GH GambleHub

Prod միջավայրի և աուդիտի ամրապնդումը

1) Նպատակներն ու պատասխանատվության գոտին

Վաճառքը ոչ միայն «կայուն միջավայր» է, այլ նաև ամենաազդեցիկ։ Մեր խնդիրն է

նվազեցնել հարձակման տարածքը և Blast Radius;

պաշտպանել ջրանցքները, գլանափաթեթները, գաղտնիքները և արտեֆակտները։

հայտնաբերել և արձագանքել միջադեպերին ավելի արագ, քան MTTR նպատակները։

ապացուցել ստանդարտների համապատասխանությունը (GDPR/PCI DSS/տեղական կանոնները);

պահել ստուգումը (auditability) բոլոր քննադատական գործողություններին։

Հիմնական սկզբունքները ՝ Zero Trust, Least Privilege, Segmentation, Everything-as-Code, System-by-Exports։

2) Ցանցային պարաչափը և հատվածը

Սեգմենտներ ՝ Edge (WAF, բոտ-կառավարում, DDoS), DMZ (gateway), App (միկրովայրկյաններ), Մոսկվա (BD/kashi), Backoffice/Ops (CI/CD, observability)։

L4/L7 քաղաքական գործիչները ՝ deny-by-international, ակնհայտ allow ծառայություններ/neymspeisam/պորտամ։

MTSA-ը ինտեգրման ներսում; TLS 1. 2 + պարագծի վրա, HSTS, անվտանգ ծածկագրեր։

Մուտքային ֆիլտրը ՝ WAF (OWASP Top-10), anti-bot, rate limits, geo/ASN բլոկները, CAPTCHA-ը ռիսկի ճանապարհին։

DDoS 24.ru: always-on + 210-mitigation, API/ստատիկ բովանդակության առանձին պրոֆիլներ։

Egress-վերահսկումը 'միայն անհրաժեշտ արտաքին հոստները պրովայդերների համար (PMS/KYC/խաղեր)։

3) Ինքնություն, հասանելիություն և արտոնություններ (IAM/PAM)

SSO (OIDC/SAML) + MFA մարդկանց համար; OIDC-tocens/Workload Identity ծառայությունների համար։

RBAC/ABAC 'դերերը նվազագույն անհրաժեշտ լուծումներով։ «break-glass» հասանելիությունը և TTL-ն։

PAM ՝ Արտոնյալ նստաշրջաններ գրելը խնդրանքով, ամբողջական ձայնագրումը և ամսագրումը։

CIEM (ամպեր) 'չափից շատ իրավունքների և մահացած դերերի որոնում, ռեմիդացիա։

Prod-տվյալների հասանելիությունը 'միայն հաստատված jump/108-ի միջոցով, PII-ի դիմադրությամբ։

4) Գաղտնիքներ և գաղտնագրություններ

KFC/HSM 'կոդավորման պահպանումը, envelope-կոդավորումը, ծանուցումների ռոտացիան։

Գաղտնիք մենեջեր 'կարճ ծորակներ, բացառել գաղտնիքները Git/logs-ից։

Ստորագրություններ ՝ արտեֆակտներ (cosport), webhooks (HMAC), թոկեններ։

PAN/PII դաշտերը 'թունավորումը/կոդավորումը at-rest; սայթաքել լոգարաններում և գերազանցությամբ։

Միգրացիայի քաղաքական գործիչները 'բանալիներ/հավաստագրեր/գաղտնաբառեր, անկայուն և հարկադիր։

5) Բեռնարկղերը և Kubernetes (CWPP/KSPM)

Հիմնական պատկերները ՝ նվազագույն, խոցելիության սկանը CI-ում։ rootless որտեղ հնարավոր է։

Admission-քաղաքականությունը (OPA/Gatekeeper/Kyverno) 'արգելում ենք' latest ', «privileged», hostPath; պահանջում ենք պատկերների ստորագրում։

NetworkPolicies: Windows-ը միայն անհրաժեշտության դեպքում է։

PodJ: սահմանափակ capabilities, read-only FS, secope, ApParmor։

Գաղտնիքները ՝ Secret Store CSI (KFC); ոչ մի plain գաղտնիք մանիֆեստներում։

Runtime-պաշտպանություն 'վարքագծային կանոնները (eBPF), ալտերտերը անոմալիայի վրա։

OPA կանոնների օրինակ (չգրված պատկերների արգելք)

rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6) Մատակարարման շղթա 'վստահեք, բայց ստուգեք

SBSA-ը յուրաքանչյուր տոմսի համար։ պահեստավորում և կապում վերանորոգման հետ։

Պատկերների ստորագրությունները/մանիֆեստները, ստուգումը admission-վերահսկիչում։

SLIM հավաստագրություն 'արտեֆակտների ապացուցված ծագումը։

Policy-as-Code: Wintest/OPA-ում Terraform/Helm/K8s-ի առջև։

«Lox-minium patching» արգելքը երկարության վրա 'բոլոր փոփոխությունները միայն pline-ի միջոցով։

7) Խոցելիության և փամփուշտների կառավարումը

SCA/SAST/DAST в CI; արգելափակման փոշիները critical/high-ի համար։

Ամեն շաբաթ մրցումներ են տեղի ունենում (պատկերներ, ՕՀ փաթեթներ, գրադարաններ) + արտակարգ չնախատեսված։

Կատարված ուղղումները կատարվում են տիկետներ/ենթախմբեր, որոնք կապված են CVE/SBSA-ի հետ։

EASM: Հարձակման մակերեսի արտաքին դիտարկումը (ենթաբաժիններ, բաց կոդեր, հավաստագրեր)։

Propen-թեստեր 'տարեկան առնվազն մեկ անգամ + targetic հոսքով (վճարումներ/KUS)։

8) Լոգներ, չափումներ, հետքեր և արտեֆակտներ պահելը։

Ստանդարտացված լոգները (JSON) '«trace _ id», «request _ id», user/tenault/geo (կեղծ), առանց PII/PAN։

Մետրիկները ՝ p50/p95/p99, error-rate, saturation, DLQ, retrai, բիզնես KPI (Time-to-Wallet)։

Թրեյսինգը (OTel) 'end-to-end քննադատական երթուղիների համար (դեպոզիտ/KUS/եզրակացություն)։

SIEM 'իրադարձությունների հարաբերակցությունը (վավերացում, դերերի փոփոխություններ, admin գործողություններ, WAF/bot կանոնները)։

SOAR: Avto արձագանք (ենթաբաժնի մեկուսացում, հոսանքի արձագանք, IP/ASN բլոկ, ներմուծման արգելք)։

Retenshn 'վիրահատական լոգները 30-90 օր տաք պահեստավորում, Adit-artefakts-ը ավելի երկար է, քաղաքական։

Լոգարի նվազագույն ձևաչափը (օրինակ)

json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9) Անտիբոտ, խաբեություն և պաշտպանիչ սցենարներ

Բոտ մենեջմենթ 'ազդանշաններ/վարք, device-fingerprint, դինամիկ chelengi։

Rate limits/quotas: per-user/tenant/IP; հարմարվողական անոմալիաների դեպքում։

RASP սենսորները կրիտիկական էնդպոինտների վրա (webhooks ստորագրությունը շրջանցելու փորձերը, ժամացույցի դրեյֆը, կրկնվող առաքումը)։

Fraud-ազդանշաններ 'ինտեգրման հարաբերակցություն (տրամաբանություններ, վճարումներ, KYC), աուտո-էսկալացիա։

10) Պահեստավորում, DR և BCP

RTO/RPO նպատակները որոշվում և թեստավորվում են (օրինակ, RTO 351 ժամ, RPO 355 րոպե ստացիոնար BD-ի համար)։

Բեքապներ ՝ ծածկագրված, պարբերաբար օֆֆլայնի պահեստում։ Restore թեստեր։

Գեո կրկնօրինակումը '108-լոկոմոտիվ/105-103 տարածաշրջաններում; MS-failover TTL-վերահսկողության հետ։

Քննադատական կախվածության կատալոգը (PFC/KYC/խաղերի ագրեգատորներ) և մրցույթի պլանները։

11) Պատահականներն ու արձագանքը

Runbooks: պրովայդերի անկման, լատենտության աճի, հոսանքի փոխզիջման, DDoS-ի համար։

On-call: 24/7, ռոտացիաներ և լանդշաֆտներ; միասին «war-room» պրակտիկա։

Հաղորդակցություն 'հաճախորդների/հաճախորդների և կարգավորողների հաղորդագրությունների օրինակներ։

Post-mortem (blameless) 'գործողություններ կրկնությունների բարելավման, քաղաքական/պլեյբուսի նորարարման համար։

12) Կոմպլասենսը և մասնավորությունը

GDPR 'տվյալների նվազեցում, համաձայնությունների գրանցում, հեռացման իրավունք/փոխանցում; DPIA-ն նոր պրովայդերների համար։

PCI DSS: թունավորում/մեկուսացված գոտիներ PAN, ցանցային հատվածներ, խիստ մուտքի ամսագրեր։

Տեղական պահանջները (շուկաների իրավասությունները) 'տարածաշրջանում տվյալների պահպանումը, հաշվետվությունները, պատուհանները։

Lineage: Որտեղ և ինչպես են հոսում PII/PAN; սխեմաներ և DPIA DevPortal-ում։

13) Աուդիտ 'տեսակներ, արտեֆակտներ և ցիկլ

Պարամետրերի տեսակները

Ներքին (եռամսյակային) 'քաղաքական գործիչների համապատասխանությունը, փոփոխությունների վերահսկումը, հասանելիությունը, գաղտնիքները, լոգանքները, պլայնները։

Արտաքին (ամեն տարի պահանջներով) 'PCI/GDPR/տեղական կարգավորիչներ, պեն թեստեր, SOC զեկույցներ պրովայդերների։

Հիմնական արտեֆակտները (ինչ նախօրոք պատրաստել)

Անվտանգության քաղաքականությունները, IAM-մատրիցը դերերի, բացառությունների ցանկը 'մրցույթի ամսաթվի հետ։

Ենթակառուցվածքի փոփոխությունների լոգները (IaC), CI/CD (SBSA, ստորագրություններ, թեստեր)։

Ռուսական պրովայդերներ (PMS/KYC/խաղեր), DPIA/vendor-ռիսկի գնահատականներ, պայմանագրեր և SLA։

Հասանելիության ամսագրերը, գաղտնիքների հաշվարկների արդյունքները, SIEM/SOAR զեկույցները։

DR/BCP պլանները և վերջին հետազոտական թեստերի արձանագրությունները։

Օրինագծի մոտեցումը

«Evidence-first»: Յուրաքանչյուր պրակտիկա ստուգված արտեֆակտն է։

«Dihumans in no» -ը 'առավելագույնը փայտի և հաստատված տարածքների միջոցով։ բոլոր նստաշրջանները ամսագրի տակ են։

«Trace everything» 'կապված միջադեպերի/մետրերի հետ։

14) Guardrails-as-Code ՝ օրինակներ

Deltest Terraform-ի համար (հանրային BD արգելք)

rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

AdmissionPolicy (K8s), մենք պահանջում ենք անվտանգության և ռեսուրս-լիմիտներ

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15) Ամենօրյա հիգիենայի չեկի ցուցակ պրո-միջավայր

  • WAF/բոտ քաղաքականությունները ակտիվ են, ազդանշանները նորարարված են։ Anti-DDoS-ը always-on ռեժիմում։
  • Admission-վերահսկիչները կլաստերում կարող են enforce, ոչ audit։
  • Բոլոր նախատիպերը ստորագրված են. SBSA-ը հասանելի է և կապված է մոդուլին։
  • Գաղտնիքների/հավաստագրերի տարհանումը, ըստ ժամանակացույցի, չկա։
  • SIEM-ն փոխում է IAM/Express-ի մուտքի/փոփոխության իրադարձությունները։ SOAR պլեյբուսները թեստավորվում են։
  • Բեքապները անցան, նկարում հետազոտական թեստ։ DR պլանը validen է։
  • Հասանելիությունը միայն SSO + MFA/PAM-ի միջոցով է։ բոլոր նստաշրջանները գրված են։
  • «No PII in logs» - վալիդացվում է սկաներների կողմից։ դիմակավորում ներառված է։
  • Releultgates-ը և դիտարկումը նորարարվել են «as-code»։
[Խոցելիությունները critical/high - բացակայում կամ գրանցվում են ամսաթվով։

16) Հասունության մոդել (հակիրճ)

1. Մոսկվան ձեռքով փոփոխություններ է, մեկ պարիմետր, մասնակի ստանդարտ։
2. Առաջընթաց 'սեգմենտացիա, IAM/RBAC, ստորագրված արտեֆակտներ, WAF/DDoS, SIEM, ռուսական արտոնագրեր։
3. Փորձագիտական 'Zero Trust, guardrails-as-code, SLIM հավաստագրում, runtime-պաշտպանություն, SOAR ավտոմատիզացիա, «www.humans in», շարունակական աուդիտ։

17) Ճանապարհային քարտեզը

M0-M1 (MVP) ցանցի հատվածն է, WAF/DDoS, SSO + MFA, KMS, հիմնական Admission-policy, ստանդարտ լոգներ/մետրիկներ/treiss, SIEM։
M2-M3: Պատկերների ստորագրումը և ստուգումը admission, SBSA, Distest/OPA-ում IaC, PAM-ում, հաշվարկների պլանը, փամփուշտները, առաջին DR թեստերը։
M4-M6: SOAR-pleybuks, eBPF/runtime-մանկատուն, EASM, կոմպլեքս փաթեթը (PCI/GDPR), ռեգիոններում։
M6 +: Zero-Trust ցանցը (mTSA ամենուր), CIEM-ը, ավտոմատ ստուգման զեկույցները, անընդհատ «purple-team» փորձարկումը։

Համառոտ եզրակացություն

Ուժեղ պրոդը ոչ թե «երկաթյա» կանոնների հավաքածու է, այլ համակարգ 'սեգմենտացիա, խիստ ինքնություն և գաղտնիքներ, պաշտպանված առաքում, բեռնարկղեր, դիտարկումներ և ավտոմատացված արձագանք։ Ավելացրեք այս ստուգումը (արտեֆակտներ), SBSA/ստորագրություններ, ամսագրեր), և պրոդ միջավայրը դառնում է կանխատեսելի, կառավարվող և պատրաստ արտաքին ստուգումների համար 'առանց փոխզիջումների ածխաջրածինների արագության և բիզնես-SLO-ի։
Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Telegram
@Gamble_GC
Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։