Өнеркәсіптік ортаны нығайту және аудит

1) Мақсаттар және жауапкершілік аймағы

• шабуыл алаңын және Blast Radius-ты барынша азайту;
• жеткізу арналарын, есептерін, құпиялары мен артефактілерін қорғауға;
• инциденттерді MTTR-мақсаттардан тезірек анықтау және әрекет ету;
• нормативтерге сәйкестігін растау (GDPR/PCI DSS/жергілікті ережелер);
• барлық сыни әрекеттердің тексерілуін (auditability) сақтау.

Түйінді қағидаттар: Zero Trust, Least Privilege, Segmentation, Everything-as-Code, Security-by-Default.

2) Желілік периметр және сегментация

Сегменттер: Edge (WAF, бот-менеджмент, DDoS), DMZ (gateway), App (микросервистер), Data (БД/кэштер), Backoffice/Ops (CI/CD, observability).
L4/L7 саясаты: deny-by-default, сервистер/неймспейстер/порттар бойынша айқын allow.
кластер ішіндегі mTLS; TLS 1. 2 + периметрде, HSTS, қауіпсіз шифрлар.
Кіру сүзгісі: WAF (OWASP Top-10), анти-бот, rate limits, гео/ASN-блоктар, CAPTCHA тәуекел жолында.
DDoS protection: always-on + auto-mitigation, API/статикалық контент үшін жеке профильдер.
Egress-бақылау: провайдерлерге қажетті сыртқы хосттар ғана (PSP/KYC/ойындар).

3) Сәйкестіктер, қолжетімділік және артықшылықтар (IAM/PAM)

SSO (OIDC/SAML) + адамдарға арналған MFA; Сервистер үшін OIDC-токендер/Workload Identity.
RBAC/ABAC: ең аз қажетті рұқсаттармен рөлдер; «break-glass» аудитпен және TTL арқылы қол жеткізу.
PAM: сұрау салу бойынша артықшылықты сессияларды жазып беру, толық жазу және журналға жазу.
CIEM (бұлттар): шектен тыс құқықтар мен өлі рөлдерді іздеу, авто-ремедиация.
Прод-деректерге қол жеткізу: тек мақұлданған jump/прокси арқылы, PII бүркемеленген.

4) Құпиялар және криптография

KMS/HSM: кілттерді сақтау, envelope-шифрлау, хабарламалармен ротациялау.
Құпия менеджер: қысқа өмір сүретін кредтер, Git/логтардағы құпияларды алып тастау.
Қолдары: артефактілер (cosign), webhooks (HMAC), қызметтік токендер.
PAN/PII өрістері: at-rest токенизациясы/шифрлауы; логтарда және алдын ала жасыру.
Ротация саясаты: кілттер/сертификаттар/парольдер - регламенттік және мәжбүрлі түрде.

5) Контейнерлер және Kubernetes (CWPP/KSPM)

Базалық бейнелер: ең аз, CI-дегі осалдықтарды сканерлеу; rootless мүмкіндігінше.
Admission-саясат (OPA/Gatekeeper/Kyverno): тыйым салынады ': latest', 'privileged', hostPath; бейнелерге қол қоюды талап етеміз.
NetworkPolicies: тек қажет болғанда ғана сервистік байланыс.
PodSecurity: шектеулі capabilities, read-only FS, seccomp, AppArmor.
Құпиялар: Secret Store CSI (KMS); манифесттерде ешқандай plain-құпия жоқ.
Runtime-қорғау: мінез-құлық ережелері (eBPF), аномалиядағы аллергиялар.

rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6) Жеткізу тізбегі: сену, бірақ тексеру

Әрбір билдке SBOM; релизді сақтау және онымен байланыстыру.
Суреттердің/манифесттердің қолтаңбалары, admission-контроллерде тексеру.
SLSA-аттестаттау: артефактілердің дәлелденетін шығу тегі.
Policy-as-Code: Мазь алдындағы Terraform/Helm/K8s Conftest/OPA.
«last-minute patching» дегенге тыйым салу: барлық өзгерістер тек пайплайн арқылы.

7) Осалдықтар мен патчтарды басқару

SCA/SAST/DAST в CI; critical/high үшін блоктау табалдырықтары.
Апта сайынғы жаңартулар батчі (бейнелер, ОС-пакеттер, кітапханалар) + шұғыл жоспардан тыс.
Орындалған түзетулер → CVE/SBOM байланыстырылған тикеттер/релиздер.
EASM: шабуыл бетіне сыртқы шолу (домен асты, ашық порттар, сертификаттар).
Тұрақты пен-тесттер: жылына кемінде бір рет + сыни ағындар бойынша таргеттік (төлемдер/АҚК).

8) Аудит артефактілерінің логтары, өлшемдері, трассировкасы және сақталуы

Стандартталған логтар (JSON) с 'trace _ id', 'request _ id', user/tenant/geo (бүркеншік атпен), PII/PAN жоқ.
Метриктер: p50/p95/p99, error-rate, saturation, DLQ, ретра, бизнес-KPI (Time-to-Wallet).
Трейсинг (OTel): критикалық бағыттар үшін end-to-end (депозит/АКҚ/шығару).
SIEM: оқиғаларды корреляциялау (аутентификация, рөлдерді өзгерту, әкімшілік әрекеттер, WAF/бот ережелері).
SOAR: авто-реакциялар (под оқшаулау, токенді қайтарып алу, IP/ASN блогы, шығаруға тыйым салу).
Ретеншн: операциялық логтар - 30-90 күн ыстық сақтау, аудит-артефакттар - саясаттар бойынша ұзағырақ.

json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9) Антибот, алаяқтық және қорғау сценарийлері

Бот-менеджмент: сигнатура/мінез-құлық, device-fingerprint, динамикалық челлендждер.
Rate limits/quotas: per-user/tenant/IP; аномалиялар кезінде бейімделетін.
Критикалық эндпоинттердегі RASP-датчиктер (webhooks қолтаңбасын айналып өту, сағат дрейфі, қайта жеткізу).
Fraud-сигналдар: арналар бойынша корреляция (логиндер, төлемдер, KYC), авто-эскалация.

10) Резервтеу, DR және BCP

RTO/RPO мақсаттары анықталған және тестіленеді (мысалы, RTO ≤ 1 сағат, RPO ≤ төлем ДБ үшін 5 минут).
Бэкаптар: шифрланған, оффлайн-қоймада мезгіл-мезгіл; тұрақты restore-тестілер.
Гео-қайталау: актив-пассив/өңірлер бойынша актив-актив; TTL бақылауы бар DNS-failover.
Критикалық тәуелділіктер каталогы (PSP/KYC/ойын агрегаторлары) және ауыстыру жоспарлары.

11) Инциденттер және ден қою

Runbooks: провайдердің құлауы, жасырындылықтың өсуі, токеннің компроматы, DDoS үшін.
On-call: 24/7, ротация және бласт-пейджи; бірлескен «war-room» практикасы.
Коммуникация: клиенттерге/серіктестерге және реттеушілерге хабарлар үлгілері.
Post-mortem (blameless): қайталануды болдырмау әрекеттері, саясаттарды/ойнатқыштарды жаңарту.

12) Комплаенс және құпиялылық

GDPR: деректерді барынша азайту, келісім тіркелімдері, жою/тасымалдау құқығы; Жаңа провайдерлер үшін DPIA.
PCI DSS: токенизация/оқшауланған PAN аймақтары, желілік сегменттер, қатаң қол жеткізу журналдары.
Жергілікті талаптар (нарық юрисдикциялары): деректерді өңірде сақтау, есептілік, жаңарту терезелері.
Data Lineage: PII/PAN қайда және қалай ағады; DevPortal-дағы схемалар мен DPIA.

13) Аудит: түрлері, артефактілері және циклы

• Ішкі (тоқсан сайын): саясатқа сәйкестігі, өзгерістерді, қолжетімділікті, құпияларды, логтарды, пайплайндарды бақылау.
• Сыртқы (жыл сайын/талаптар бойынша): PCI/GDPR/жергілікті реттегіштер, пен-тесттер, SOC-провайдерлердің есептері.

• Қауіпсіздік саясаты, рөлдердің IAM-матрицасы, мерзімі өткен ерекшеліктер тізімі.
• Инфрақұрылым өзгерістерінің логтары (IaC), CI/CD есептері (SBOM, қолтаңбалар, тестілер).
• Провайдерлер тізілімі (PSP/KYC/ойындар), DPIA/вендор-тәуекел-бағалау, шарттар және SLA.
• Өнімге қол жеткізу журналдары, құпияларды ротациялау нәтижелері, SIEM/SOAR есептері.
• DR/BCP жоспарлары және соңғы restore-тестердің хаттамалары.

• «Evidence-first»: әрбір тәжірибе - тексерілетін артефакт.
• «No humans in prod»: максимум пайплайндар және мақұлданған өтінімдер арқылы; барлық сессиялар - журналға.
• «Trace everything»: өзгерістерді оқиғалармен/өлшемдермен салыстырыңыз.

14) Guardrails-as-Code: мысалдар

rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

AdmissionPolicy (K8s): қауіпсіздік белгілері мен ресурс-лимиттерді талап етеміз

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15) Азық-түлік ортасының күнделікті гигиенасының чек-парағы

• WAF/бот саясаты белсенді, белгілер жаңартылған; anti-DDoS always-on режимінде.
• Кластердегі Admission-контроллерлер enforce күйінде, аудит емес.
• Барлық прод-бейнелерге қол қойылды; SBOM қолжетімді және шығарылымға байланыстырылған.
• critical/high - қателіктері жоқ немесе күнімен ерекшеленеді.
• Құпияларды/сертификаттарды ротациялау - кесте бойынша, мерзімі өткен жоқ.
• SIEM IAM/релиздерге кіру/өзгерту оқиғаларын байланыстырады; SOAR-плейбуктер тестіленеді.
• Бэкаптар өтті, кестеде restore-тест; DR-жоспары валиден.
• Өнімге қолжетімділік - тек SSO + MFA/PAM арқылы; барлық сессиялар жазылады.
• «No PII in logs» - сканерлермен расталады; бүркемелеу қосылған.
• Release gates және бақылау «as-code» жаңартылды.

16) Жетілу моделі (қысқаша)

1. Базалық - қол өзгерістері, бірыңғай периметр, ішінара мониторинг.
2. Алдыңғы қатарлы - сегментация, IAM/RBAC, қол қойылған артефактілер, WAF/DDoS, SIEM, тұрақты патчтар.
3. Сарапшылық - Zero Trust, guardrails-as-code, SLSA-аттестаттау, runtime-қорғау, SOAR-автоматтандыру, «no humans in prod», үздіксіз аудит.

17) Енгізу жол картасы

M0-M1 (MVP): желі сегментациясы, WAF/DDoS, SSO + MFA, KMS, базалық Admission-policy, стандартталған логтар/метриктер/трестер, SIEM.
M2-M3: кескін қолтаңбалары және admission, SBOM, Conftest/OPA-ны IaC, PAM, ротация жоспары, тұрақты патчтар, бірінші DR-тесттер.
M4-M6: SOAR-плейбуктер, eBPF/runtime-detect, EASM, комплаенс-пакет (PCI/GDPR), аудит артефактілерінің толық жиынтығы, өңірлер бойынша ring-DR.
M6 +: Zero-Trust желісі (барлық жерде mTLS), CIEM, аудиттің автоматтандырылған бақылау есептері, тұрақты «purple-team» тестілеу.

Қысқаша қорытынды

Күшті өнім - бұл «темір» ережелер жинағы емес, жүйе: сегменттеу, қатаң ұқсастықтар мен құпиялар, қорғалған жеткізу, басқарылатын контейнерлер, бақылау және автоматтандырылған реакция. Бұған тексеруді қосыңыз (аудит артефактілері, SBOM/қолтаңбалар, журналдар) және өнертабыс ортасы болжамды, басқарылатын және сыртқы тексерулерге дайын болады - релиздер жылдамдығы мен бизнес-SLO бойынша ымыраға келмейді.