Consolidarea mediului de producție și a auditului

1) Obiective și domeniul de responsabilitate

• minimizați zona de atac și raza de explozie;
• protejează canalele, conturile, secretele și artefactele de livrare;
• Detectarea și răspunsul la incidente mai rapid decât obiectivele MTTR
• Confirmarea conformității (GDPR/PCI DSS/reguli locale)
• păstrarea auditabilității tuturor acțiunilor critice.

Principii cheie: Zero Trust, Less Privilege, Segmentation, Everything-as-Code, Security-by-Default.

2) Perimetru de rețea și segmentare

Segmente: Edge (WAF, bot management, DDoS), DMZ (gateway), App (microservices), Data (DB/caches), Backoffice/Ops (CI/CD, observabilitate).
politici L4/L7: negarea implicită, permiterea explicită de către servicii/namespaces/porturi.
mTLS într-un cluster TLS 1. 2 + pe perimetru, HSTS, cifre sigure.
Filtru de intrare: WAF (OWASP Top-10), anti-bot, limite de rată, blocuri geo/ASN, CAPTCHA pe căile de risc.
Protecție DDoS: întotdeauna pornit + auto-atenuare, profile separate pentru API/conținut static.
Control de ieșire: numai gazde externe necesare pentru furnizori (PSP/KYC/jocuri).

3) Identități, acces și privilegii (IAM/PAM)

SSO (OIDC/SAML) + AMF pentru om; Jetoane OIDC/Volum de lucru Identitate pentru servicii.
RBAC/ABAC: roluri cu permisiuni minime necesare; acces "spart-glass' în cadrul auditului și TTL.
PAM: la cerere privilegiat sesiune check-out, înregistrare completă și logare.
CIEM (nori): căutați drepturi excesive și roluri moarte, auto-remediere.
Acces la datele de producție: numai prin salt/proxy aprobat, cu mascare PII.

4) Secretele și criptografia

KMS/HSM: stocare cheie, criptare plic, rotație cu notificări.
Manager secret: credite de scurtă durată, excludeți secretele din Git/jurnale.
Semnături: artefacte (cosign), cârlige web (HMAC), token-uri de serviciu.
Câmpuri PAN/PII: tokenizare/criptare în repaus; mascarea în jurnale și previzualizări.
Politici de rotație: chei/certificate/parole - rutină și forțată.

5) Containere și Kubernetes (CWPP/KSPM)

Imagini de bază: vulnerabilități minime, de scanare pe CI; fără rădăcini ori de câte ori este posibil.
Politici de admitere (OPA/Gatekeeper/Kyverno): interzice „: cele mai recente”, „privilegiate”, hostPath; necesită semnături de imagine.
NetworkPolicies: Comunicare service-to-service numai atunci când este necesar.
PodSecurity: capacități limitate, citire numai FS, seccomp, AppArmor.
Secrete: de la Secret Store CSI (KMS); nici un secret clar în manifeste.
Protecția runtime: reguli comportamentale (eBPF), alerte la anomalii.

rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6) Lanțul de aprovizionare: încredere, dar verificare

SBOM per build; stocarea și conectarea la eliberare.
Semnături imagine/manifest, validare pe controlerul de admitere.
Certificări SLSA: originea dovedită a artefactelor.
Policy-as-Code: Conftest/OPA pe Terraform/Helm/K8s înainte de fuziune.
Interzicerea „patching-ului de ultim moment” pe produs: toate modificările sunt doar prin conductă.

7) Vulnerabilitatea și gestionarea patch-urilor

SCA/SAST/DAST в CI; praguri de blocare pentru critice/ridicate.
Loturi săptămânale de actualizare (imagini, pachete OS, biblioteci) + neprogramate de urgență.
Corecții efectuate → bilete/lansări legate de CVE/SBOM.
EASM: vedere externă a suprafeței de atac (subdomenii, porturi deschise, certificate).
Teste stilou regulate: cel puțin o dată pe an + orientate către fluxuri critice (plăți/CCM).

8) Jurnale, valori, urme și stocarea artefactelor de audit

Jurnale standardizate (JSON) cu 'trace _ id',' request _ id', user/chiriaș/geo (pseudonim), no PII/PAN.
Valori: p50/p95/p99, rata de eroare, saturație, DLQ, retrai, KPI de afaceri (Time-to-Wallet).
OTel: end-to-end pentru rutele critice (depozit/CCL/ieșire).
SIEM: corelarea evenimentelor (autentificare, schimbări de rol, acțiuni admin, reguli WAF/bot).
SOAR: auto-reacții (izolarea vatra, token rechemare, bloc IP/ASN, ban de eliberare).
Retenție: jurnale de operare - 30-90 de zile de stocare la cald, artefacte de audit - mai mult, în conformitate cu politicile.

json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9) Anti-boti, escrocherii și scenarii defensive

Bot management: semnături/comportament, amprentă digitală, provocări dinamice.
Limite/cote de tarif: per utilizator/chiriaș/IP; adaptive în anomalii.
Senzori RASP pe critice endpoints (încercări de a ocoli semnături webhooks, derivă ceas, re-livrare).
Semnale de fraudă: corelație pe canale (login-uri, plăți, KYC), auto-escaladare.

10) Protecție, DR și BCP

Obiectivele RTO/RPO sunt definite și testate (de exemplu, RTO ≤ 1 oră, RPO ≤ 5 minute pentru bazele de date de plată).
Backup-uri: criptate, periodic în stocare offline; teste regulate de restaurare.
Geo-duplicare: active-pasive/active-active pe regiuni; DNS failover cu control TTL.
Director de dependențe critice (PSP/KYC/agregatoare de jocuri) și planuri de comutare.

11) Incidente și răspuns

Runbooks: pentru scăderea furnizorului, creșterea latenței, compromisul token, DDoS.
De gardă: 24/7, rotații și pagini explozie; practică comună „war-room”.
Comunicații: șabloane de mesaje pentru clienți/parteneri și autorități de reglementare.
Post-mortem (fără vină): acțiuni de prevenire a repetării, actualizarea politicilor/cărților de redare.

12) Respectarea și confidențialitatea

GDPR: minimizarea datelor, registrele de consimțământ, dreptul de ștergere/port; DPIA pentru noi furnizori.
PCI DSS: zone de tokenizare/izolare PAN, segmente de rețea, jurnale de acces stricte.
Cerințe locale (jurisdicții ale pieței): stocarea datelor în regiune, raportarea, actualizarea ferestrelor.
Lineage de date: unde și cum fluxul PII/PAN; scheme și DPIA în DevPortal.

13) Audit: Tipuri, artefacte și ciclu

• Intern (trimestrial): respectarea politicilor, controlul schimbărilor, acceselor, secretelor, jurnalelor, conductelor.
• Extern (anual/după cerințe): PCI/GDPR/autorități locale de reglementare, teste pen, rapoarte SOC ale furnizorilor.

• Politici de securitate, rolul matricei IAM, lista de excepții cu data expirării.
• Jurnalele de schimbare a infrastructurii (IaC), rapoartele CI/CD (SBOM, semnături, teste).
• Registrul furnizorilor (PSP/KYC/games), DPIA/evaluări ale riscurilor furnizorilor, contracte și SLA-uri.
• Jurnalele de acces la vânzări, rezultatele rotației secrete, rapoartele SIEM/SOAR.
• Planurile și protocoalele DR/BCP ale testelor recente de restaurare.

• „Prima dovadă”: fiecare practică este un artefact verificabil.
• "Fără oameni în prod': maximum prin conducte și aplicații aprobate; toate sesiunile - sub jurnal.
• Urmăriți totul - Modificările hărții la incidente/metrici.

14) Guardrails-as-Code: Exemple

rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

AdmissionPolicy (K8s): necesită etichete de securitate și limite de resurse

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15) Lista zilnică de verificare a igienei

• politici WAF/bot active, semnături actualizate; anti-DDoS în modul mereu pornit.
• Controlorii de admitere în cluster în statul de aplicare, nu audit.
• Toate imaginile de producție sunt semnate; SBOM este disponibil și legat de eliberare.
• Vulnerabilități critice/ridicate - lipsă sau fixă cu excepții de dată.
• Rotația secretelor/certificatelor - la program, fără întârzieri.
• SIEM corelează IAM/release entry/change events; Playbookurile SOAR sunt testate.
• Backup-urile au trecut, restaurarea testului în program; Planul DR este valabil.
• Acces la alimente - numai prin SSO + MFA/PAM; toate sesiunile sunt înregistrate.
• „Nu există PII în jurnale” - validate de scanere; mascarea este activată.
• Lansați porțile și observabilitatea actualizate „as-code”.

16) Modelul de maturitate (scurt)

1. De bază - modificări manuale, un singur perimetru, monitorizare parțială.
2. Avansat - segmentare, IAM/RBAC, artefacte semnate, WAF/DDoS, SIEM, patch-uri regulate.
3. Expert - Zero Trust, guardrails-as-code, SLSA-atestare, runtime-protection, SOAR-automatizare, "fără oameni în prod', audit continuu.

17) Foaia de parcurs privind implementarea

M0-M1 (MVP): segmentarea rețelei, WAF/DDoS, SSO + MFA, KMS, politica de bază de admitere, busteni/metrici/trasee standardizate, SIEM.
M2-M3: semnături de imagine și verificarea admiterii, SBOM, Conftest/OPA pe IaC, PAM, plan de rotație, patch-uri regulate, primele teste DR.
M4-M6: playbooks SOAR, detectare eBPF/runtime, EASM, pachet de conformitate (PCI/GDPR), set complet de artefacte de audit, ring-DR pe regiune.
M6 +: Rețea Zero-Trust (mTLS peste tot), CIEM, rapoarte automate de audit, testare continuă „purple-team”.

Rezumat

Prod puternic nu este un set de reguli „de fier”, ci un sistem: segmentare, identități și secrete stricte, livrare sigură, containere gestionate, observabilitate și răspuns automat. Adăugați verificabilitate (artefacte de audit, SBOM/semnături, jurnale), iar mediul de producție devine previzibil, ușor de gestionat și gata pentru audituri externe - fără compromisuri privind viteza de lansare și SLO-urile de afaceri.