생산 환경 강화 및 감사

1) 목표와 책임 영역

• 공격 영역과 Blast Radius를 최소화합니다.
• 채널, 계정, 비밀 및 배송 인공물을 보호합니다.
• MTTR 대상보다 빠른 사고 탐지 및 대응
• 준수 확인 (GDPR/PCI DSS/로컬 규칙)
• 모든 중요한 행동에 대한 감사를 유지하십시오.

주요 원칙: 제로 트러스트, 최소 특권, 세분화, 모든 코드, 기본 보안.

2) 네트워크 경계 및 세분화

세그먼트: 엣지 (WAF, 봇 관리, DDoS), DMZ (게이트웨이), 앱 (마이크로 서비스), 데이터 (DB/캐시), 백 오피스/옵스 (CI/CD, 관찰 가능성).
L4/L7 정책: 기본적으로 거부되고 서비스/네임 스페이스/포트별로 명시 적으로 허용됩니다.
클러스터 SL 1 내의 mTLS. 주변에 2 +, HSTS, 보안 암호.
입력 필터: WAF (OWASP Top-10), 봇 방지, 속도 제한, 지리/ASN 블록, 위험 경로의 CAPTCHA.
DDoS 보호: 상시 온 + 자동 완화, API/정적 컨텐츠에 대한 별도의 프로파일.
탈출 제어: 공급자 (PSP/KYC/게임) 에만 필요한 외부 호스트 만 있습니다.

3) 식별, 액세스 및 권한 (IAM/PAM)

인간을위한 SSO (OIDC/SAML) + MFA; 서비스에 대한 OIDC 토큰/워크로드 아이덴티티.
RBAC/ABAC: 필요한 권한이 최소 인 역할; 감사 및 TTL에 따른 "브레이크 글래스" 액세스.
PAM: 주문형 특권 세션 체크 아웃, 전체 기록 및 로깅.
CIEM (클라우드): 과도한 권리와 죽은 역할, 자동 치료.

생산 데이터에 대한 액세스: PII 마스킹을 통해 승인 된 점프/프록시를 통해서만 가능합니

4) 비밀과 암호화

KMS/HSM: 키 스토리지, 엔벨로프 암호화, 알림이있는 회전.
비밀 관리자: 단기 크레딧, Git/logs에서 비밀을 제외하십시오.
서명: 아티팩트 (cosign), 웹 후크 (HMAC), 서비스 토큰.
PAN/PII 필드: 휴식 시간에 토큰 화/암호화; 로그 및 미리보기로 마스킹.
회전 정책: 키/인증서/암호-일상 및 강제.

5) 컨테이너와 Kubernetes (CWPP/KSPM)

기본 이미지: CI의 최소 스캔 취약점; 가능하면 뿌리가 없습니다.
입학 정책 (OPA/Gatekeeper/Kyverno): ': 최신', '권한있는', hostPath; 이미지 서명이 필요합니다.
NetworkPolicies: 필요한 경우에만 서비스 간 통신.
PodSecurity: 제한된 기능, 읽기 전용 FS, seccomp, AppArmor.
비밀: Secret Store CSI (KMS); 명백한 비밀은 나타나지 않습니다.
런타임 보호: 행동 규칙 (eBPF), 이상 경고.

rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6) 공급 체인: 신뢰하지만 확인

빌드 당 SBOM; 저장 및 릴리스 연결.
이미지/매니페스트 서명, 입학 컨트롤러의 검증.
SLSA 인증: 입증 가능한 인공물 출처.
코드 정책: 합병 전에 Terraform/Helm/K8에 대한 혼란/OPA.
제품의 "마지막 패치" 금지: 모든 변경 사항은 파이프 라인을 통해서만 가능합니다.

7) 취약성 및 패치 관리

SCA/SAST/DAST gen CI; 임계/높은 임계 값을 차단합니다.
주간 업데이트 배치 (이미지, OS 패키지, 라이브러리) + 예정되지 않은 비상.
CVE/SBOM에 연결된 → 티켓/릴리스를 수정했습니다.
EASM: 공격 표면의 외부보기 (하위 도메인, 열린 포트, 인증서).
정기적 인 펜 테스트: 1 년에 한 번 이상 중요한 흐름 (지불/CCM) 을 목표로합니다.

8) 감사 아티팩트의 로그, 메트릭, 추적 및 저장

'trace _ id', '요청 _ id', 사용자/테넌트/지리 (의사), PII/PAN이없는 표준화 된 로그 (JSON).
메트릭: p50/p95/p99, 오류율, 채도, DLQ, retrai, 비즈니스 KPI (Time-to-Wallet).
OTel: 중요한 경로의 엔드 투 엔드 (예금/CCL/출력).
SIEM: 이벤트 상관 관계 (인증, 역할 변경, 관리 작업, WAF/봇 규칙).
SOAR: 자동 반응 (난로 단열, 토큰 리콜, IP/ASN 블록, 릴리스 금지).
보존: 정책에 따라 로그 작동 (30-90 일 핫 스토리지, 감사 아티팩트).

json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9) 안티 봇, 사기 및 방어 시나리오

봇 관리: 서명/동작, 장치 지문, 동적 과제.
요율 제한/할당량: 사용자 당/테넌트/IP; 이상에 적응.
중요한 엔드 포인트의 RASP 센서 (웹 후크 시그니처, 클럭 드리프트, 재전송을 우회하려고 시도).
사기 신호: 채널 (로그인, 결제, KYC), 자동 에스컬레이션 별 상관 관계.

10) 보호, DR 및 BCP

RTO/RPO 대상이 정의 및 테스트됩니다 (예: 결제 데이터베이스의 경우 RTO

백업: 암호화되고 주기적으로 오프라인 스토리지에서; 정기적 인 복원 테스트.
지리 중복: 지역별 자산 책임/자산 자산; TTL 제어를 사용한 DNA 장애.
중요한 종속성 디렉토리 (PSP/KYC/게임 애그리 게이터) 및 전환 계획.

11) 사건과 대응

런북: 공급자 감소, 대기 시간 성장, 토큰 타협, DDoS.
통화 중: 24/7, 회전 및 폭발 페이지; 공동 "전쟁 실" 연습.
통신: 고객/파트너 및 규제 기관을위한 메시지 템플릿.
사후 (흠없는): 반복을 방지하고 정책/플레이 북을 업데이트하는 조치.

12) 준수 및 개인 정보 보호

GDPR: 데이터 최소화, 동의 레지스터, 삭제/포트 권리; 새로운 공급자를위한 DPIA.
PCI DSS: PAN 토큰 화/격리 영역, 네트워크 세그먼트, 엄격한 액세스 로그.
지역 요구 사항 (시장 관할 구역): 해당 지역의 데이터 저장, 보고, 업데이트 창.
데이터 계보: PII/PAN 흐름 위치 및 방법; DevPortal의 체계 및 DPIA.

13) 감사: 유형, 유물 및주기

• 내부 (분기 별): 정책 준수, 변경 제어, 액세스, 비밀, 로그, 파이프 라인.
• 외부 (연간/요구 사항 별): PCI/GDPR/로컬 규제 기관, 펜 테스트, 공급자의 SOC 보고서.

• 보안 정책, 역할 IAM 매트릭스, 만료 날짜가있는 예외 목록.
• 인프라 변경 로그 (IaC), CI/CD 보고서 (SBOM, 서명, 테스트).
• 공급자 등록 (PSP/KYC/게임), DPIA/공급 업체 위험 평가, 계약 및 SLA.
• 판매 액세스 로그, 비밀 회전 결과, SIEM/SOAR 보고서.
• DR/BCP 계획 및 최근 복원 테스트 프로토콜.

• "증거 우선": 각 연습은 검증 가능한 인공물입니다.
• "prod에 사람이 없음": 파이프 라인 및 승인 된 응용 프로그램을 통한 최대; 모든 세션-로그 아래.
• 모든 것을 추적하십시오-사건/지표에 대한지도 변경.

14) Guardrails-as-Code: 예

rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

입학 정책 (K8): 보안 라벨 및 리소스 제한 요구

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15) 일일 위생 점검표

• WAF/봇 정책 활성, 서명 업데이트; 항상 켜져있는 모드의 anti-DDoS.
• 감사가 아닌 집행 상태의 클러스터에있는 입학 컨트롤러.
• 모든 제작 이미지가 서명되었습니다. SBOM을 사용할 수 있으며 릴리스와 연결됩니다.
• 중요한/높은 취약점-날짜 예외가 없거나 수정되었습니다.
• 비밀/인증서 회전-일정에 따라 지연 없음.
• SIEM은 IAM/릴리스 참가/변경 이벤트와 관련이 있습니다. SOAR 플레이 북이 테스트되고 있습니다.
• 백업이 통과되고 일정에 따라 테스트가 복원됩니다. DR 요금제는 유효합니다.
• 음식에 대한 접근-SSO + MFA/PAM을 통해서만; 모든 세션이 기록됩니다.
• "로그에 PII 없음" - 스캐너에 의해 검증 됨; 마스킹이 활성화되었습니다.
• 릴리스 게이트 및 관찰 가능성이 "코드" 로 업데이트되었습니다.

16) 성숙도 모델 (브리핑)

1. 기본 - 수동 변경, 단일 경계, 부분 모니터링.
2. 고급-세분화, IAM/RBAC, 서명 된 아티팩트, WAF/DDoS, SIEM, 일반 패치.
3. 전문가-제로 트러스트, 코드 가드 레일, SLSA- 증명, 런타임 보호, SOAR 자동화, "제품에 사람이 없음", 지속적인 감사.

17) 구현 로드맵

M0-M1 (MVP): 네트워크 세분화, WAF/DDoS, SSO + MFA, KMS, 기본 입학 정책, 표준화 된 로그/메트릭/트레일, SIEM.
M2-M3: 이미지 서명 및 입학 확인, IaC에 대한 SBOM, Conftest/OPA, PAM, 회전 계획, 정기 패치, 첫 번째 DR 테스트.
M4-M6: SOAR 플레이 북, eBPF/런타임 감지, EASM, 규정 준수 패키지 (PCI/GDPR), 전체 감사 아티팩트 세트, 지역 별 ring-DR.
M6 +: 제로 트러스트 네트워크 (어디서나 mTLS), CIEM, 자동 감사 추적 보고서, 지속적인 "보라색 팀" 테스트.

요약

강력한 prod는 일련의 "철" 규칙이 아니라 세분화, 엄격한 신원 및 비밀, 안전한 배송, 관리 컨테이너, 관찰 및 자동 응답 시스템입니다. 검증 가능성 (감사 아티팩트, SBOM/서명, 로그) 을 추가하면 출시 속도 및 비즈니스 SLO에 대한 타협없이 생산 환경이 예측 가능하고 관리 가능하며 외부 감사를위한 준비가됩니다.