बुनियादी ढांचे में सुरक्षा परतें
(धारा: प्रौद्योगिकी और बुनियादी ढांचा)
संक्षिप्त सारांश
सुरक्षा परतों की एक प्रणाली है: प्रत्येक परत वापस रखती है और पिछले एक विफल होने पर हमलों का पता लगाती है। आईगेमिंग के लिए, यह विशेष रूप से महत्वपूर्ण है: भुगतान प्रवाह, पीआईआई, साझेदार एकीकरण और पीक लोड। नीचे रक्षा-गहन ढांचा है, जो नेटवर्क, पहचान, अनुप्रयोग, डेटा और परिचालन प्रक्रियाओं को एक प्रबंधित कार्यक्रम में जोड़ ता है।
1) धमकी मॉडल और बुनियादी बातें
धमकी मॉडलिंग: कुंजी प्रवाह (लॉगिन, जमा, बोली, निकासी, बैकफाइल) के लिए STRIDE/किल चेन।
जीरो ट्रस्ट: "डिफ़ॉल्ट रूप से भरोसा न करें", न्यूनतम अधिकार, हर हॉप पर जांच करें।
कर्तव्यों का कम से कम विशेषाधिकार और अलगाव: भूमिकाएं परमाणु, संवेदनशील संचालन अलग हैं।
डिफ़ॉल्ट द्वारा सुरक्षित: बंद पोर्ट, इनकार-सभी नीतियाँ, सुरक्षित मूलभूत.
श्रव्यता: सभी पहुंच/परिवर्तन - केंद्रीकृत लेखा परीक्षा में।
2) नेटवर्क और परिधि
उद्देश्य: पार्श्व आंदोलन से बचें और जोखिम को पृथक रूप
विभाजन/क्षेत्र: एज (सीडीएन/डब्ल्यूएएफ) → एपीआई → सेवाएं → डेटा (डीबी/केएमएस) → व्यवस्थापक/बैकहो।
सार्वजनिक/निजी सेवाओं के लिए VPC/VNet अलगाव + सबनेट; NAT/egress नियंत्रण (PSP/गेम प्रदाताओं के लिए egress-allowlist सहित)।
एमटीएलएस हर जगह (जाली/इंग्रेस), टीएलएस 1। 2 +/HSTS/स्पष्ट क्रिप्टो कॉन्फ़िगरेशन।
परिधि पर WAF/बॉट प्रबंधन/DDoS; क्रेडेंशियल स्टफिंग के लिए एंटी-स्कोरिंग।
DNS सुरक्षा: विभाजन-क्षितिज, DNSSEC, गलती सहिष्णुता, महत्वपूर्ण डोमेन के लिए कैश पिनिंग।
Пример: कुबर्नेट्स नेटवर्कपॉलिसी (इनकार-सभी + अनुमति-सूची):yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-deny-all, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
ingress: [] # deny-all egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]3) पहचान और प्रवेश (आईएएम/पीएएम)
उद्देश्य: हर पहुंच उचित, प्रतिबंधित और पारदर्शी रूप से लेखा परीक्षा है।
लोगों और कारों के लिए SSO + MFA; विशेषाधिकार प्राप्त खातों के लिए हार्डवेयर कुंजी
cloud/K8s/backoff के लिए RBAC/ABAC; SCIM - स्वचालित ऑन/ऑफ।
JIT एक्सेस (अस्थायी), बढ़ाया ऑडिट के साथ ब्रेक-ग्लास।
अल्पकालिक टोकन (OIDC/JWT) के साथ सेवा खाते, ग्राहक रहस्य ऑडिट।
बैस्टियन/कमांड मिररिंग: उत्पादन डेटाबेस/नोड्स तक पहुंच - केवल गढ़ और लेखन सत्रों के माध्यम से।
4) रहस्य और चाबियाँ
लक्ष्य लीक को खत्म करना और एक प्रबंधनीय कुंजी जीवनचक्र प्रदान करना है।
केएमएस/एचएसएम (विज़ार्ड कुंजी), नियमित घुमाव; क्षेत्रों/लक्ष्यों में कुंजियों का विभाजन।
डायनेमिक-क्रेड्स और लीज के साथ वॉल्ट/क्लाउड केएमएस सीक्रेट।
एनक्रिप्शन:- लिफाफा एन्क्रिप्शन के साथ आराम (DB/बाल्टी/स्नैपशॉट) पर।
- पारगमन में (TLS/mTLS)।
- भुगतान डेटा के लिए टोकनाइजेशन; पैन-सुरक्षित थ्रेड और 3-डोमेन सुरक्षा (पीसीआई डीएसएस)।
hcl path "kv/prod/payments/" {
capabilities = ["read","list"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}5) कंटेनरों और कुबर्नेट्स की सुरक्षा
उद्देश्य: रनटाइम स्तर पर हमले की सतह को कम करना।
चित्र: न्यूनतम बुनियादी, कोई संकलक/गोले नहीं; हस्ताक्षर (cosign) और SBOM।
प्रवेश नियंत्रण (OPA/गेटकीपर/Kyverno): निषेध ': नवीनतम', 'विशेषाधिकार प्राप्त', 'hostPath', 'रूट'।
Runtime- политики: Seccomp/AppArmor, 'readOlnRootFilesystem', 'Dow ALL' क्षमताओं + अनुमति-सूची।
गुप्त प्रबंधक से वॉल्यूम/env के रूप में रहस्य; छवि में बेक-इन के बिना।
पॉड सिक्योरिटी (или पॉड सिक्योरिटी एडमिशन): प्रतिबंधित लागू करें।
रजिस्टर: निजी, भेद्यता जाँच के साथ (SAST/DAST/CSA)।
गेटकीपर बाधा (उदाहरण):yaml apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sAllowedRepos metadata: { name: only-internal-registry }
spec:
repos: ["registry.internal.local/"]6) आपूर्ति-श्रृंखला и सीआई/सीडी
उद्देश्य: ट्रस्ट प्रतिबद्ध से उत्पादन तक कलाकृतियां।
शाखा-नीतियां: कोड-समीक्षा, संरक्षित शाखाएं, अनिवार्य जांच।
कलाकृति हस्ताक्षर और सिद्ध (SLSA/COSIGN), अपरिवर्तनीय टैग (अपरिवर्तनीय छवियां)।
SBOM (CycloneDX/SPDX), Dependabot/Renovate और pining निर्भरता।
सीआई अलगाव: पंचांग धावक, केवल संरक्षित नौकरियों में रहस्य, नो-प्लेनटेक्स्ट।
सीडी-गेट: गुणवत्ता/एसएएसटी/लाइसेंस/विक्रेता-नीतियां; केवल GitOps के माध्यम से पदोन्नति।
7) आवेदन सुरक्षा (एपीआई/वेब/मोबाइल)
उद्देश्य: तार्किक और तकनीकी हमलों को रोकना।
AuthN/AuthZ: OAuth2/OIDC/JWT; लघु टीटीएल, कुंजी घूर्णन, दर्शक/जारीकर्ता जाँच।
इनपुट सुरक्षा: सत्यापन/सामान्यीकरण, इंजेक्शन सुरक्षा, मापदंडों के साथ टेम्पलेट।
CSP/HSTS/XFO/XSS-संरक्षण, सख्त CORS, डाउनलोड करने योग्य MIME/आकार की सीमा।
भुगतान/संवितरण के लिए दर सीमा/कोटा, पहचान-कुंजी।
Ficheflags: खतरनाक सुविधाओं के लिए फास्ट किल-स्विच।
NGINX सुरक्षा शीर्षिका (खंड):nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:;" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;8) डेटा, पीआईआई और अनुपालन (पीसीआई सहित)
उद्देश्य: न्यूनतम संग्रह, न्यूनतम पहुंच, अधिकतम
Data- zones/классы: 'सार्वजनिक/आंतरिक/गोपनीय/pii/pci'। वाल्ट और लॉग में टैग।
पीआईआई कम से कम: 'प्लेयर _ आईडी' का छद्म नाम, भुगतान विवरण का टोकन।
भंडारण नीतियां: गर्म/ठंडा, ऑडिट के लिए WORM; स्वचालित TTL विलोपन।
पहुंच: केवल सहमत भूमिकाओं और विशेषताओं (क्षेत्र/लक्ष्य) के माध्यम
पीसीआई विभाजन: पृथक खंड, अभिगम लॉग, नियमित स्कैन/एएसवी।
9) एज लेयर: सीडीएन/डब्ल्यूएएफ/डीडीओएस/बॉट प्रोटेक्शन
लक्ष्य: प्लेटफॉर्म कोर को "कचरा" निकालना।
सीडीएन: भू-ब्लॉक, कैश रणनीतियाँ, परत -7 सुरक्षा।
WAF: API (JSON योजनाओं, गैर-मानक तरीकों का निषेध) के लिए बुनियादी हस्ताक्षर + कस्टम नियम।
बॉट्स: व्यवहार विश्लेषण, डिवाइस फिंगरप्रिंट, विसंगतियों के लिए दर-सीमा/कैप्चा।
TLS/ALPN: पुराने सिफर बंद करें, OCSP स्टेपलिंग चालू करें।
10) निगरानी, टेलीमेट्री और SecOps
लक्ष्य: घटना से पहले हमले और प्रतिक्रिया देखें।
अवलोकन: 'trace _ id' और ऑडिट फ़ील्ड के साथ metrics/logs/trails।
SIEM/SOAR: घटना सहसंबंध (प्रमाणीकरण, IAM परिवर्तन, WAF ट्रिगर, रहस्यों तक पहुंच)।
पता लगाने के नियम: 401/403 स्पाइक्स, रोल-एस्केलेशन, मास पेआउट, जियो विसंगतियाँ।
स्कैनिंग: SAST/DAST/IAST, CSPM/KSPM, नियमित पेन परीक्षण और बग बाउंटी।
धोखाधड़ी विरोधी: स्कोरिंग लेनदेन/व्यवहार, वेग फिल्टर, प्रतिबंध सूची।
11) विश्वसनीयता, आरक्षित और व्यावसायिक निरंतरता
लक्ष्य: डेटा हानि और एसएलए के बिना दुर्घटना से बचें।
डेटाबेस के लिए प्रतिकृति और पीआईटीआर, परीक्षण वसूली के साथ लगातार स्नैपशॉट।
डीआर योजना: आरटीओ/आरपीओ, क्षेत्र विफल स्क्रिप्ट, स्विचिंग परीक्षण।
डीआर में रहस्य: स्वतंत्र कुंजी/केएमएस प्रतिकृति, आपातकालीन रोटेशन प्रक्रिया।
औपचारिक गाइड: रिकवरी चेकलिस्ट और गेम-डे अभ्यास।
12) परिचालन प्रक्रियाएं और संस्कृति
लक्ष्य सुरक्षा के लिए "डिफ़ॉल्ट" होना है।
पीआर द्वारा सुरक्षा: संवेदनशील परिवर्तनों के लिए अनिवार्य सुरक्षा
रिलीज नीतियां: रात/पीक विंडो बंद; प्री-फ्लाइट चेकलिस्ट।
सुरक्षित रनबुक - सुरक्षित मापदंडों, ऑडिटिंग क्रियाओं के साथ निर्देश।
प्रशिक्षण: फ़िशिंग सिमुलेशन, घटना प्रशिक्षण, लाइव टेबलटॉप सत्र।
13) चेकलिस्ट (संक्षिप्त)
नेटवर्क और परिधि
- WAF/CDN प्रति सभी अंतर्ग्रेस; DDoS सक्षम
- सेवाओं के बीच mTLS; इनकार-सभी नेटवर्क नीतियां
- बाहरी प्रदाताओं को एग्रेस-ऑलोविस्ट
पहचान
- एसएसओ + एमएफए; ऑडिट के साथ JIT और ब्रेक-ग्लास
- आरबीएसी/एबीएसी, एससीआईएम-निष्क्रिय छंटनी
- छोटे टोकन के साथ सेवा लेखा
K8s/containers
- छवि हस्ताक्षर + SBOM; निषेध ': देर से'
- Seccomp/AppArmor, केवल पढ़ें एफएस, ड्रॉप कैप
- गेटकीपर/किवर्नो नीतियां और सूचियों से इनकार करें
गुप्त/कुंजियाँ
- तिजोरी/केएमएस, घुमाव, कुंजी विभाजन
- आराम/पारगमन में एन्क्रिप्शन
- भुगतान के लिए टोकनाइजेशन
सीआई/सीडी и आपूर्ति श्रृंखला
- पंचांग धावक; केवल संरक्षित कार्यों में रहस्य
- SAST/DAST/लाइसेंस; कलाकृति हस्ताक्षर
- GitOps प्रचार, गुणवत्ता द्वार
डेटा/पीआईआई/पीसीआई
- रिपॉजिटरी में डेटा और टैग का वर्गीकरण
- प्रतिधारण/WORM नीतियां; भूमिका द्वारा पहुंच
- पीसीआई खंड अलगाव, एएसवी स्कैन
SecOps
- SIEM/SOAR नियम, वृद्धि अलर्ट
- धोखाधड़ी और वेग फ़िल्टर
- डीआर प्लान, आरटीओ/आरपीओ टेस्ट
14) "कठिन" नीतियों के उदाहरण
Kyverno: विशेषाधिकार प्राप्त कंटेनरों पर प्रतिबंध लगाना
yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: { name: disallow-privileged }
spec:
rules:
- name: no-priv match: { resources: { kinds: ["Pod"] } }
validate:
message: "Privileged containers are not allowed"
pattern:
spec:
containers:
- securityContext:
privileged: "false"OPA (रेगो): 'HostNetworks' पर प्रतिबंध
rego package kubernetes.admission
violation[msg] {
input.request.kind.kind == "Pod"
input.request.object.spec.hostNetwork == true msg:= "hostNetwork is not allowed"
}15) एंटी-पैटर्न
आंतरिक एमटीएलएस/विभाजन - पार्श्व आंदोलन के बिना "परिधि की रक्षा करें"।
CI env चर में रहस्य, लॉग पर अपलोड।
चित्र ': नवीनतम', कोई हस्ताक्षर नहीं और SBOM।
क्लस्टर में सभी नीति की अनुमति दें; सब कुछ के लिए सामान्य neimspaces।
कुंजियों और वसूली परीक्षणों के वास्तविक रोटेशन के बिना "कागज पर" एन्क्रिप्शन।
तर्क सुधार और डेटा सत्यापन के बजाय WAF पर भरोसा करें।
कोई डीआर अभ्यास/सारणीबद्ध परिदृश्य नहीं - योजना "धूल इकट्ठा करना" है।
16) कैसे शुरू करें (90-दिवसीय योजना)
1. सप्ताह 1-2: एसेट/डेटा इन्वेंटरी, वर्गीकरण, प्रवाह मानचित्र
2. सप्ताह 3-4: mTLS/इनकार-सभी नेटवर्क नीतियों, WAF/DDoS/बॉट फिल्टर सक्षम करें।
3. सप्ताह 5-6: तिजोरी/केएमएस, प्रमुख घूर्णन, भुगतान टोकन।
4. सप्ताह 7-8: गेटकीपर/Kyverno, Seccomp/AppArmor, 'विशेषाधिकार प्राप्त '/' hostPath' प्रतिबंध
5. सप्ताह 9-10: छवि हस्ताक्षर, SBOM, CI/CD गेट्स, GitOps प्रमोशन।
6. सप्ताह 11-12: SIEM/SOAR नियम, वृद्धि अलर्ट, धोखाधड़ी विरोधी।
7. सप्ताह 13: डीआर एक्सरसाइज, रनबुक अपडेट और अनुपालन स्थिति (पीआईआई/पीसीआई)।
परिणाम
सुरक्षा परतें समाधान की वास्तुकला हैं, न कि चेकबॉक्स का एक सेट। नेटवर्क विभाजन और जीरो ट्रस्ट, सख्त आईएएम, सुरक्षित -, प्रबंधित रहस्य और क्रिप्टो, संरक्षित पाइपलाइनों, बढ़ त रक्षा और SecOps अवलोकन को मिलाएं। फिर, हमलों और दुर्घटनाओं की स्थिति में भी, मंच किसी भी चरम घंटे में डेटा अखंडता, पीआईआई/पीसीआई गोपनीयता, और प्रमुख धाराओं - जमा, बोलियों और निकासी की उपलब्धता को बनाए रखेगा।