Өнөр жай чөйрөсүн чыңдоо жана аудит

1) Максаттар жана жоопкерчилик зонасы

• кол салуу аянтын азайтуу жана Blast Radius;
• каналдарды, эсептерди, сырларды жана жеткирүү артефакттарын коргоо;
• MTTR максаттарына караганда инциденттерди тез аныктоо жана жооп берүү;
• стандарттарга шайкештигин тастыктоо (GDPR/PCI DSS/жергиликтүү эрежелер);
• бардык критикалык иш-аракеттердин текшерүүгө жөндөмдүүлүгүн (auditability) сактоо.

Негизги принциптери: Zero Trust, Least Privilege, Segmentation, Everything-as-Code, Security-by-Default.

2) Тармак периметри жана сегменттөө

Сегменттер: Edge (WAF, бот-менеджмент, DDoS), DMZ (gateway), App (микросервистер), Data (BD/кэш), Backoffice/Ops (CI/CD, observability).
L4/L7 саясаты: deny-by-default, services/неймспейс/порттор боюнча ачык allow.
mTLS кластердин ичинде; TLS 1. 2 + периметри боюнча, HSTS, коопсуз шифрлер.
Кирүү чыпкасы: WAF (OWASP Top-10), анти-бот, rate limits, гео/ASN блоктору, CAPTCHA тобокелдик жолунда.
DDoS protection: always-on + auto-mitigation, API/статикалык мазмун үчүн өзүнчө профилдер.
Egress-Control: гана провайдерлер үчүн зарыл болгон тышкы хостинг (PSP/KYC/оюндар).

3) Идентификация, жеткиликтүүлүк жана артыкчылыктар (IAM/PAM)

SSO (OIDC/SAML) + адамдар үчүн MFA; OIDC токендер/Workload Identity үчүн кызматтар.
RBAC/ABAC: минималдуу уруксат менен ролу; "break-glass" аудит жана TTL боюнча кирүү.
PAM: өтүнүчү боюнча артыкчылыктуу сессияларды жазып, толук жазуу жана журнал.
CIEM (булуттар): ашыкча укуктарды жана өлгөн ролдорду издөө, авто-ремедиация.
Прод-маалыматтарга жетүү: гана бекитилген jump/прокси аркылуу, PII жашыруу менен.

4) Сырлар жана крипто

KMS/HSM: ачкычтарды сактоо, envelope шифрлөө, билдирүүлөр менен айлануу.
Secret Manager: кыска өмүрлүү кред, Git/Logs сырларды алып салуу.
Кол тамгалар: артефакттар (cosign), webhooks (HMAC), кызматтык токендер.
PAN/PII талаалар: tokenization/коддоо; жашырып жана алдын ала.
Ротация саясаты: ачкычтар/сертификаттар/сырсөздөр - регламенттүү жана мажбурлап.

5) Контейнерлер жана Kubernetes (CWPP/KSPM)

Негизги сүрөттөр: минималдуу, CI боюнча аялуу сканерлөө; rootless мүмкүн болгон жерде.
Admission-саясат (OPA/Gatekeeper/Kyverno): тыюу ': latest', 'privileged', hostPath; сүрөттөргө кол коюуну талап кылабыз.
NetworkPolicies: кызмат аралык байланыш гана зарыл.
PodSecurity: чектелген capabilities, read-only FS, seccomp, AppArmor.
Сырлар: Secret Store CSI (KMS); манифесттерде бир да жашыруун сыр жок.
Runtime-коргоо: жүрүм-турум эрежелери (eBPF), аномалиялар боюнча алерт.

rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6) Жеткирүү чынжыр: ишеним, бирок текшерүү

SBOM ар бир bild; сактоо жана чыгаруу менен байланыштыруу.
Сүрөттөрдүн/манифесттердин кол тамгалары, admission-контроллеринде текшерүү.
SLSA-аттестация: экспонаттардын далилденген келип чыгышы.
Policy-as-Code: Conftest/OPA алдын ала Terraform/Helm/K8s.
Прод боюнча "last-minute patching" тыюу салуу: бардык өзгөртүүлөр - гана paypline аркылуу.

7) Кемчиликтерди жана тактарды башкаруу

SCA/SAST/DAST в CI; critical/high үчүн тосмо босоголор.
Жумалык жаңыртуу батчтери (сүрөттөр, OS-пакеттер, китепканалар) + шашылыш пландан тышкары.
Аткарылган оңдоолор → CVE/SBOM менен байланышкан билеттер/релиздер.
EASM: кол бетине тышкы карап чыгуу (поддомен, ачык порттор, күбөлүктөр).
Үзгүлтүксүз пен-тесттер: жылына жок дегенде бир жолу + критикалык агымдар боюнча максаттуу (төлөмдөр/CUS).

8) Логи, метрика, издөө жана аудит артефакттарын сактоо

Стандартташтырылган Логи (JSON) менен 'trace _ id', 'request _ id', user/tenant/geo (псевдоним), жок PII/PAN.
Метриктер: p50/p95/p99, error-rate, saturation, DLQ, retray, бизнес-KPI (убакыт-Кошелек).
Trading (OTel): критикалык маршруттар үчүн end-to-end (депозиттик/CUS/чыгаруу).
SIEM: окуялардын корреляциясы (аутентификация, ролдорду өзгөртүү, административдик аракеттер, WAF/боттордун эрежелери).
SOAR: auto-реакциялар (идиш изоляциясы, токенди чакыртып алуу, IP/ASN блогу, релизге тыюу салуу).
Retenshn: иштетүү Логи - 30-90 күн ысык сактоо, аудит-экспонаттар - узак, саясатка ылайык.

json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9) Antibot, алдамчылык жана коргоо жагдайлар

Бот башкаруу: белгилер/жүрүм-турум, device-fingerprint, динамикалык чакырыктар.
Rate limits/quotas: per-user/tenant/IP; аномалияда адаптивдүү.
критикалык ENPOINTS боюнча RASP датчиктер (кол webhooks айланып аракет, саат, кайра жеткирүү).
Fraud сигналдары: каналдар аркылуу корреляция (логиндер, төлөмдөр, KYC), авто эскалациялар.

10) Камдык, DR жана BCP

RTO/RPO максаттары аныкталган жана сыналган (мисалы, RTO ≤ 1 саат, RPO ≤ 5 мүнөт төлөм DB үчүн).
Backaps: шифрленген, мезгил-мезгили менен оффлайн сактоо; үзгүлтүксүз калыбына келтирүү тесттер.
Гео-кайталоо: региондор боюнча актив-пассив/актив-актив; TTL контролдоо менен DNS-failover.
Критикалык көз карандылык каталогу (PSP/KYC/оюн агрегаторлору) жана которуу пландары.

11) Окуялар жана жооп

Runbooks: Провайдердин кулашы, латенттүүлүктүн өсүшү, токендин компромисстери, DDoS.
On-call: 24/7, айлануу жана бласт пейдж; биргелешкен "war-room" практика.
Байланыш: кардарларга/өнөктөштөргө жана жөнгө салуучуларга билдирүүлөрдүн үлгүлөрү.
Post-mortem (blameless): кайталоону алдын алуу боюнча иш-аракеттер, саясат/playbook жаңыртуу.

12) Комплаенс жана купуялык

GDPR: маалыматтарды минималдаштыруу, макулдук реестрлери, алып салуу/ташуу укугу; Жаңы провайдерлер үчүн DPIA.
PCI DSS: токенизациялоо/изоляцияланган PAN зоналары, тармактык сегменттер, катуу кирүү журналдары.
Жергиликтүү талаптар (рыноктордун юрисдикциялары): аймактагы маалыматтарды сактоо, отчеттуулук, жаңыртуу терезелери.
Data Lineage: кайда жана кантип PII/PAN агат; схемалар жана DevPortal DPIA.

13) Аудит: түрлөрү, экспонаттар жана цикл

• Ички (чейрек сайын): саясатка шайкештик, өзгөрүүлөрдү, жеткиликтүүлүктү, сырларды, логдорду, пайплайндарды көзөмөлдөө.
• Тышкы (жыл сайын/талаптар боюнча): PCI/GDPR/жергиликтүү жөнгө салуучулар, пен-тесттер, SOC-провайдерлердин отчеттору.

• Коопсуздук саясаты, IAM-матрица ролдору, мөөнөтү менен өзгөчөлүктөр тизмеси.
• Инфраструктуралык өзгөрүүлөрдүн логдору (IaC), CI/CD отчеттору (SBOM, кол тамгалар, тесттер).
• Провайдерлердин реестри (PSP/KYC/оюндар), DPIA/сатуучу-тобокелдик баалоо, келишимдер жана SLA.
• Прод кирүү журналдары, сырларды айлантуу натыйжалары, SIEM/SOAR отчеттору.
• DR/BCP пландары жана акыркы калыбына келтирүү тесттеринин протоколдору.

• "Evidence-first": ар бир практика - текшерилүүчү артефакт.
• "No humans in prod": максималдуу пайплайндар жана бекитилген арыздар аркылуу; бардык сессиялар - журналга ылайык.
• "Trace everything": өзгөрүүлөрдү инциденттер/метриктер менен салыштыруу.

14) Guardrails-as-Code: мисалдар

rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

AdmissionPolicy (K8s): коопсуздук белгилерин жана ресурстук чектөөлөрдү талап

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15) Күнүмдүк тамак-аш гигиенасынын чек тизмеси

• WAF/бот саясаты активдүү, белгилер жаңыртылган; always-on режиминде анти-DDoS.
• кластерде Admission-контроллерлор enforce абалда, эмес, аудит.
• Бардык прод-сүрөттөр кол коюлган; SBOM жеткиликтүү жана бошотуу менен байланышкан.
• critical/high - жок же датасы менен өзгөчөлүктөр менен жазылган.
• Сырларды/сертификаттарды айлантуу - график боюнча, эч кандай кечигүүлөр жок.
• SIEM кирүү/өзгөртүү IAM/релиздер окуяларды байланыштырат; SOAR playbook сыналган.
• Backaps өттү, тартиби боюнча калыбына келтирүү тест; DR-validen планы.
• Prod жетүү - SSO + MFA/PAM аркылуу гана; бардык сессиялар жазылат.
• "No PII in logs" - сканерлер тарабынан тастыкталган; маскировка киргизилген.
• Release gates жана байкоо жаңыланган "as-code".

16) Жетилүү модели (кыскача)

1. Базалык - кол менен өзгөртүү, бирдиктүү периметр, жарым-жартылай мониторинг.
2. Advanced - сегментация, IAM/RBAC, кол коюлган экспонаттар, WAF/DDoS, SIEM, үзгүлтүксүз тактар.
3. Эксперттик - Zero Trust, guardrails-as-code, SLSA-күбөлөндүрүү, runtime-коргоо, SOAR-автоматташтыруу, "no humans in prod", үзгүлтүксүз аудит.

17) Ишке ашыруунун жол картасы

M0-M1 (MVP): тармактык сегменттөө, WAF/DDoS, SSO + MFA, KMS, негизги Admission-саясат, стандартташтырылган Логи/метрика/соода, SIEM.
M2-M3: кол сүрөттөр жана admission текшерүү, SBOM, Conftest/OPA боюнча IaC, PAM, айлануу планы, үзгүлтүксүз тактар, биринчи DR-тесттер.
M4-M6: SOAR playbook, eBPF/runtime-detect, EASM, комплаенс пакети (PCI/GDPR), аудит экспонаттарынын толук топтому, региондор боюнча ring-DR.
M6 +: Zero-Trust тармагы (бардык жерде mTLS), CIEM, автоматташтырылган аудит контролдук отчеттор, туруктуу "purple-команда" сыноо.

Кыскача корутунду

Күчтүү прод - бул "темир" эрежелердин жыйындысы эмес, система: сегменттөө, катуу идентификациялар жана сырлар, коопсуз жеткирүү, башкарылуучу контейнерлер, байкоо жүргүзүү жана автоматташтырылган реакция. Буга текшерүүгө жөндөмдүүлүктү кошуңуз (аудит артефакттары, SBOM/кол тамгалар, журналдар), жана прод-чөйрө болжолдуу, башкарылуучу жана тышкы текшерүүлөргө даяр болуп калат - релиздердин ылдамдыгы жана бизнес SLO боюнча компромисссиз.