Firewall жана трафикти чыпкалоо

(Бөлүк: Технология жана инфраструктура)

Кыскача резюме

Fairwall периметри боюнча бир куту эмес, жана L3-L4 L7 чейин чыпкалоо катмарлуу модели: булут коопсуздук топтор/NACL, Kubernetes тармак саясаты, egress-control (output), WAF жана бот-менеджмент боюнча edge, жана mTLS/булак-чындык кызматы -к-сервис. iGaming үчүн негизги нерсе - төлөм агымдарын жана оюн провайдерлерин коргоо, гео-саясат, DNS көзөмөлдөө жана байкоо жүргүзүү (ким, кайда, качан жана эмне үчүн).

1) Максаттары жана принциптери

Default deny: демейки тыюу салынган, минималдуу зарыл уруксат.
Defense-in-depth: периметри боюнча бирдей саясат, булут, кластер жана колдонмо.
Egress-first: чыгуу трафиги - кирүү сыяктуу эле тобокелдик (PSP, оюн провайдерлери, почта, аналитика).
ID> дареги: мүмкүн болгон жерде, биз ID (mTLS/Spiffe) ордуна жылаңач IP.
Байкоо жана аудит: чечимдердин Логи (allow/deny), tracking, окуя менен байланышуу.

2) чыпкалоо катмарынын картасы

1. Edge: CDN/WAF/DDoS/бот-коргоо, L7-эрежелери, TLS-терминалдаштыруу.
2. булут: коопсуздук топтор/NACL/VPC/көмөкчордондор/VM деъгээлинде Firewall Rules.
3. Кластер: Kubernetes NetworkPolicy, mTLS жана L7 чыпкалары менен тейлөө меш (Envoy/Istio).
4. Хост: iptables/nftables/ufw, агенттик eBPF чыпкалар.
5. Колдонмо: rate-limit/idempotency/WAF in-app, egress домендердин тизмеси.
6. DNS: split-horizon, allowlist резольверлер, тобокелдик домен блогу/түрлөрү.

3) периметри: WAF, DDoS жана бот башкаруу

WAF: негизги белгилер + API үчүн атайын эрежелер (JSON схемалар, ыкмалар/мазмун түрү).
Боттор: жүрүм-турум эсеби, device fingerprint, динамикалык капча аномалиялар менен.
DDoS: L3/4 (volium/sinaps) жана L7 (HTTP floods) - edge боюнча автоматтык ыргытып.
Geo/ASN: региондорду/автономдуу системаларды тобокелдик багыттары үчүн чектейбиз (мисалы, башкаруу панели).

nginx
Разрешаем только JSON POST/GET на /api/
location /api/ {
limit_req zone=rl_api burst=50 nodelay;
if ($request_method!~ ^(GET    POST)$) { return 405; }
if ($http_content_type!~ "application/json") { return 415; }
proxy_pass http://api_upstream;
}
ModSecurity CRS + собственные правила modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/crs.conf;

4) Cloud: Security Groups жана NACL

Security Group (stateful) - порттор/протоколдор/сегменттер боюнча чыпкалар.
NACL (stateless) - төмөнкү тармактардын орой тор чыпкалоо.

yaml security_group:
name: api-sg ingress:
- proto: tcp; port: 443; cidr: 0.0.0.0/0 # через CDN/WAF egress:
- proto: tcp; port: 443; cidr: 203.0.113.0/24  # PSP-X
- proto: tcp; port: 443; cidr: 198.51.100.0/24 # ProviderA
- proto: udp; port: 53; cidr: 10.10.0.10/32  # только наш DNS

Практика: төлөмдөр үчүн жеке SG жана egress-allowlist PSP/оюн провайдерлеринин конкреттүү диапазондорун сактоо. Жаңыртуулар - IaC жана ревю аркылуу.

5) Kubernetes: NetworkPolicy жана тейлөө меш

NetworkPolicy кластердин ичинде L3/4 чектейт; демейки боюнча "баары баары менен сүйлөшөт" - жабуу.

yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: deny-all, namespace: prod }
spec:
podSelector: {}
policyTypes: [Ingress, Egress]
ingress: []
egress: []
---
Разрешаем API разговаривать с платежным сервисом и DNS apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-allow-specific, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]
- to:
- ipBlock: { cidr: 10.10.0.10/32 }
ports: [{ protocol: UDP, port: 53 }]

• mTLS бардык жерде (ID кызматтарынын аутентификациясы, IP эмес).
• L7-чыпкалоо (ыкмалары/хост/жолдору/аталыштары), circuit-breaker, outlier-ejection.
• Тейлөө аккаунту/Spiffe ID боюнча кирүү саясаты.

yaml apiVersion: security.istio.io/v1 kind: AuthorizationPolicy metadata: { name: api-to-payments, namespace: prod }
spec:
selector: { matchLabels: { app: payments } }
action: ALLOW rules:
- from:
- source:
principals: ["spiffe://prod/ns/prod/sa/api-sa"]
to:
- operation:
methods: ["POST"]
paths: ["/deposit","/withdraw"]

6) Hosts коопсуздук: iptables/nftables/eBPF

nft table inet filter {
sets {
psp { type ipv4_addr; elements = { 203.0.113.10, 203.0.113.11 } }
}
chains {
input { type filter hook input priority 0; policy drop;
ct state established,related accept iifname "lo" accept tcp dport {22,443} accept
}
output { type filter hook output priority 0; policy drop;
ct state established,related accept udp dport 53 ip daddr 10.10.0.10 accept  # только наш DNS tcp dport 443 ip daddr @psp accept    # egress к PSP
}
forward { type filter hook forward priority 0; policy drop; }
}
}

eBPF агенттери (Cilium ж.б.) жука L3-L7-саясат жана көрүү берет (flows, DNS, HTTP-метадеректер).

7) Egress-Control жана дайындоо каталогдору

тышкы чалуулар үчүн Allowlist домен/IP (PSP, почта, KYC, оюн провайдерлери).
DNS-пиннинг/SNI-саясат: ишенимдүү резольвер аркылуу гана; чийки IP-egress тыюу.
Төлөм, оюн жана жалпы контурлар үчүн өзүнчө VPC/VNet egress.
эмес-PII жол үчүн TLS-текшерүү менен прокси; төлөм агымдары - жок MITM, гана түз mTLS/PII-safe.

8) TLS/mTLS жана крипто саясаты

TLS 1. 2 +, заманбап шифрлер, OCSP stapling, HSTS.
mTLS ичинде - Spiffe ID шилтеме/кызмат-эсеп тастыктоо.
Сертификаттарды үзгүлтүксүз айлантуу жана ишеним чынжырларын текшерүү.
L7-прокси боюнча CORS/CSP алдыңкы чабуул булактарын кесип.

9) Rate-limit жана L7-квота

IP/ASN/префикстер боюнча чектер; колдонмо лимиттери - идентификация боюнча (эсеп/тенант/ачкыч).
Idempotency-keys үчүн POST-төлөм операциялары, ретрайлер дубль жаратпайт.
Leaky/Token bucket менен Jitter; деградацияда - "боз жооптор "/капча/жайлоо.

10) DNS-коопсуздук

гана Юридикалык чечүүчү уруксат (VPC resolver/CoreDNS көтөрүлгөн).
Split-horizon: ички аттары сыртта эмес.
Block зыяндуу TLD/категорияларын, тыюу DoH/DoT чыгып.
Аномалиялар (жаңы домендер, тез-тез NXDOMAIN) боюнча суроо-Логин жана Алертинг.

11) Логи, байкоо жана сыноо

Коопсуздук Логи (allow/deny, эрежелер, байттар), WAF аудит, DNS-Логи → SIEM/SOAR.
Exemplars: 'trace _ id' → көйгөйлүү суроо-трекке тез секирүү менен кулпу метрикасы.
Синтетика: PSP/оюн провайдерлеринин керектүү аймактардан жеткиликтүүлүгүн үзгүлтүксүз текшерүү.
Packet loss, RTT, DNS каталар - эрежелер жана auto-remediation жооп текшерүү.

12) Automation жана IaC

Бардык эрежелер - код катары (Terraform/Ansible/Helm/Kyverno/Gatekeeper).
Коопсуздук саясаты менен Pull-request-review (OPA).
Версиялоо жана аннотациялар: эрежелердин ар кандай өзгөрүшү графиктерге белгиленет.
Канар өзгөрүүлөр: тармактык саясат акырындык менен (namespace/label, 5-10% этек).

13) iGaming өзгөчөлүктөрү

Төлөм жолдору (PSP): жеке egress топтору, катуу allowlist, коддорго/таймауттарга мониторинг жүргүзүү.
Оюн провайдерлери: CDN домендерин whitelisting, капыстан редакторлордон коргоо.
Гео-эрежелер: жергиликтүү чектөөлөргө ылайык, edge боюнча аймактардын блоктору.
Backoffice/KYC: ишенимдүү тармактардан гана/bastion + MFA аркылуу кирүү.
Frod: L7 velocity-лимиттери жана "оор" анормалдуу булактардын API суроо.

14) Тез эрежелердин мисалдары

UFW (хост)

bash ufw default deny incoming ufw default deny outgoing ufw allow 22/tcp ufw allow 443/tcp ufw allow out to 10.10.0.10 port 53 proto udp ufw allow out to 203.0.113.0/24 port 443 proto tcp

Istio EnvoyFilter (стандарттуу эмес ыкмаларды тыюу салуу, идея)

yaml typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.http.router.v3.Router до роутера — Lua/Match для блокировки методов not in [GET,POST,OPTIONS]

NGINX rate-limit

nginx limit_req_zone $binary_remote_addr zone=rl_api:10m rate=10r/s;
server {
location /api/ { limit_req zone=rl_api burst=50 nodelay; proxy_pass http://api; }
}

15) Киргизүү чек-тизмеси

1. булут деъгээлинде Default deny (SG/NACL), кластер (NetworkPolicy) жана хостинг.
2. Egress-allowlist PSP/провайдерлерге, ишенимдүү DNS аркылуу гана чечилет.
3. WAF/бот-менеджмент/DDoS боюнча edge, L7-эрежелери боюнча REST/JSON жана жүктөмөлөр.
4. mTLS кызматтардын ортосунда, ID authorization (Spiffe/SA).
5. Rate-limit/quotas боюнча edge жана тиркемеде, idempotency-keys төлөмдөр үчүн.
6. DNS саясаты: DoH/DoT тыюу, split-horizon, Логин.
7. Логи жана SIEM: борборлоштурулган чогултуу allow/deny/WAF/DNS, аномалиялар боюнча алерт.
8. IaC-жараяндар: эрежелердин коду, PR-review, канареялык тоголотуу, аннотациялар.
9. Тесттер/башаламандык: RTT/loss/DNS мүчүлүштүктөр, fallback жолдорун жана авто скрипттерин текшерүү.
10. Үзгүлтүксүз текшерүүлөр: колдонулбаган эрежелерди текшерүү, PSP/CDN даректерин ротациялоо.

16) Анти-үлгүлөрү

"Баарын ачуу жана WAF үмүт" - периметри ички жол кыймылын сактап калат.
egress-контролдоо жок -/C2 агып чыгуу үчүн жарык туннель.
Allow-all NetworkPolicy in Kubernetes - каптал кыймылы кепилденет.
чыпкалоо гана динамикалык CDN/PSP домен көзөмөлсүз дүйнөдө IP/DNS.
mTLS жок гана TLS-терминалдаштыруу чекити - кызматтарды алмаштыруу.
IaC/аудит жок өнүмдө эрежелерди кол менен оңдоо - өндүрүмдүүлүк жана карыздар.
Коопсуздук кагаздары "эч жерде" - байкоо жок эле "кара куту".

Жыйынтыктар

Натыйжалуу трафикти чыпкалоо платформанын архитектуралык кездемеси болуп саналат: edge-WAF жана булут SGден кластердин ичинде NetworkPolicy жана mTLSге чейин, PSP/провайдерлерге катуу egress көзөмөлү жана IaC аркылуу башкаруу менен. Мындай система ачыкка чыгуу жана кол салуу коркунучун азайтат, SLO алкагында төлөмдөрдү жана оюндарды кармап турат жана толук аудит жана байкоо аркылуу инциденттерди тез иликтөөгө жардам берет.