In Transit шифрлау

In Transit шифрлау

1) Бақылау шекарасын айқындау

In transit шифрлау - бұл желілік берудің барлық жолында (браузер, сервис, сервис, агент, брокер, база, қосымша, датацентр, датацентр) пассивті ұстап қалу және арнаға белсенді шабуылдар мазмұнды ашпауы және оны детекторлаусыз түрлендіруге мүмкіндік бермеуі үшін деректерді қорғау.

Не жабамыз: ашық және жеке API (HTTP/HTTPS, gRPC), стриминг және брокерлер (Kafka, NATS, RabbitMQ), WebSocket, желі бойынша базалар мен кэштер, кластерлер ішіндегі қызметтік трафик, VPN/ортадағы-ЦОД және бұлттар, DNS-сұраулар, мобильді/IoT-клиенттер.

Біз толығымен жаба алмаймыз: соңғы нүктелерге шабуыл жасау (хост/шолғыштың ымырасы), қосымшалардың осалдығы, логтардың/дампалардың ағуы. Бұл жеке бақылаулармен шешіледі (A&A, құқықтарды азайту, at rest шифрлау, қауіпсіз логин жасау).

2) Қатерлер мен мақсаттар моделі

Тәуекелдер: трафикті ұстап алу/ауыстыру (MITM), хаттама даунгрейді/шифросуит, жалған сертификаттар/СА, кілттердің жылыстауы, SNI/метадеректерге шабуылдар, аралас контент, теңгерімдердегі TLS дұрыс терминделмеуі, қауіпсіз емес қызмет аралық қосылыстар.

1. Құпиялылық + криптографиялық аутентификациямен тұтастық.

2. Даунгрейдке қарсы тұру (қатаң саясат және ).

3. Тараптарды сәйкестендіру (серверлік, қажет болған жағдайда - өзара).

4. Сертификаттардың/кілттердің басқарылатын өмірлік циклі және аудит.

5. Қауіпсіздік ымырасы жоқ өнімділік профилі.

3) Базалық қағидаттар

TLS барлық жерде әдепкі. Сыртқы және ішкі трафик - шифрланады.
Қазіргі заманғы нұсқалары. TLS 1. 3 стандарт ретінде; TLS 1. 2 - тек қатаң саясатта ғана. 1 дегенді өшіру. 0/1. 1.
PFS бар AEAD-шифр жүйелері. AES-GCM немесе ChaCha20-Poly1305; (EC) DHE арқылы PFS.
Қисық/кей-эксчейндж. X25519 (артықшылығы бар) немесе secp256r1 (P-256). RSA-кілттер ≥ 2048, ECDSA (P-256) жақсы.
mTLS сенім аз жерде. Қызмет аралық арналар, әкімшілік-API, брокерлер, базалар - өзара аутентификация арқылы.
Веб үшін HSTS. Көпшілік домендерге арналған HTTPS + preload.
«Шифрлаймыз-және-қайта шифрлаймыз» саналы түрде. TLS-терминация периметрде + бэкендтерге дейін қайта шифрлау немесе өтпелі passthrough - қатерлер моделі бойынша таңдаймыз.
Crypto-agility. Нөлдік тоқтап тұрған қисықтарды/суиттерді/нұсқаларды өзгерту мүмкіндігі.

4) Хаттамалар мен сценарийлер стегі

4. 1 HTTP/2, HTTP/3 (QUIC), gRPC, WebSocket

ALPN: HTTP/2 үшін h2, HTTP/3 үшін h3; h2c тыйым салу (TLS жоқ).
HTTP/3/QUIC: жасырындылықты, кіріктірілген 0-RTT және қосылыстардың көші-қонын төмендетеді; Іріктеп рұқсат 0-RTT (реплея қаупі).
gRPC: h2/h3 үстінен; міндетті түрде TLS, опциондық mTLS + per-RPC авторизациясы.
WebSocket: тек wss ://; прокси/теңгерушілерде - доменнің дұрыс апгрейді және TLS-пиннингі.

4. 2 Қызмет көрсету аралық трафик және сервис-қаптар

Sidecar-модель (Istio/Linkerd және т.б.). Автоматты mTLS, рұқсат саясаты, сертификаттарды ротациялау.
SPIFFE/SPIRE. Сервистердің орталықсыздандырылған сәйкестігі (SPIFFE ID), SVID-сертификаттар, қысқа TTL.
TLS параметрлері орталықтандырылады. Сервистер кодындағы пішіндер айырмашылығын барынша азайту.

4. 3 Брокерлер/стриминг/кезектер

Kafka/NATS/RabbitMQ: TLS үшін клиент, брокер және брокер, брокер; мүмкіндігінше - mTLS.
TLS үстіндегі SASL: егер mTLS мүмкін болмаса, аутентификация - белгілер/логиндер бойынша, бірақ арнаны шифрлау.
ACL және тақырыптарды авторизациялау. Шифрлау ≠ кіруді бақылау.

4. 4 Дерекқорлар мен кэштер

PostgreSQL/MySQL/SQL Server: TLS, CN/SAN валидациясын, СА/тамырын қосу.
Redis/Memcached: stunnel/TLS редистерін пайдалану; өнімде plain-трафикке тыйым салу.

4. 5 Желі/туннельдер

ЦОД/бұлттар арасында: IPsec (IKEv2) немесе WireGuard (қазіргі заманғы примитивтер жиынтығы).
Әкімшілік қолжетімділік: заманауи КЕХ/шифрлары бар SSH; құпия сөздерге тыйым салу, тек кілттер/SSO.

4. 6 DNS және қосалқы хаттамалар

DNS over HTTPS (DoH )/DNS over TLS (DoT) клиенттер үшін және мүмкіндігінше кластер ішінде.
Аралас мазмұнды өшіру. https ://беттерінде http ://бойынша ештеңе жоқ.

5) Сертификаттар, PKI және кілттерді басқару

PKI-модель: сыртқы домендер үшін - ашық CA; ішкі трафик үшін - меншікті CA немесе SPIRE-CA.
Автоматтандыру: ACME/Cert-manager үшін Kubernetes, қысқа TTL, авто-ротация.
OCSP stapling и CRL. Фронттарда stapling қосу; тізбектерді үнемі жаңартып отыру.
Pinning - сақтықпен. Мобильді/десктоп-клиенттерде - авариялық домалату тетігі бар pin CA/SPKI.
Кілттерді сақтау: HSM/KMS/secret-сақтау орындарында жеке кілттер; экспозициялардың минимумы; логинге тыйым салу.

6) Конфигурациялар: практикалық профильдер

• Нұсқалары: TLS 1. 3 (міндетті), TLS 1. 2 (fallback).

• TLS 1. 3: `TLS_AES_128_GCM_SHA256`, `TLS_AES_256_GCM_SHA384`, `TLS_CHACHA20_POLY1305_SHA256`.
• TLS 1. 2: 'ECDHE-ECDSA-AES128-GCM-SHA256', 'ECDHE-RSA-AES128-GCM-SHA256' (+ қажет болған жағдайда AES256/CHACHA20 нұсқалары).
• Қисықтар: X25519, secp256r1.
• Сертификаттар: ECDSA-дұрыс, RSA-fallback.
• Қауіпсіз тақырыптар: 'Strict-Transport-Security', 'X-Content-Type-Options', 'X-Frame-Options' (кейс бойынша), 'Referrer-Policy'.
• Cookies: 'Secure', 'HttpOnly', 'SameSite' (дизайны бойынша Lax/Strict).

• Клиенттік сертификат міндетті.
• Қысқа TTL клиенттік SVID (сағат/күн), автоматты ротация.
• Саясаткерлер: кімге қосыла алады (intent-based/mesh-авторизациялау арқылы жұмыс істеу).

7) Өнімділік және сенімділік

Аппараттық жеделдету: AES-NI/ARMv8 Crypto, AES-NI жоқ CPU-да ChaCha20-Poly1305 артықшылығы.
Session resumption: TLS 1. 3 tickets; өмір сүру мерзімін ойластыру (перф пен қауіпсіздік арасындағы теңгерім).
0-RTT: тек идемпотенттік сұраулар үшін; реплеядан қорғану (серверлік anti-replay механизмдері).
Теңгерушілер/прокси: нақты termination vs passthrough таңдау; termination кезінде - бэкендке қайта шифрлау.
Observability: қол алысу/қателер/ALPN сөйлесу өлшемдері, TLS пайызы 1. 3, сертификат мерзімі, OCSP-мәртебесі.

8) Тестілеу және верификация

TLS профилін сканерлеу. Қолдау көрсетілетін нұсқаларды/суиттерді/қисықтарды және HSTS/OCSP жүйелік тексерулері.
Теріс тесттер: downgrade тыйым салу, әлсіз суиттердің ауытқуы, SNI-сіз/валидті тізбекті сертификатсыз қосылыстардың істен шығуы.
Канал пентесті: MITM-симуляциялар, мобильді клиенттерде pinning тексеру, 0-RTT-репликаға әрекеттер.
Chaos тестілері: сертификаттың аяқталуы/кері қайтарылуы, OCSP/CA қол жетімсіздігі.

9) Жиі қателер және оларды болдырмау

TLS қосылған, бірақ хост валидациясы жоқ. Әрқашан CN/SAN тексереміз, 'InsecureSkipVerify' дегенге тыйым саламыз.
Аралас мазмұн. Https беттеріндегі http-ресурстарды бұғаттаңыз, CSP пайдаланыңыз.
Әлсіз/ескірген нұсқалар мен суиттер. TLS 1 дегенді өшіру. 0/1. 1, CBC/RC4/3DES.
Ішке қайта шифрлаудың болмауы. Теңгерімдерден қосымшаға plain-трафик - тәуекел.
Ұзақ өмір сүретін куәліктер. Қысқа TTL және авто жаңарту.
Прокси үшін дұрыс емес SNI/ALPN. TLS-пасс-тру/терминация кезінде SNI/ALPN дұрыс берілуі.

10) Шағын рецептілер (конфигурация фрагменттері)

ssl_protocols      TLSv1. 3 TLSv1. 2;
ssl_ciphers       TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers on;
ssl_ecdh_curve     X25519:P-256;
ssl_stapling      on;
ssl_stapling_verify   on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

transport_socket:
name: envoy. transport_sockets. tls typed_config:
"@type": type. googleapis. com/envoy. extensions. transport_sockets. tls. v3. DownstreamTlsContext common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_3 validation_context:
trusted_ca: { filename: /etc/tls/ca. crt }
tls_certificates:
certificate_chain: { filename: /etc/tls/tls. crt }
private_key:   { filename: /etc/tls/tls. key }
require_client_certificate: true

[Interface]
PrivateKey = <priv>
Address  = 10. 10. 0. 1/24
[Peer]
PublicKey = <pub>
AllowedIPs = 10. 10. 0. 0/24
Endpoint  = gw. example. com:51820
PersistentKeepalive = 25

11) Саясат және сәйкестiк

Ең аз талаптар: TLS 1. 3 мүмкін болатын барлық жерде; TLS 1. 2 - суиттер жиынтығы шектеулі.
Реттеуіш: PCI DSS/қаржы секторы - әлсіз нұсқаларға/суиттерге тыйым салу; міндетті ротация және аудит.
Zero Trust-тәсіл: әрбір жұмыс жүктемесіне сәйкестік, үздіксіз тексеру және сервис деңгейіндегі саясат.

12) Пайдалану және SLO

SLO: 99% сәтті қол ≥, 95% трафикті ≥ TLS 1. 3, 0% аралас мазмұн.
Алерталар: сертификаттардың аяқталуы (<14 күн), қол алысудан бас тартудың өсуі, TLS үлесінің төмендеуі 1. 3, OCSP stapling қателері.
Рәсімдер: СА/тамырын авариялық ауыстыру, сындырылған кілтті қайтарып алу, 0-RTT ажырату.

13) Чек парақтары

• TLS 1 ажыратылды. 0/1. AEAD және PFS қосылған 1 және әлсіз суиттер.
• ALPN бапталған (h2/h3); h2c тыйым салу.
• HSTS қосылған (ашық домендер үшін), mixed content жоқ.
• Сертификаттар автоматты түрде жаңартылады, OCSP stapling жұмыс істейді.
• Ішкі арналар mTLS (немесе WireGuard/IPsec баламасы) арқылы қорғалған.
• Клиент/SDK хосттарының/тізбектерінің валидациясы тексерілді.

• TLS/ALPN/қателер мен экспирациялар нұсқаларының мониторингі.
• crypto-agility жоспары (жаңа суиттерге/қисықтарға аудару).
• Арна пентестері және конфигурацияларды ревью.

14) FAQ

С: Тек периметрде ғана TLS жеткілікті ме?
О жоқ. Ішкі трафик де шифрлануы тиіс (mTLS/туннельдер/mesh), әсіресе бұлттарда және көп жалдау кезінде.

С: 0-RTT қажет пе?
О: Демпотенттік сұраулар үшін нүктені қосыңыз, әйтпесе реплей қатеріне байланысты өшіріңіз.

С: ЦОД арасында не таңдау керек? IPsec немесе WireGuard?
A: WireGuard оңай және жылдам, IPsec - жетілген және кеңінен қолдау. Екеуі де дұрыс конфигурация кезінде жарамды.

С: «Жолда» веб-хаттарды қалай қорғауға болады?
О: Қазіргі заманғы профилі бар HTTPS + жөнелтуші сертификатын тексеру (егер mTLS) + пайдалы жүктеме қолтаңбасы және таймстэмпін тексеру («Веб-хуктерді жеткізу кепілдіктері», «Қолтаңба және сұрау салуларды тексеру»).

• «At Rest шифрлау»
• «Аутентификация және авторизация»
• «Сұрау салуларға қол қою және тексеру»
• «S2S-аутентификация»
• «Кілттерді басқару және ротация»