In Transit шифрлөө

In Transit шифрлөө

1) Аныктоо жана чек контролдоо

In transit шифрлөө - бул пассивдүү кармоо жана каналга активдүү чабуулдар мазмунду ачыкка чыгарбоо жана аны аныктоосуз өзгөртүүгө жол бербөө үчүн тармактык берүүлөрдүн бүткүл жолунда (браузер, сервис, агент, брокер, база, тиркеме, дата-борбор) маалыматтарды коргоо.

Биз эмне камтыйт: коомдук жана жеке API (HTTP/HTTPS, gRPC), агымы жана брокерлер (Kafka, NATS, RabbitMQ), WebSocket, тармак боюнча базалар жана кэшдер, кластерлердин ичинде кызматтык трафик, VPN/ортосунда-маалымат борбору жана булуттар, DNS-суроолор, мобилдик/IoT-кардарлар.

Биз толук камтыбаган нерсе: акыркы пунктка кол салуу (ээсинин/браузердин компромисс), колдонмолордун алсыздыгы, логиндерден/дамптардан агып кетүү. Бул өзүнчө контролдоо менен чечилет (A&A, укуктарды минималдаштыруу, ат rest шифрлөө, коопсуз логин).

2) Коркунучтар жана максаттар модели

Тобокелдиктер: кармап алуу/Traffic алмаштыруу (MITM), протокол Downgread/Shifrosuit, жасалма күбөлүк/CA, ачкыч агып, SNI кол/мета-маалыматтар, аралаш мазмун, баланстагылар боюнча туура эмес TLS терминдер, кооптуу аралык байланыштар.

1. Купуялык + крипто аутентификация менен бүтүндүк.

2. Downgread каршы (катуу саясат жана ).

3. Тараптардын идентификациясы (сервердик, зарыл болгон учурда - өз ара).

4. Сертификаттардын/ачкычтардын башкарылуучу жашоо цикли жана аудит.

5. Коопсуздук компромисс жок аткаруу кароо.

3) Негизги принциптер

TLS бардык жерде демейки болуп саналат. Тышкы жана ички трафик - шифрлөө.
Заманбап версиялар. TLS 1. 3 стандарт катары; TLS 1. 2 - катуу саясатчылар менен гана. өчүрүү 1. 0/1. 1.
PFS менен AEAD-shifrosuites. AES-GCM же ChaCha20-Poly1305; (EC) DHE аркылуу PFS.
ийри/key-exchange. X25519 (жакшы) же secp256r1 (P-256). RSA ачкычтары ≥ 2048, жакшы ECDSA (P-256).
ишеним аз жерде mTLS. Сервистер аралык каналдар, администратор-API, брокерлер, базалар - өз ара аутентификация аркылуу.
веб үчүн HSTS. Милдеттүү HTTPS + preload коомдук домендер үчүн.
"Шифрлөө-жана-кайра-шифрлөө" аң-сезимдүү түрдө. TLS-терминалдаштыруу периметри + кайра шифрлөө үчүн backends же аркылуу passthrough - коркунуч моделин тандоо.
Crypto-agility. Нөлдүк токтоп турган ийри сызыктарды/сюиталарды/версияларды өзгөртүү мүмкүнчүлүгү.

4) Протоколдордун жана сценарийлердин жыйындысы

4. 1 HTTP/2, HTTP/3 (QUIC), gRPC, WebSocket

ALPN: HTTP/2 үчүн h2, HTTP/3 үчүн h3; тыюу h2c (TLS жок).
HTTP/3/QUIC: жашыруун, орнотулган 0-RTT жана кошулмалардын миграциясын азайтат; 0-RTT жол берүү (реплика тобокелдиги).
gRPC: h2/h3 жогору; милдеттүү TLS, кошумча mTLS + per-RPC уруксат.
WebSocket: гана wss ://; прокси/балансы - туура upgrade жана TLS-pinning домен.

4. 2 Сервис аралык трафик жана тейлөө баштыктары

Sidecar-модель (Istio/Linkerd ж.б.). Автоматтык mTLS, уруксат берүү саясаты, күбөлүктөрдү айлантуу.
SPIFFE/SPIRE. Борборлоштурулбаган кызматтардын идентификациясы (SPIFFE ID), SVID сертификаттары, кыска TTL.
TLS параметрлери борборлоштурулган. Кызматтардын кодундагы конфигурациялардын карама-каршылыгын азайтуу.

4. 3 Брокерлер/агымы/кезек

Kafka/NATS/RabbitMQ: кардар брокер жана брокер брокер үчүн TLS; мүмкүн болсо - mTLS.
TLS үстүнөн SASL: mTLS мүмкүн эмес болсо, аутентификация - токендер/логиндер, бирок канал шифрлөө.
ACL жана тема authorization. Шифрлөө ≠ кирүүнү көзөмөлдөө.

4. 4 Маалымат базалары жана кэштер

PostgreSQL/MySQL/SQL Server: TLS, CN/SAN валидациясын, PIN СА/тамырын камтыйт.
Redis/Memcached: stunnel/TLS-редис колдонуу; прод-жылы plain-трафикке тыюу салуу.

4. 5 Тармак/туннелдер

Маалымат борбору/булуттардын ортосунда: IPsec (IKEv2) же WireGuard (примитивдердин заманбап топтому).
Admin-Access: заманбап CEH/шифрлери менен SSH; сырсөздөрдү тыюу, гана ачкычтар/SSO.

4. 6 DNS жана көмөкчү протоколдор

DNS over HTTPS (DoH )/DNS over TLS (DoT) кардарлар үчүн жана мүмкүн болгон жерде кластердин ичинде.
Аралаш мазмунду өчүрүү. Эч нерсе http ://https ://беттеринде.

5) Сертификаттар, PKI жана ачкычтарды башкаруу

PKI модели: тышкы домендер үчүн - ачык CA; ички жол үчүн - өз CA же SPIRE-CA.
Automation: ACME/Cert-менеджер үчүн Kubernetes, кыска TTL, auto-айлануу.
OCSP stapling и CRL. Фронтто stapling кирет; дайыма чынжырларды жаңыртып турушат.
Pinning - этияттык менен. мобилдик/desktop-кардарлар - PIN CA/SPKI авариялык Rolling механизми менен.
Ачкычтарды сактоо: HSM/KMS/secret сактоо жеке ачкычтар; минималдуу экспозиция; логинге тыюу салуу.

6) Конфигурациялар: практикалык профилдер

• Версиялар: TLS 1. 3 (милдеттүү), TLS 1. 2 (fallback).

• TLS 1. 3: `TLS_AES_128_GCM_SHA256`, `TLS_AES_256_GCM_SHA384`, `TLS_CHACHA20_POLY1305_SHA256`.
• TLS 1. 2: 'ECDHE-ECDSA-AES128-GCM-SHA256', 'ECDHE-RSA-AES128-GCM-SHA256' (+ керек болсо AES256/CHACHA20 варианттары).
• ийри: X25519, secp256r1.
• Күбөлүктөр: ECDSA-артыкчылык, RSA-fallback.
• Коопсуз аталыштар: 'Strict-Transport-Security', 'X-Content-Type-Options', 'X-Frame-Options' (кейс боюнча), 'Referrer-Policy'.
• Cookies: 'Secure', 'HttpOnly', 'SameSite' (дизайн боюнча Lax/Strict).

• Милдеттүү кардар күбөлүк.
• Кыска TTL кардарлар SVID (саат/күн), автоматтык айлануу.
• Саясатчылар: ким кимге туташа алат (intent-based/mesh-authorization аркылуу иштөө).

7) аткаруу жана ишенимдүүлүк

аппараттык тездетүү: AES-NI/ARMv8 крипто, AES-NI жок CPU боюнча ChaCha20-Poly1305 артыкчылык.
Session resumption: TLS 1. 3 tickets; жашоо мөөнөтүн ойлонуп (перф менен коопсуздуктун ортосундагы тең салмактуулук).
0-RTT: гана idempotent суроо үчүн; replay каршы коргоо (Server анти-replay механизмдери).
балансы/прокси: так termination vs passthrough тандоо; termination - бэкендге кайра шифрлөө.
Observability: кол алышуу/ката/сүйлөшүүлөр ALPN метриктер, TLS пайызы 1. 3, күбөлүктөрдүн мөөнөтү, OCSP статусу.

8) тестирлөө жана текшерүү

TLS профилин сканерлөө. Үзгүлтүксүз текшерүүлөр колдоо версиялары/сүйүктүүлөр/ийри сызыктар жана HSTS/OCSP.
Терс тесттер: downgrade тыюу салуу, алсыз Sweet четтөө, SNI жок байланыштар иштебей/тастыкталган чынжыр күбөлүк жок.
Pentest Channel: MITM-симуляцияларды, мобилдик кардарларда pinning текшерүү, 0-RTT-реплика аракети.
Chaos-тесттер: күбөлүк мөөнөтү/кайра чакыртып алуу, OCSP/CA жеткиликсиздиги.

9) Көп каталар жана аларды алдын алуу үчүн кантип

TLS кирет, бирок хост валидациясы жок. Биз ар дайым CN/SAN текшерүү, тыюу 'InsecureSkipVerify'.
Аралаш мазмун. Https-беттердеги http-ресурстарды бөгөттөп, CSP колдонуңуз.
Алсыз/эскирген версиялар жана сүйүктүүлөр. TLS өчүрүү 1. 0/1. 1, CBC/RC4/3DES.
Ичинде кайра шифрлөөнүн жоктугу. Тиркемеге баланстан Plain-трафик - тобокелдик.
Узак мөөнөттүү күбөлүктөр. Кыска TTL жана Auto Update жасаңыз.
Прокси үчүн туура эмес SNI/ALPN. TLS-pass-tru/терминация менен SNI/ALPN туура берүү.

10) Mini Recipes (конфигурация үзүндүлөрү)

ssl_protocols      TLSv1. 3 TLSv1. 2;
ssl_ciphers       TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers on;
ssl_ecdh_curve     X25519:P-256;
ssl_stapling      on;
ssl_stapling_verify   on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

transport_socket:
name: envoy. transport_sockets. tls typed_config:
"@type": type. googleapis. com/envoy. extensions. transport_sockets. tls. v3. DownstreamTlsContext common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_3 validation_context:
trusted_ca: { filename: /etc/tls/ca. crt }
tls_certificates:
certificate_chain: { filename: /etc/tls/tls. crt }
private_key:   { filename: /etc/tls/tls. key }
require_client_certificate: true

[Interface]
PrivateKey = <priv>
Address  = 10. 10. 0. 1/24
[Peer]
PublicKey = <pub>
AllowedIPs = 10. 10. 0. 0/24
Endpoint  = gw. example. com:51820
PersistentKeepalive = 25

11) Саясат жана шайкештик

Минималдуу талаптар: TLS 1. 3 мүмкүн болгон жерде; TLS 1. 2 - чектелген комплекти менен.
Жөнгө салуучу: PCI DSS/каржы сектору - алсыз версияларга/сюиттерге тыюу салуу; милдеттүү ротация жана аудит.
Zero Trust-мамиле: ар бир жумуш жүгү боюнча идентификация, үзгүлтүксүз текшерүү жана тейлөө деңгээлиндеги саясат.

12) Иштетүү жана SLO

SLO: ≥ 99% ийгиликтүү кол алышуу, ≥ 95% TLS трафик 1. 3, 0% аралаш мазмун.
Алерталар: күбөлүктөрдүн мөөнөтү (<14 күн), кол алышуудан баш тартуунун өсүшү, TLS үлүшүнүн төмөндөшү 1. 3, OCSP каталар stapling.
Процедуралар: СА/тамырды авариялык алмаштыруу, бузулган ачкычты чакыртып алуу, 0-RTT өчүрүү.

13) Чек-баракчалар

• Өчүрүү TLS 1. 0/1. 1 жана алсыз Sweets, AEAD жана PFS кирет.
• ALPN орнотулган (h2/h3); тыюу h2c.
• HSTS киргизилген (коомдук домендер үчүн), mixed мазмуну жок.
• Auto-такташты күбөлүк, OCSP stapling иштейт.
• Ички каналдар mTLS тарабынан корголгон (же WireGuard/IPsec барабар).
• Кардарларда/SDKда хост/чынжыр валидациясы текшерилди.

• TLS/ALPN версияларын/каталарды жана экспирацияларды көзөмөлдөө.
• Crypto-agility планы (жаңы Sweet/ийри котормо).
• Мезгил-мезгили менен pentestes канал жана ревю конфигурациялары.

14) FAQ

S: TLS периметри боюнча гана жетиштүүбү?
О: Жок. Ички жол да коддоо керек (mTLS/туннелдер/mesh), айрыкча булуттар жана көп ижара менен.

S: 0-RTT керекпи?
О: Демпотенттик суроолор үчүн чекитти күйгүзүңүз, антпесе реплика коркунучунан улам өчүрүңүз.

S: DPC үчүн эмнени тандоо керек? IPsec же WireGuard?
Жөнүндө: WireGuard жөнөкөй жана тез, IPsec - жетилген жана кеңири колдоого алынган. Экөө тең туура конфигурацияда жол берилет.

S: Кантип "жолдо" Webhuke коргоо керек?
Жөнүндө: Заманбап кароо менен HTTPS + жөнөтүүчүнүн күбөлүк текшерүү (mTLS болсо) + пайдалуу жүктүн кол тамгасы жана таймстампты текшерүү (кара: "Webhook жеткирүү кепилдиктери", "Кол коюу жана суроо-талаптарды текшерүү").

• "Ат Rest шифрлөө"
• "Аутентификация жана авторизация"
• "Кол коюу жана суроо-талаптарды текшерүү"
• "S2S-аутентификация"
• "Ачкычтарды башкаруу жана ротация"