GH GambleHub

Անվտանգության շերտեր ենթակառուցվածքում

(Բաժին ՝ Տեխնոլոգիաներ և ենթակառուցվածքներ)

Ռուսական ռեզյումե

Անվտանգությունը շերտերի համակարգ է, յուրաքանչյուր շերտ զսպում է և հայտնաբերում հարձակումները, եթե նախորդը ձախողվել է։ IGaming-ի համար դա հատկապես քննադատական է 'հիբրիդային հոսքեր, PII, գործընկերային լուծումներ և պիկ բեռներ։ Ներքևում 'wwww.ense-in-depth շրջանակը, որը միացնում է ցանցը, ինքնությունը, ծրագրերը, տվյալները և վիրահատական գործընթացները մեկ կառավարվող ծրագրի մեջ։

1) Սպառնալիքների մոդելը և հիմնական սկզբունքները

Threat Modeling: STRIDE/kill chain հիմնական հոսքերի համար (լոգինը, դեպոզիտը, տոկոսադրույքը, եզրակացությունը, becope)։

Zero Trust: «չվստահել լռելյայն», նվազագույն իրավունքները, ստուգումը յուրաքանչյուր հոփում։

Least Privilege & Segregation of Duties: Ատոմային դերերը, զգայուն վիրահատությունները բաժանված են։

Secure by Live-ը ՝ փակ ձեռնարկություններ, deny-all քաղաքականություն, անվտանգ դեֆոլտներ։

Auditability: Բոլոր հասանելի/փոփոխությունները կենտրոնացված աուդիտի մեջ են։

2) Ցանցը և պարիմետրը

Նպատակը 'թույլ չտալ կողային շարժումները և մեկուսացնել կառավարումը։

Սեգմենտացիան/գոտիները ՝ Edge (CDN/WAF) www.API-ն www.DB-ն (DB/KMS) dadmin/becope։

MSC/VNet մեկուսացում + հանրային/մասնավոր ծառայությունների համար; NAT/egress-վերահսկողությունը (ներառյալ egress-allowlist-ը PSA/խաղերի պրովայդերների համար)։

MTSA ամենուր (mesh/Ingress), TMS 1։ 2 +/HSTS/հստակ ծպտյալ։

WAF/բոտ կառավարում/DDoS պարագծի վրա; credential stuffing-ը։

RF անվտանգություն ՝ split-horizon, DNSSEC, հրաժարական, քեշի պիննինգ կրիտիկական օրինագծերի համար։

Пример: Kubernetes NetworkPolicy (deny-all + allow-list): 
yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-deny-all, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
ingress: [] # deny-all egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]

3) Ինքնություն և հասանելիություն (IAM/PAM)

Նպատակը 'յուրաքանչյուր հասանելիություն հիմնավորված է, սահմանափակ և թափանցիկ աուդիո է։

SSO + MFA մարդկանց և մեքենաների համար; սարքավորման բանալիներ արտոնյալ օպտիկայի համար։

RBAC/ABAC ամպի համար/K8s/becophis; SCSA-ն ավտոմատ կոդն է/անջատումը։

JIT հասանելիությունը (105), break-glass-ը ուժեղ աուդիտով։

Accounts-ը կարճ տոքսեններով (OIDC/JWT), հաճախորդների գաղտնիքների աուդիտ։

Bastion/Times-ը 'prod-BD/հանգույցների հասանելիությունը միայն bastion-ի և նստաշրջանների միջոցով ձայնագրման տակ։

4) Գաղտնիքներ և բանալիներ

Նպատակը 'բացառել արտահոսքը և ապահովել կյանքի վերահսկվող ցիկլը։

KFC/HSM (վարպետի բանալին), կառավարական լուծումը։ բաժանումը կատարվում է գոտիներով/նպատակներով։

Գաղտնիքների պահեստ (Vox/Cloud KMS Secrets) creds-creds և least-ից։

Կոդավորումը

At rest (DB/բաքեր/սարքավորումներ) envelope encryption-ից։

In transit (TLS/mTLS).

Tokenization հիբրիդային տվյալների համար; PAN-safe հոսքերը և 3-domain-ը (PCI DSS)։

Օրինակ 'Vox քաղաքականությունը (հատված)

hcl path "kv/prod/payments/" {
capabilities = ["read","list"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}

5) Բեռնարկղերի անվտանգությունը և Kubernetes-ը

Նպատակը 'նվազեցնել հարձակման մակերեսը ռանտայմի մակարդակում։

Պատկերներ ՝ նվազագույն հիմքեր, առանց կազմողների/մետաքսի։ ստորագրություններ (cos.ru) և SBSA։

Admission-վերահսկումը (OPA/Gatekeeper/Kyverno) 'արգելքը' latest ', «privileged», «hostPath», «root»։

Secrets-ը որպես volume/env գաղտնիքների ղեկավարից։ առանց bake-in պատկերի։

Runtime-политики: Seccomp/AppArmor, `readOnlyRootFilesystem`, `drop ALL` capabilities + allow-list.
PodSecurity (или Pod Security Admission): enforce restricted.

Գրանցումները 'մասնավոր, խոցելիության ստուգմամբ (SFC/DFC/CSA)։

Gatekeeper Constraint (օրինակ)

yaml apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sAllowedRepos metadata: { name: only-internal-registry }
spec:
repos: ["registry.internal.local/"]

6) Supply-chain и CI/CD

Նպատակը 'վստահել արտեֆակտներին համայնքից մինչև երկարաժամկետ։

Branch-policies: կոորդինատներ, պաշտպանված ճյուղեր, պարտադիր ստուգումներ։

Արտեֆակտների ստորագրությունը և provenae (SLIM/COSSSA), անփոփոխ թեգերը (իմուտաբային պատկերներ)։

SBSA (Cyclant DX/SPDX), Dependabot/Renovate և pinning կախվածություն։

CI մեկուսացումը 'էֆեմերական ռաններ, գաղտնիքները միայն պաշտպանված ջոբներում, plaintext-ում։

CD գեյթ 'quality/SSA/լիցենզիա/գենդերային քաղաքականություն; բաց է միայն GitOps-ի միջոցով։

7) Ծրագրերի անվտանգությունը (API/web/web/windaill)

Նպատակը 'կանխել տրամաբանական և տեխնոլոգիական հարձակումները։

AuthN/AuthZ: OAuth2/OIDC/JWT; Կարճ TTL, կոդավորման ռոտացիաներ, audience/issuer ստուգումներ։

Input Express: valivation/նորմալացում, պաշտպանություն միգրացիայից, մոդուլներից։

CSP/HSTS/XFO/XIV-International-ը, խիստ MSS-ը, բեռնված MIME/չափսի սահմանափակումը։

Rate limit/www.tas, idempotency-keys վճարելու/վճարման համար։

Ֆիչեֆլագի 'արագ kill-switch վտանգավոր գործառույթների համար։

NGINX-ը (հատված)

nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:;" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;

8) Տվյալները, PII և կոմպլենսը (ներառյալ PCI)

Նպատակը նվազագույն հավաքումն է, նվազագույն հասանելիությունը, առավելագույն թափանցիկությունը։

Data-zones/классы: `public/internal/confidential/pii/pci`. Թեգերը պահեստներում և լոգարաններում։

PII-ի նվազեցումը '«player _ id» կեղծանունացումը, հիբրիդային ռեքվիզիտների խառնուրդը։

Պահեստավորման քաղաքականությունները 'տաք/սառը, WORM զբոսաշրջիկների համար։ ավտոմատ հեռացում TTL-ով։

Հասանելիությունը 'միայն դերի և ատրիբուտների միջոցով (տարածաշրջանը/նպատակը)։

PCI սեգմենտացիան 'մեկուսացված սեգմենտը, մուտքի ամսագրերը, ռուսական սկանները/ASV։

9) Edge շերտը ՝ CDN/WAF/DDoS/bot-պաշտպանություն

Նպատակը '«աղբը» մինչև պլատֆորմի միջուկը։

CDN 'գեո բլոկներ, քեշ ռազմավարություն, պաշտպանություն layer-7-ից։

WAF: հիմնական ազդանշանները + կաստոմային կանոնները API-ի տակ (JSON-սխեմաներ, ոչ ստանդարտ մեթոդների արգելք)։

Բոտա 'վարքագծային վերլուծաբան, device fingerprint, rate-limit/կապիկներ անոմալիաների ժամանակ։

TFC/ALPN 'անջատել հին ծածկագրերը, ներառել OCMS stapling։

10) Մոսկվա, հեռուստացույց և SecOps

Նպատակը 'տեսնել հարձակումները և արձագանքել մինչև 2019 թվականը։

Դիտարկումը 'չափումներ/լոգներ/թրեյսներ' «trace _ id» և audit դաշտերի հետ։

SIEM/SOAR 'իրադարձությունների հարաբերակցությունը (վավերացում, փոփոխություններ IAM, WAF գործիքներ, գաղտնիքների հասանելիություն)։

Հայտնաբերման կանոնները ՝ 401/403, role-escalation, զանգվածային վճարումներ, գեո անոմալիաներ։

Սկանավորում ՝ SFC/DFC/IFC, CSPM/KSPM, www.pene թեստեր և bag-բաունտի։

Anti-frod 'գործարքների/վարքի, velocity-ֆիլտրերի, սանկցիայի ցուցակների։

11) Մոսկվան, պահուստը և բիզնես կոնոնիտետը

Նպատակը 'գոյատևել առանց տվյալների կորստի և SLA-ի։

Կրկնօրինակումը և PITR-ը BD-ի համար, հաճախակի սարքավորումը թեստերի վերականգնմամբ։

DR պլանը ՝ RTO/RPO, region failover սցենարները, թեստերը։

Գաղտնիքները DR-ում 'անկախ բանալիներ/KFC կրկնօրինակներ, արտակարգ ռոտացիայի գործընթացը։

Ֆորմալ դելդները 'վերականգնողական և game-day ուսուցումները։

12) Վիրահատական գործընթացները և մշակույթը

Նպատակը 'որպեսզի անվտանգությունը լինի «լռելյայն»։

Delby PR 'պարտադիր տեղեկատվական-ակնարկ զգայուն փոփոխությունների համար։

Օրինագծերի քաղաքական գործիչները 'գիշերային/պինդ պատուհանները փակված են; pre-flight chek թերթերը։

Secure Runbooks: հրահանգներ անվտանգ պայմաններով, գործողությունների աուդիտ։

Ուսուցում 'ֆիշինգի սիմուլյացիա, պատահականության դասընթացներ, «կենդանի» tabletop-նստաշրջաններ։

13) Ստուգման ցուցակները (կարճ)

Ցանցը և պարիմետրը

  • Բոլոր ingress WAF/CDN-ի համար; DDoS ներառված
  • mTSA ծառայությունների միջև; deny-all ցանցային քաղաքականություն
  • Egress-allowlist դեպի արտաքին պրովայդերներ

Ինքնություն

  • SSO+MFA; JIT և break-glass աուդիտի հետ
  • RBAC/ABAC, SCPS-deaktion Awards
  • Accounts-ը կարճ հոսանքներով

K8s/բեռնարկղեր

  • Պատկերների ստորագրություններ + SBSA; արգելք 'latest'
  • Seccomp/AppArmor, read-only FS, drop caps
  • Gatekeeper/Kyverno քաղաքականություն և deny ցուցակներ

Գաղտնիքներ/բանալիներ

  • Vox/KHL, ռոտացիաներ, բաժանումը։
  • at rest/in transit
  • Tokenization վճարումների համար

CI/CD и supply-chain

  • Efemer Ranner; գաղտնիքները միայն պաշտպանված ջոբներում են
  • SFC/DFC/լիցենզիա; արտեֆակտների ստորագրություններ
  • GitOps-խթանիչ, որակի խաղացողներ

Տվյալները/PII/PCI

  • Տվյալների և թեստերի դասակարգումը պահեստներում
  • Retention/WORM քաղաքականությունները; դերերի հասանելիություն
  • PCI-2019 մեկուսացումը, ASV սկանները

SecOps

  • SIEM/SOAR կանոնները, շարժասանդուղքները
  • Anti-frod և velocity-ֆիլտրեր
  • Պլանը DR, RTO/RPO թեստեր

14) «Կոշտ» քաղաքական գործիչների օրինակները

Kyverno 'արտոնյալ բեռնարկղերի արգելք

yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: { name: disallow-privileged }
spec:
rules:
- name: no-priv match: { resources: { kinds: ["Pod"] } }
validate:
message: "Privileged containers are not allowed"
pattern:
spec:
containers:
- securityContext:
privileged: "false"

OPA (Rego) 'արգելքը' hostNetwork '

rego package kubernetes.admission

violation[msg] {
input.request.kind.kind == "Pod"
input.request.object.spec.hostNetwork == true msg:= "hostNetwork is not allowed"
}

15) Anti-patterna

«Մենք պաշտպանում ենք պարիմետրը» առանց ներքին mTSA/segmentation-ի շարժումը։

Գաղտնիքները env-փոփոխականներում CI-ում, լոգարաններ բեռնելը։

Պատկերները 'latest', ստորագրությունների բացակայությունը և SBSA-ը։

Allow-all քաղաքականությունը կլաստերում; ընդհանուր նյարդային սպեյսները ամեն ինչի համար։

«Թղթի վրա» կոդավորումը առանց իրական ռոտացիայի և վերականգնման թեստերի։

Ապավինել WAF-ին տրամաբանության և տվյալների վալիդացիայի փոխարեն։

Չկա DR/պլանշետային մեթոդներ '«փոշի» պլանը։

16) Ինչպե՞ ս սկսել (պլանը 90 օրվա ընթացքում)

1. Մեկ շաբաթ 1-2: Ասետների/տվյալների, դասակարգման, հոսքերի քարտեզը։

2. Շաբաթ 3-4 'միացրեք mTSA/deny-all ցանցային քաղաքականությունները, WAF/DDoS/բոտ ֆիլտրերը։

3. Շաբաթ 5-6: Vox/KFC, պարտատոմսեր, վճարումների թունավորում։

4. Շաբաթ 7-8: Gatekeeper/Kyverno, Seccope/ApPArmor, արգելքներ «privileged »/« hostPath»։

5. Շաբաթը 9-10 'պատկերների ստորագրությունները, SBIM, CI/CD, GitOps-գովազդային։

6. Շաբաթը 11-12: SIEM/SOAR կանոնները, էսկալացիայի ալտերտները, հակա-ֆրոդը։

7. Շաբաթ 13: DR ուսուցումը, ռունաբուկների նորարարությունը և մրցույթի կարգավիճակը (PII/PCI)։

Արդյունքները

Անվտանգության շերտերը որոշումների ճարտարապետությունն են, ոչ թե «վանդակների» շարքը։ Միացրեք ցանցի հատվածները և Zero Trust, խիստ IAM, անվտանգ բեռնարկղերը/K8s, կառավարվող գաղտնիքները և գաղտնիքները, որոնք պաշտպանված են plines, edge-պաշտպանություն և SecOps-ի դիտարկումը։ Այդ ժամանակ նույնիսկ հարձակումների և ձախողումների դեպքում պլատֆորմը կպահպանի տվյալների ամբողջականությունը, PII/PCI գաղտնիությունը և հիմնական հոսքերի հասանելիությունը 'դեպոզիտները, պարամետրերը և եզրակացությունները' ցանկացած պիկի ժամացույցի ընթացքում։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։