Дар рамзгузории транзит

Дар рамзгузории транзит

1) Таъриф ва маҳдудиятҳои назорат

Рамзгузории транзитӣ ҳифзи маълумот дар тӯли тамоми роҳи интиқоли шабака (браузер ↔ сервер, хидматрасонӣ ↔ хидмат, агент ↔ брокер, пойгоҳи додаҳо ↔ барнома, маркази додаҳо ↔ маркази додаҳо) мебошад, то дахолати ғайрифаъол ва ҳамлаҳои фаъол ба канал ошкор нашавад. мундариҷа ва нагузоред, ки он бидуни муайянкунӣ тағир дода шавад.

Он чизе ки мо фаро мегирем: API-ҳои давлатӣ ва хусусӣ (HTTP/HTTPS, GRPC), ҷараён ва брокерҳо (Kafka, NATS, Rabbit абрҳо, дархостҳои DNS, муштариёни мобилӣ/IOT.

Он чизе ки мо пурра фаро намегирем: ҳамла ба нуқтаҳои ниҳоӣ (созишномаи мизбон/браузер), осебпазирии барномаҳо, ихроҷ аз гузоришҳо/партовҳо. Он бо назорати алоҳида ҳал карда мешавад (A&A, кам кардани ҳуқуқҳо, рамзгузорӣ дар истироҳат, сабти бехатар).

2) Модели таҳдид ва ҳадафҳо

Хатарҳо: боздоштани ҳаракати нақлиёт/ғоратгарӣ (MITM), паст кардани протокол/пакети шифрӣ, шаҳодатномаҳои қалбакӣ/CA, ихроҷи калидҳо, ҳамлаҳои SNI/метамаълумот, мундариҷаи омехта, иштибоҳи TLS дар тавозунҳо, робитаҳои хатарнок.

1. Махфият + якпорчагӣ бо аутентификатсияи криптографӣ.

2. Мухолифат ба коҳиш (сиёсати қатъӣ ва конфигуратсия).

3. Муайян намудани тарафҳо (сервер, агар лозим бошад - тарафайн).

4. Сертификати идорашаванда/давраи асосӣ ва аудити асосӣ.

5. Профили фаъолият бидуни савдои амниятӣ.

3) Принсипҳои асосӣ

TLS бо нобаёнӣ дар ҳама ҷо мавҷуд аст. Ҳаракати берунӣ ва дохилӣ - рамзгузорӣ.
Версияҳои муосир. TLS 1. 3 ҳамчун стандарт; TLS 1. 2 - танҳо дар доираи сиёсати қатъӣ. Хомӯш кардани 1. 0/1. 1.
Маҷмӯаҳои рамзи AEAD бо PFS. AES-GCM ё ChaCha20-Poly1305; PFS тавассути (EC) DHE.
Хатҳо/Санҷиши калидӣ (беҳтараш) ё secp256r1 (P-256). Калидҳои RSA ≥ 2048, беҳтар аз ECDSA (P-256).
MTLS, ки эътимод кам аст. Каналҳои байнишаҳрӣ, маъмурони API, брокерҳо, пойгоҳи додаҳо - тавассути аутентификатсияи мутақобила.
HSTS барои веб. Маҷбур кардани HTTPS + барои доменҳои ҷамъиятӣ.
"Рамзгузорӣ ва боз рамзгузорӣ" огоҳона. Қатъи TLS дар периметр + рамзгузорӣ ба паспорти ақиб ё ба охир - мувофиқи модели таҳдид интихоб кунед.
Крипто-қобилият. Қобилияти тағир додани хатҳо/пакетҳо/версияҳо бо вақти сифр.

4) Стек ва скриптҳои протокол

4. 1 HTTP/2, HTTP/3 (QUIC), GRPC, Веб-Сокет

ALPN: h2 барои HTTP/2, h3 барои HTTP/3; h2c ингибит (бе TLS).
HTTP/3/QUIC: ниҳонӣ, 0-RTT дохилшуда ва муҳоҷирати мураккабро коҳиш медиҳад; 0-RTT ба таври интихобӣ иҷозат диҳед (хатари такрорӣ).
GRPC: зиёда аз h2/h3; TLS ҳатмӣ, иҷозати ихтиёрии m: TLS + барои як RPC.
Websocket: wss ://танҳо; дар проксиҳо/тавозунҳо - такмилдиҳии дуруст ва печонидани TLS домен.

4. 2 Трафики байнишаҳрӣ ва хидматрасонӣ

Модели Sidecar (Istio/Linkerd ва ғайра). MTLS-и худкор, қоидаҳои иҷозат, гардиши сертификатҳо.
SPIFFE/SPIRE. Шиносаҳои ғайримарказонидашудаи хидмат (SPIFFE ID), шаҳодатномаҳои SVID, TTL-ҳои кӯтоҳ.
Параметрҳои TLS мутамарказ мебошанд. Номутобиқатии конфигуратсияро дар рамзи хидмат кам кунед.

4. 3 брокер/ҷараён/навбатҳо

Кафка/NATS/RabbitMQ: TLS барои kliyent↔broker ва broker↔broker; Агар имконпазир бошад, MTLS.
SASL аз болои TLS: агар MTLS имконнопазир бошад, аутентификатсия бо токенҳо/вурудҳо, аммо каналро рамзгузорӣ кунед.
ACL ва иҷозати мавзӯъ. Рамзгузорӣ ≠ назорати дастрасӣ.

4. 4 Пойгоҳи додаҳо ва кэшҳо

Сервери Postgre-SQL/My-SQL/SQL: санҷиши TLS, CN/SAN, CA pin/root.
Redis/Memcached: истифодаи шалғамчаи stunnel/TLS; манъ кардани трафики оддӣ дар маҳсулот.

4. 5 Шабака/нақбҳо

Байни марказҳои маълумот/абрҳо: IP/sec (IKEv2) ё Wire

Дастрасии маъмурӣ: SSH бо KEH/рамзҳои муосир; парол нест, танҳо калидҳо/SSO.

4. 6 DNS ва протоколҳои ёрирасон

Барои мизоҷон ва дар доираи кластер имкон дорад, DNS беш аз HTTPS (DOH )/DNS бар TLS (DO).
Мундариҷаи омехтаро хомӯш кунед. Ҳеҷ чиз дар http ://дар саҳифаҳои https ://.

5) Шаҳодатномаҳо, PKI ва идоракунии калидҳо

Модели PKI: барои доменҳои беруна - CA ҷамъиятӣ; барои ҳаракати дохилӣ - худ CA ё SPIRE-CA.
Автоматика: ACME/Cert-manager барои Kubernetes, TTL кӯтоҳ, гардиши худкор.
Степлинги OCSP i CRL. Дар ҷабҳаҳо часпонданро фаъол кунед; мунтазам занҷирҳоро нав кунед.
Пиннинг - бо эҳтиёт. Дар мизоҷони мобилӣ/мизи корӣ - PIN CA/SPKI бо механизми гардиши фавқулодда.
Нигоҳдории калидҳо: калидҳои хусусӣ дар HSM/KMS/анборҳои махфӣ; ҳадди аққал; манъи вуруд.

6) Конфигуратсияҳо: профилҳои амалӣ

• Версияҳо: TLS 1. 3 (лозим), TLS 1. 2 (афтидан).

• TLS 1. 3: 'TLS _ AES _ 128 _ GCM _ SHA256', 'TLS _ AES _ 256 _ GCM _ SHA384', 'TLS _ CHACHA20 _ POLY1305 _ SHA256'.
• TLS 1. 2: 'ECDHE-ECDSA-AES128-GCM-SHA256', 'ECDHE-RSA-AES128-GCM-SHA256' (+ агар лозим бошад AES256/CHACHA20).
• Хатҳо: X25519, secp256r1.
• Шаҳодатномаҳо: ECDSA-афзалиятнок, RSA-fallback.
• Сарлавҳаҳои бехатар: 'Strict-Transport-Security', 'X-Content-Type-Options', 'X-Frame-Options' (аз рӯи ҳолат), 'Referrer-Policy'.
• Кукиҳо: 'Бехатарӣ', 'Танҳо Http', 'Same/Site' (Lax/Strict by design).

• Сертификати муштарӣ лозим аст.
• Муштарии кӯтоҳи TTL SVID (соат/рӯз), гардиши автоматӣ.
• Сиёсатҳо: кӣ метавонад ба кӣ пайваст шавад (ният дорад/тавассути ваколатдиҳии фикрию кор кунад).

7) Иҷро ва эътимоднокӣ

Шитоби сахтафзор: Crypto, афзалият дар CPU бе AES-NI.
Оғози сессия: TLS 1. 3 чипта; дар тӯли тамоми умр фикр кунед (мувозинати байни атриёт ва бехатарӣ).
0-RTT: танҳо барои дархостҳои idempotent; аз такрорӣ муҳофизат кунед (механизмҳои зидди такрори сервер).
Тавозунҳо/шахсони боэътимод: қатъкунӣ ва гузаришро ба таври возеҳ интихоб кунед; ҳангоми қатъ - дубора рамзгузорӣ ба ақиб.
Мушоҳида: Нишондиҳандаҳои дастӣ/хатогӣ/гуфтушунидҳои ALPN, фоизи TLS 1. 3, мӯҳлати амали сертификат, ҳолати OCSP.

8) Санҷиш ва санҷиш

Сканкунии профили TLS. Тафтиши мунтазами версияҳои/пакетҳо/каҷҳо ва HSTS/OCSP.
Санҷишҳои манфӣ: манъи коҳиш, рад кардани даъвои заиф, нокомии пайвастшавӣ бидуни SNI/бидуни шаҳодатномаи занҷираи дуруст.
Pentest Channel: Моделҳои MITM, санҷишҳои пинҳонӣ дар муштариёни мобилӣ, 0-RTT кӯшиши такрорӣ.
Санҷишҳои бесарусомонӣ: ба охир расидан/бекор кардани шаҳодатнома, мавҷуд набудани OCSP/CA.

9) Хатогиҳои зуд-зуд ва чӣ гуна аз онҳо канорагирӣ кардан

TLS фаъол аст, аммо тасдиқи мизбон вуҷуд надорад. Мо ҳамеша CN/SAN-ро месанҷем, 'Insecure' Skipverify '-ро манъ мекунем.
Мундариҷаи омехта. Http захираҳоро дар https саҳифаҳо бандед, CSP-ро истифода баред.
Версияҳо ва костюмҳои заиф/кӯҳна. Хомӯш кардани TLS 1. 0/1. 1, CBC/RC4/3DES.
Набудани рамзгузории дохилӣ. Трафики оддӣ аз тавозун ба барнома хатар аст.
Шаҳодатномаҳои дарозмуддат. TTL-ҳои кӯтоҳ ва навсозиҳои худкорро иҷро кунед.
SNI/ALPN-и бад дар паси прокси. Интиқоли дурусти SNI/ALPN бо гузариш/қатъкунии TLS.

10) Дастурҳои мини (пораҳои конфигуратсия)

ssl_protocols      TLSv1. 3 TLSv1. 2;
ssl_ciphers       TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers on;
ssl_ecdh_curve     X25519:P-256;
ssl_stapling      on;
ssl_stapling_verify   on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

transport_socket:
name: envoy. transport_sockets. tls typed_config:
"@type": type. googleapis. com/envoy. extensions. transport_sockets. tls. v3. DownstreamTlsContext common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_3 validation_context:
trusted_ca: { filename: /etc/tls/ca. crt }
tls_certificates:
certificate_chain: { filename: /etc/tls/tls. crt }
private_key:   { filename: /etc/tls/tls. key }
require_client_certificate: true

[Interface]
PrivateKey = <priv>
Address  = 10. 10. 0. 1/24
[Peer]
PublicKey = <pub>
AllowedIPs = 10. 10. 0. 0/24
Endpoint  = gw. example. com:51820
PersistentKeepalive = 25

11) Сиёсат ва риояи он

Талаботи ҳадди аққал: TLS 1. 3 ба қадри имкон; TLS 1. 2 - бо маҷмӯи маҳдуди люксҳо.
Низомнома: PCI DSS/бахши молиявӣ - манъи версияҳои/пакетҳои заиф; гардиши ҳатмӣ ва аудит.
Равиши эътимод ба сифр: шахсият барои сарбории корӣ, тасдиқи доимӣ ва сиёсати сатҳи хидматрасонӣ.

12) Амалиёт ва SLO

SLO: 99% дастаҳои муваффақ, 95% трафик дар TLS 1. 3, 0% мундариҷаи омехта.
Огоҳиҳо: ба охир расидани мӯҳлати сертификатҳо (<14 рӯз), зиёд шудани нокомии дастӣ, кам шудани ҳиссаи TLS 1. 3, хатогиҳои stapling OCSP.
Тартибот: ивазкунии фаврии CA/решавӣ, бекор кардани калиди осебпазир, хомӯш кардани 0-RTT.

13) Рӯйхати санҷишҳо

• TLS 1 маъюб. 0/1. 1 ва люксҳои заиф, AEAD ва PFS дохил карда шудаанд.
• ALPN танзим шудааст (h2/h3); манъи h2c.
• HSTS фаъол аст (барои доменҳои ҷамъиятӣ), мундариҷаи омехта нест.
• Шаҳодатномаҳо худкор нав карда мешаванд, степлинги OCSP кор мекунад.
• Каналҳои дохилӣ аз ҷониби MTLS ҳифз карда мешаванд (ё эквиваленти Wire
• Тасдиқи тасдиқшудаи мизбон/занҷир дар муштариён/SDK.

• Мониторинги TLS/ALPN/версияҳои хатогӣ ва анҷомёбӣ.
• Нақшаи қобилияти крипто (тарҷума ба люксҳо/хатҳои нав).
• Зараррасонҳои канали даврӣ ва баррасиҳои конфигуратсия.

14) FAQ

Савол: Оё TLS танҳо дар периметри кофӣ аст?
Оҳ не. Трафики дохилӣ инчунин бояд рамзгузорӣ карда шавад (M TLS/нақбҳо/торҳо), хусусан дар абрҳо ва ҳангоми иҷора.

Савол: Оё ба шумо 0-RTT лозим аст?
A: Барои дархостҳои idempotent имкон фароҳам оред, вагарна бинобар хатари такрорӣ хомӯш шавед.

Савол: Барои маркази байниминтақавӣ чиро интихоб кардан мумкин аст? IP-sec ё Wire-Guard?
A: Wire-Guard соддатар ва тезтар аст, IP 'sec баркамол ва васеъ дастгирӣ карда мешавад. Ҳардуи онҳо дуруст танзим карда шудаанд.

Савол: Чӣ гуна шумо веб-китобҳоро "дар роҳ" муҳофизат мекунед?
A: HTTPS бо профили муосир + Санҷиши шаҳодатномаи ирсолкунанда (агар MTLS) + имзои сарборӣ ва санҷиши вақт (нигаред ба кафолати таҳвили Webhook, имзо ва дархости дархост).

• "Ҳангоми рамзгузорӣ"
• "Аутентификатсия ва авторизатсия"
• "Дархостҳоро имзо кунед ва тафтиш кунед"
• "S2S аутентификатсия"
• "Идоракунии калидӣ ва гардиш"