवर्तनों का नियंत्रण, पहुंच, रहस्य, लॉग, पाइपलाइनें।
• बाहरी (वार्षिक/आवश्यकताओं के अनुसार): पीसीआई/जीडीपीआर/स्थानीय नियामक, कलम परीक्षण, प्रदाताओं की एसओसी रिपोर्ट।

• सुरक्षा नीतियां, भूमिका आईएएम मैट्रिक्स, समाप्ति तिथि के साथ अपवाद सूची।
• बुनियादी ढांचा परिवर्तन लॉग (IaC), CI/CD रिपोर्ट (SBOM, हस्ताक्षर, परीक्षण)।
• प्रदाताओं का रजिस्टर (पीएसपी/केवाईसी/गेम), डीपीआईए/विक्रेता-जोखिम आकलन, अनुबंध और एसएलए।
• बिक्री पहुंच लॉग, गुप्त रोटेशन परिणाम, SIEM/SOAR रिपोर्ट।
• हाल ही में बहाल परीक्षणों की डीआर/बीसीपी योजना और प्रोटोकॉल।

• "साक्ष्य-पहला": प्रत्येक अभ्यास एक सत्यापित कलाकृति है।
• "कोई मनुष्य नहीं": पाइपलाइनों और अनुमोदित अनुप्रयोगों के माध्यम से अधिकतम; सभी सत्र - लॉग के तहत।
• सब कुछ ट्रेस करें - नक्शा घटनाओं/मैट्रिक्स में बदल जाता है।

14) गार्ड्स-ए-कोड: उदाहरण

rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

प्रवेश नीति (K8s): सुरक्षा लेबल और संसाधन सीमा की आवश्यकता

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15) दैनिक स्वच्छता चेकलिस्ट

• WAF/बॉट पॉलिसी सक्रिय, हस्ताक्षर अद्यतन; हमेशा-ऑन मोड में एंटी-डीडीओएस।
• लागू राज्य में क्लस्टर में प्रवेश नियंत्रक, ऑडिट नहीं।
• सभी उत्पादन छवियों पर हस्ताक्षर किए SBOM उपलब्ध है और रिलीज से बंधा हुआ है।
• महत्वपूर्ण/उच्च कमजोरियां - तारीख के अपवादों के साथ लापता या तय।
• रहस्यों/प्रमाणपत्रों का घूर्णन - समय पर, कोई देरी नहीं।
• SIEM IAM/रिलीज़एंट्री/चेंज इवेंट्स को सहसंबंधित करता है; SOAR प्लेबुक का परीक्षण किया जा रहा है।
• बैकअप पास हुए, समय पर परीक्षण बहाल करें; डीआर योजना मान्य है।
• भोजन तक पहुंच - केवल एसएसओ + एमएफए/पीएएम के माध्यम से; सभी सत्र रिकॉर्ड किए गए हैं।
• "लॉग में कोई पीआईआई नहीं" - स्कैनर द्वारा मान्य; मास्किंग सक्षम है।
• रिलीज़ गेट्स और अवलोकन "एज-कोड" अपडेट किया गया।

16) परिपक्वता मॉडल (संक्षिप्त)

1. मूल - मैनुअल परिवर्तन, एकल परिधि, आंशिक निगरानी।

2. उन्नत विभाजन, आईएएम/आरबीएसी, हस्ताक्षरित कलाकृतियां, डब्ल्यूएएफ/डीडीओएस, एसआईईएम, नियमित पैच।

3. विशेषज्ञ - जीरो ट्रस्ट, रेलिंग-ए-कोड, एसएलएसए-सत्यापन, रनटाइम-प्रोटेक्शन, एसओएआर-ऑटोमेशन, "प्रोड में कोई मनुष्य नहीं", निरंतर ऑडिट।

17) कार्यान्वयन रोडमैप

M0-M1 (एमवीपी): नेटवर्क विभाजन, WAF/DDoS, SSO + MFA, KMS, बुनियादी प्रवेश-नीति, मानकीकृत लॉग/मेट्रिक्स/ट्रेल्स, SIEM।

M2-M3: छवि हस्ताक्षर और प्रवेश सत्यापन, SBOM, IaC, PAM, रोटेशन योजना, नियमित पैच, पहले DR परीक्षण पर Conftest/OPA।

M4-M6: SOAR प्लेबुक, eBPF/रनटाइम डिटेक्शन, EASM, अनुपालन पैकेज (PCI/GDPR), ऑडिट कलाकृतियों का पूरा सेट, क्षेत्र द्वारा रिंग-DR।

M6 +: जीरो-ट्रस्ट नेटवर्क (हर जगह mTLS), CIEM, स्वचालित ऑडिट ट्रेल रिपोर्ट, निरंतर "बैंगनी-टीम" परीक्षण।

सारांश

मजबूत प्रोड "आयरन" नियमों का एक सेट नहीं है, लेकिन एक प्रणाली: विभाजन, सख्त पहचान और रहस्य, सुरक्षित वितरण, प्रबंधित कंटेनरों, अवलोकन और स्वचालित प्रतिक्रिया। सत्यापन योग्यता (ऑडिट कलाकृतियां, एसबीओएम/हस्ताक्षर, लॉग) जोड़ें, और उत्पादन वातावरण अनुमानित, प्रबंधनीय और बाहरी ऑडिट के लिए तैयार हो जाता है - रिलीज गति और व्यवसाय एसएलओ पर समझौता किए बिना।