Livelli di protezione nell'infrastruttura

(Sezione Tecnologia e infrastruttura)

Breve riepilogo

La protezione è un sistema di livelli: ogni livello detiene e rileva gli attacchi se il livello precedente ha fallito. Questo è particolarmente critico per i clienti: flussi di pagamento, PII, integrazioni di partnership e picchi di carico. Di seguito è riportato un wireframe defense-in-depth che connette la rete, l'identità, le applicazioni, i dati e i processi operativi in un unico programma gestito.

1) Modello di minacce e principi di base

Threat Modeling: STRIDE/kill chain per i flussi chiave (login, deposito, tasso, output, backofis).
Zero Trust: «Non fidarsi per impostazione predefinita», diritti minimi, controllo su ogni hop.
Least Privilege & Segregation of Duties - I ruoli dell'atomona e le operazioni sensibili sono separate.
Secure by Default: porte chiuse, regole deny-all, default sicuro.
Auditability: tutte le opzioni disponibili/modificate sono in un controllo centralizzato.

2) Rete e perimetro

L'obiettivo è evitare spostamenti laterali e gestire isolatamente i rischi.

Segmentazione/zone: Edge (CDN/WAF) API Servizi Dati (DB/KMS) admine/bacofis.
Isolamento VPC/VNet + subnet per servizi pubblici/privati; Controllo NAT/egress (ad esempio, egress-allowlist a PSP/provider di giochi).
mTLS dappertutto (mesh/Ingress), TLS 1. 2 +/HSTS/cryptoconfigurazione nitida.
WAF/bot management/DDoS sul perimetro; anti-screening per credential stuffing.
Protezione DNS: split-horizon, DNSSEC, failover, cache-pinning per domini critici.

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata: { name: api-deny-all, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
ingress: [] # deny-all egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]

3) Identità e accesso (IAM/PAM)

Obiettivo: ogni accesso è fondato, limitato e controllato in modo trasparente.

SSO + MFA per persone e macchine; chiavi hardware per i privilegi.
RBAC/ABAC per cloud/K8s/bacofis; SCIM - Attiva/disattiva automaticamente.
Accesso JIT (temporaneo), break-glass con revisione rafforzata.
Servizio Accounts (OIDC/JWT), controllo dei segreti client.
Basion/mirroring comandi - Accesso a prod-database/nodi solo tramite base e sessioni di scrittura.

4) Segreti e chiavi

L'obiettivo è eliminare le perdite e fornire un ciclo di vita controllato delle chiavi.

KMS/HSM, rotazione regolare; Separare le chiavi in zone/obiettivi.
Archivio segreti (Vault/Cloud KMS Secret) con dynamic-creds e lease.

• At restest (DB/bustette/snapshot) con encryption.
• In transit (TLS/mTLS).
• Tokenization per i dati di pagamento; Flusso PAN-safe e 3-domain security (PCI DSS).

hcl path "kv/prod/payments/" {
capabilities = ["read","list"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}

5) Sicurezza dei contenitori e Kubernets

Obiettivo: ridurre al minimo la superficie dell'attacco a livello di rate.

Immagini: minime di base, senza compilatori/selle; etichette (cosign) e SBOM.
Admision Control (OPA/Gatekeeper/Kyverno) - Disabilita latest, prived, hostPath, root.
Runtime-политики: Seccomp/AppArmor, `readOnlyRootFilesystem`, `drop ALL` capabilities + allow-list.
Segreti come volume/ev da gestore di segreti; senza bake-in nell'immagine.
PodSecurity (или Pod Security Admission): enforce restricted.
Registri: privati, con controllo di vulnerabilità (SAST/DAST/CSA).

yaml apiVersion: constraints. gatekeeper. sh/v1beta1 kind: K8sAllowedRepos metadata: { name: only-internal-registry }
spec:
repos: ["registry. internal. local/"]

6) Supply-chain и CI/CD

L'obiettivo è fidarsi dei manufatti, dalla commessa alla produzione.

Branch-policies: codice-ruota, rami protetti, controlli obbligatori.
Firma artefatti e provenance (SLSA/COSIGN), tag invariati (immagini immutabili).
SBOM (CycloneDX/SPDX), Dependabot/Renovate e pinning dipendenze.
Isolamento CI: runner effimeri, segreti solo nei jobs protetti, no-plaintext.
CD-gate: quality/SAST/licenze/criteri di vendita Promossa solo attraverso il GitOps.

7) Protezione delle applicazioni (API/web/mobile)

Obiettivo: prevenire attacchi logici e tecnici.

AuthN/AuthZ: OAuth2/OIDC/JWT; TTL breve, rotazioni delle chiavi, verifiche audio/issuer.
Input Security: convalida/normalizzazione, protezione contro le iniezioni, modelli con parametri.
CSP/HSTS/XFO/XSS-Protection, CORS rigoroso, vincolo MIME/dimensioni scaricabili.
Rate limit/quotas, idempotency-keys per pagamenti/pagamenti.
Phicheflagi: kill-switch veloce per funzioni pericolose.

nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:;" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;

8) Dati, PII e compilazione (PCI incluso)

Obiettivo: raccolta minima, accesso minimo, massima trasparenza.

Data-zones/классы: `public/internal/confidential/pii/pci`. Tag in archivi e logi.
Riduce al minimo PII: alias «player _ id», tokenizzazione delle informazioni di pagamento.
Criteri di conservazione: caldo/freddo, WORM per il controllo rimozione automatica per TTL.
Accesso: solo attraverso ruoli e attributi coerenti (regione/obiettivo).
Segmentazione PCI: segmento isolato, registri di accesso, scansioni regolari/ASV.

9) Livello Edge: CDN/WAF/DDoS/bot-protezione

L'obiettivo è togliere la spazzatura al nucleo della piattaforma.

CDN: geo-blocchi, kash strategy, protezione contro layer-7.
WAF: firme di base + regole di custome per gli schemi API (JSON, non standard).
Bot: analisi comportamentale, device fingerprint, rate-limit/capchi per anomalie.
TLS/ALPN: disattiva i vecchi codici, attiva OCSP stapling.

10) Monitoraggio, telemetria e SecOps

L'obiettivo è vedere gli attacchi e reagire prima dell'incidente.

Osservabilità: metriche/logi/roulotte con «trace _ id» e campi di controllo.
SIEM/SOAR: correlazione degli eventi (autenticazione, modifiche IAM, WAF di attivazione, accesso ai segreti).
Regole di rilevamento: picchi 401/403, role-escalation, pagamenti di massa, anomalie geo.
Scansione: SAST/DAST/IAST, CSPM/KSPM, test pene regolari e bug bounty.
Anti-frod: compilazione di transazioni/comportamenti, filtri velocity, elenchi di sanzioni.

11) Affidabilità, riserva e continuità aziendale

L'obiettivo è sopravvivere senza perdita di dati e SLA.

Replica e PITR per database, frequenti snapshot con ripristino test.
Piano DR: RTO/RPO, script region failover, test di failover.
I segreti in DR sono chiavi/repliche KMS indipendenti, processo di rotazione di emergenza.
Gate formali: assegno-fogli di recupero e esercitazioni game-day.

12) Processi operativi e cultura

L'obiettivo è che la sicurezza sia predefinita.

Sicurezza by PR: sicurezza-review obbligatoria per i cambiamenti sensibili.
Criteri di rilascio: finestre notturne/di punta chiuse; assegno-fogli pre-flight.
Secure Runbooks - Istruzioni con impostazioni sicure, controllo delle attività.
Formazione: phishing simulazione, allenamento per incidenti, sessioni di tavoletop «live».

13) Elenchi di controllo (breve)

Rete e perimetro

• Tutti gli ingress per WAF/CDN; DDoS abilitato
• mTLS tra i servizi; deny-all Criteri di rete
• Egress-allowlist ai provider esterni

Identità

• SSO+MFA; JIT e break-glass con audio
• RBAC/ABAC, SCIM-disattivazione dei licenziamenti
• Servizio Accounts con token corti

K8s/contenitori

• Firme immagine + SBOM proibizione'latest '
• Seccomp/AppArmor, read-only FS, drop caps
• Gatekeeper/Kyverno criteri e deny list

Segreti/chiavi

• Vault/KMS, rotazioni, separazione delle chiavi
• Crittografia at rest/in transit
• Tokenization per i pagamenti

CI/CD и supply-chain

• Runner effimeri; segreti solo nei jobs protetti
• SAST/DAST/licenze; firme di manufatti
• GitOps promozione, gate qualità

Dati/PII/PCI

• Classificazione dei dati e dei tag nello storage
• Criteri Retention/WORM accesso ai ruoli
• Isolamento del segmento PCI, scan ASV

SecOps

• Regole SIEM/SOAR, alert di escalation
• Filtri anti-frod e velocity
• Piano DR, test RTO/RPO

14) Esempi di regole «rigide»

Kiverno: disabilitazione dei contenitori privilegiati

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata: { name: disallow-privileged }
spec:
rules:
- name: no-priv match: { resources: { kinds: ["Pod"] } }
validate:
message: "Privileged containers are not allowed"
pattern:
spec:
containers:
- securityContext:
privileged: "false"

OPA (Rego) - Proibizione' hostNetwork '

rego package kubernetes. admission

violation[msg] {
input. request. kind. kind == "Pod"
input. request. object. spec. hostNetwork == true msg:= "hostNetwork is not allowed"
}

15) Anti-pattern

«Proteggiamo il perimetro» senza spostamento laterale interno.
I segreti sono nelle variabili QUI, scaricare nei cessi.
Immagini di latest, nessuna firma e SBOM.
Criterio allow-all nel cluster Neimspace comuni per tutto.
Crittografia su carta senza alcuna vera rotazione di chiavi o test di ripristino.
Affidarsi a WAF invece di correggere la logica e convalidare i dati.
Nessuna esercitazione di DR/Tabelle - il piano è in polvere.

16) Come iniziare (piano di 90 giorni)

1. Settimana 1-2: inventario dei dati, classificazione, mappatura dei flussi.
2. Settimana 3-4: abilita i criteri di rete, i filtri WAF/DDoS/bot.
3. Settimana 5-6: Vault/KMS, rotazioni delle chiavi, tornitura dei pagamenti.
4. Settimana 7-8: Gatekeeper/Kyverno.
5. Settimana 9-10: firmare immagini, SFOM, gate CI/CD, promozione GitOps.
6. Settimana 11-12: regole SIEM/SOAR, alert di escalation, anti-frod.
7. Settimana 13: DR.-insegnamento, aggiornamento runabook e stato di conformità (PII/PCI).

Riepilogo

I livelli di sicurezza sono un'architettura di soluzioni, non un insieme di caselle. Collegare la segmentazione della rete con Zero Trust, IAM rigoroso, contenitori sicuri/K8s, segreti gestiti e cripto, pipline protette, protezione edge e osservabilità del SecOps. Anche in caso di attacchi e guasti, la piattaforma manterrà l'integrità dei dati, la privacy PII/PCI e la disponibilità di flussi chiave - depositi, tassi e conclusioni - in qualsiasi orario di punta.