GH GambleHub

Warstwy bezpieczeństwa w infrastrukturze

(Sekcja: Technologia i infrastruktura)

Krótkie podsumowanie

Zabezpieczenie to system warstw: każda warstwa trzyma się z powrotem i wykrywa ataki, jeśli poprzednia nie powiodła się. W przypadku iGaming jest to szczególnie ważne: przepływy płatności, PII, integracje partnerskie i obciążenia szczytowe. Poniżej znajduje się rama defense-in-depth, która łączy sieć, tożsamość, aplikacje, dane i procesy operacyjne w jeden zarządzany program.

1) Model zagrożenia i podstawy

Modelowanie zagrożeń: STRIDE/kill chain for key flows (login, deposit, bid, withdrawal, backfile).
Zero Trust: „domyślnie nie ufaj”, minimalne prawa, sprawdź każdy hop.
Najmniejszy przywilej i segregacja obowiązków: Role są atomowe, wrażliwe operacje oddzielone.
Domyślnie bezpieczne: zamknięte porty, odrzucone wszystkie zasady, bezpieczne domyślne.
Możliwość audytu: wszystkie wejścia/zmiany - w scentralizowanym audycie.

2) Sieć i obwód

Cel: unikać ruchu bocznego i samodzielnie zarządzać ryzykiem.

Segmentacja/strefy: krawędź (CDN/WAF) → API → usługi → dane (DB/KMS) → admin/backhoe.
izolacja VPC/VNet + podsieci dla usług publicznych/prywatnych; NAT/egress control (w tym egress-permlist to PSP/game providers).
mTLS wszędzie (siatka/Ingress), TLS 1. 2 +/HSTS/clear crypto configuration.
zarządzanie WAF/bot/DDoS na obwodzie; anty-punktacja za poświadczone nadziewanie.
Bezpieczeństwo DNS: split-horizon, DNSSEC, tolerancja błędów, pinning pamięci podręcznej dla domen krytycznych.

Мримева: Kubernetes

yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-deny-all, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
ingress: [] # deny-all egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]

3) Tożsamość i dostęp (IAM/PAM)

Cel: Każdy dostęp jest uzasadniony, ograniczony i kontrolowany w sposób przejrzysty.

SSO + MFA dla osób i samochodów; klucze sprzętowe do uprzywilejowanych kont.
RBAC/ABAC dla cloud/K8s/backoff; SCIM - automatyczne włączanie/wyłączanie.
Dostęp do JIT (tymczasowy), rozbicie szkła ze wzmocnionym audytem.
Konta serwisowe z krótkotrwałymi tokenami (OIDC/JWT), audyt tajemnic klienta.
Bastion/command mirroring: dostęp do baz danych/węzłów produkcyjnych - tylko poprzez sesje bastionowe i piszące.

4) Sekrety i klucze

Celem jest wyeliminowanie przecieków i zapewnienie zarządzanego kluczowego cyklu życia.

KMS/HSM (klucz kreatora), regularny obrót; podział kluczy na strefy/cele.
Vault/Cloud KMS Secrets z dynamicznymi creds i dzierżawą.

Szyfrowanie:
  • W spoczynku (DB/wiadra/migawki) z szyfrowaniem koperty.
  • W tranzycie (TLS/mTLS).
  • Tokenizacja danych dotyczących płatności; Gwint zabezpieczający i 3-domenowe zabezpieczenia (PCI DSS).
Przykład: Polityka skarbca (fragment): 
hcl path "kv/prod/payments/" {
capabilities = ["read","list"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}

5) Bezpieczeństwo kontenerów i kubernetów

Cel: zminimalizować powierzchnię ataku na poziomie runtime.

Obrazy: minimalny podstawowy, bez kompilatorów/muszli; podpisy (cosign) i SBOM.
Kontrola wjazdu (OPA/Gatekeeper/Kyverno): zakaz „: najnowszy”, „uprzywilejowany”, „ścieżka”, „Korzeń”.
Runtime-молитика: Seccomp/AppArmor, 'ReadRootFilesystem', 'drop ALL' capabilities + permit-list.
Tajemnice jako głośność/wg tajnego menedżera; bez pieczenia w obrazie.
PodSecurity (ила Pod Security Admission): enforce restricted.
Rejestry: prywatne, z kontrolą podatności (SAST/DAST/CSA).

Ogranicznik bramkarza (przykład): 
yaml apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sAllowedRepos metadata: { name: only-internal-registry }
spec:
repos: ["registry.internal.local/"]

6) Łańcuch dostaw - CI/CD

Cel: Zaufanie artefaktom od zaangażowania do produkcji.

Polityka oddziałów: przegląd kodów, oddziały chronione, obowiązkowe kontrole.
Podpis artefaktowy i pochodzenie (SLSA/COSIGN), niezmienne znaczniki (obrazy niezmienne).
SBOM (CycloneDX/SPDX), Dependabot/Odnowić i przypinać zależności.
Izolacja CI: efemeryczni biegacze, tajemnice tylko w chronionych miejscach pracy, brak zwykłego tekstu.
Bramki CD: jakość/SAST/licencje/polityka sprzedawcy; promocja tylko za pośrednictwem GitOps.

7) Bezpieczeństwo aplikacji (API/web/mobile)

Cel: zapobieganie atakom logicznym i technicznym.

AuthN/AuthZ: OAuth2/OIDC/JWT; krótki TTL, kluczowe rotacje, kontrola publiczności/emitenta.
Bezpieczeństwo wejściowe: walidacja/normalizacja, ochrona przed wtryskiem, szablony z parametrami.
CSP/HSTS/XFO/XSS-Protection, ścisły CORS, limit MIME/rozmiar do pobrania.
Limit stawek/kwoty, klucze idempotencji do płatności/wypłat.
Ficheflags: szybki kill-switch dla niebezpiecznych funkcji.

Nagłówki zabezpieczeń NGINX (fragment): 
nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:;" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;

8) Dane, PII i zgodność (w tym PCI)

Cel: minimalna kolekcja, minimalny dostęp, maksymalna przejrzystość.

Strefy danych/класса: „publiczne/wewnętrzne/poufne/pii/pci”. Tagi w skarbcach i dziennikach.
Minimalizacja PII: pseudonimizacja 'player _ id', tokenizacja szczegółów płatności.
Zasady przechowywania: gorący/zimny, WORM do audytu; automatyczne usuwanie TTL.
Dostęp: tylko poprzez uzgodnione role i atrybuty (region/cel).
Segmentacja PCI: segment odizolowany, dzienniki dostępu, skany regularne/ASV.

9) Warstwa krawędzi: CDN/WAF/DDoS/bot protection

Cel: zejście „śmieci” do rdzenia platformy.

CDN: geo-bloki, strategie pamięci podręcznej, zabezpieczenie warstwy-7.
WAF: podstawowe podpisy + niestandardowe zasady dotyczące API (systemy JSON, zakaz stosowania niestandardowych metod).
Boty: analityka behawioralna, odcisk palca urządzenia, limit tempa/captcha dla anomalii.
TLS/ALPN: wyłączyć stare szyfry, włączyć zszywanie OCSP.

10) Monitoring, telemetria i SecOp

Cel: Patrz ataki i reagować przed incydentem.

Obserwowalność: mierniki/kłody/ścieżki z 'trace _ id' i polami audytu.
SIEM/SOAR: korelacja zdarzeń (uwierzytelnianie, zmiany IAM, wyzwalacze WAF, dostęp do tajemnic).
Zasady wykrywania: 401/403 kolce, eskalacja ról, masowe wypłaty, anomalie geo.
Skanowanie: SAST/DAST/IAST, CSPM/KSPM, regularne testy pene i rabaty błędów.
Przeciwdziałanie oszustwom: ocena transakcji/zachowań, filtry prędkości, listy sankcji.

11) Niezawodność, rezerwa i ciągłość działania

Cel: Przetrwać wypadek bez utraty danych i SLA.

Replikacja i PITR dla baz danych, częste migawki z odzyskiwaniem testów.
Plan DR: RTO/RPO, skrypty awaryjne regionu, testy przełączania.
Sekrety w DR: niezależne klucze/replika KMS, proces rotacji awaryjnej.
Poradniki formalne: listy rekonwalescencji i ćwiczenia dnia gry.

12) Procesy operacyjne i kultura

Celem jest, aby bezpieczeństwo było „domyślne”.

Bezpieczeństwo przez PR: Obowiązkowy przegląd bezpieczeństwa w przypadku zmian wrażliwych.
Zasady wydawania: Nocne/szczytowe okna zamknięte; listy kontrolne przed lotem.
Bezpieczne książki startowe - instrukcje z bezpiecznymi parametrami, akcje audytu.
Trening: symulacje phishingowe, trening incydentów, sesje na żywo.

13) Listy kontrolne (krótkie)

Sieć i obwód

  • Wszystkie ingress per WAF/CDN; Włączony system DDoS
  • mTLS między usługami; zaprzeczanie wszelkim politykom sieciowym
  • Lista egress-permlist dla zewnętrznych dostawców

Tożsamość

  • SSO + MSZ; JIT i break-glass z audytem
  • RBAC/ABAC, SCIM-dezaktywować zwolnienia
  • Konta serwisowe z krótkimi tokenami

K8s/containers

  • Podpisy wizerunkowe + SBOM; zakaz „: latest”
  • Seccomp/AppArmor, tylko do odczytu FS, czapki kropli
  • Polityka Gatekeeper/Kyverno i zaprzeczanie listom

Sekrety/klucze

  • Skarbiec/KMS, obroty, podział kluczy
  • Szyfrowanie podczas odpoczynku/tranzytu
  • Tokenizacja płatności

CI/CD - łańcuch dostaw

  • Efemeryczni biegacze; tajemnice tylko w chronionych miejscach pracy
  • Licencje SAST/DAST/; podpisy artefaktowe
  • Promocja GitOps, bramy jakości

Dane/PII/PCI

  • Klasyfikacja danych i znaczników w repozytoriach
  • Polityka retencji/WORM; dostęp według roli
  • Izolacja segmentu PCI, skany ASV

Secopy

  • Zasady SIEM/SOAR, alerty eskalacyjne
  • Filtry zwalczania nadużyć finansowych i prędkości
  • Plan DR, testy RTO/RPO

14) Przykłady „twardych” polityk

Kyverno: Zakazanie kontenerów uprzywilejowanych

yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: { name: disallow-privileged }
spec:
rules:
- name: no-priv match: { resources: { kinds: ["Pod"] } }
validate:
message: "Privileged containers are not allowed"
pattern:
spec:
containers:
- securityContext:
privileged: "false"

OPA (Rego): zakaz stosowania klauzuli tajności

rego package kubernetes.admission

violation[msg] {
input.request.kind.kind == "Pod"
input.request.object.spec.hostNetwork == true msg:= "hostNetwork is not allowed"
}

15) Anty-wzory

"Chroń obwód' bez wewnętrznego mTLS/segmentacji → ruch boczny.
Sekrety w zmiennych CI, przesyłanie do dzienników.
Zdjęcia ': najnowsze', bez podpisów i SBOM.
Zezwalaj na wszystkie zasady w klastrze; Wspólne neimspace dla wszystkiego.
Szyfrowanie „na papierze” bez rzeczywistej rotacji kluczy i testów odzyskiwania.
Polegaj na WAF zamiast korekty logicznej i walidacji danych.
Brak ćwiczeń DR/scenariusze tabelaryczne - plan jest „zbieranie kurzu”.

16) Jak zacząć (90-dniowy plan)

1. Tydzień 1-2: inwentaryzacja aktywów/danych, klasyfikacja, mapa przepływu

2. Tydzień 3-4: Włącz mTLS/zaprzeczenie - wszystkie zasady sieci, filtry WAF/DDoS/bot.
3. Tydzień 5-6: Skarbiec/KMS, obroty kluczy, tokenizacja płatności.

4. Tydzień 7-8: Gatekeeper/Kyverno, Seccomp/AppArmor, „uprzywilejowany ”/Zakazy„ Path ”

5. Tydzień 9-10: Podpisy obrazu, SBOM, CI/CD Gates, GitOps Promotion.
6. Tydzień 11-12: zasady SIEM/SOAR, alerty eskalacyjne, zwalczanie nadużyć finansowych.
7. Tydzień 13: DR Exercise, Runabook Update and Compliance Status (PII/PCI).

Wyniki

Warstwy zabezpieczające to architektura rozwiązań, a nie zestaw skrzynek kontrolnych. Łączyć segmentację sieci i Zero Trust, ścisłe IAM, bezpieczne containers/K8s, zarządzane tajemnice i krypto, chronione rurociągi, obrona krawędzi i obserwowalność SecOps. Następnie, nawet w przypadku ataków i awarii, platforma będzie utrzymywać integralność danych, poufność PII/PCI oraz dostępność kluczowych strumieni - depozytów, ofert i wypłat - w godzinach szczytu.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.