GH GambleHub

Рамзгузории маълумот ва TLS

1) Харита ва ҳадафҳои таҳдид

Дар транзит: боздоштан/тағир додани трафик, MitM, коҳиш.
Ҳангоми истироҳат (истироҳат): дуздии дискҳо/нусхабардорӣ, партовгоҳҳои DB/log, инсайдерон.
Калидҳо: ихроҷи асрҳо, гардиши суст, истифодаи дубора.
Ҳадаф таъмин намудани махфият, якпорчагӣ ва ҳаққоният бо SLO-ҳои ченшаванда ва криптографияи идорашаванда мебошад.

2) Таснифоти маълумот ва сиёсат

Синфҳо: Ҷамъият/дохилӣ/махфӣ/маҳдуд (PII/Finance/PAN).
Барчаспҳо: 'маълумот. синф ',' иҷорагир ',' минтақа ',' нигоҳдорӣ '.
Тадбирҳои ҳатмӣ: барои маҳдудият - рамзгузорӣ дар сатҳи майдон/объект, сабти дастрасӣ, калидҳои инфиродӣ барои як иҷорагир/минтақа.

3) Рамзгузорӣ ҳангоми истироҳат

3. 1 Рамзгузории лифофа

DEK (Калиди рамзгузории маълумот) маълумотро рамзгузорӣ мекунад; KEK/CMK (KMS/HSM) DEK-ро рамзгузорӣ мекунад.
Гардиши KEK рамзкушоии маълумотро талаб намекунад - дубора печонидани DEK.
DEK беҳтараш ба як объект/ҳизб/иҷорагир бо TTL кӯтоҳ.

3. 2 Сатҳҳо

Шаффоф (TDE): disk/tablespaces (Postgre Оддӣ, аммо бидуни назорати гранулӣ.
Дар сатҳи татбиқ: майдонҳо/объектҳо (PAN, асрори) - барои минимумҳои бисёр иҷорагир ва дастрасӣ беҳтар аст.
Нигоҳдорӣ/абрҳо: S3/GCS SSE-KMS; барои маълумоти ACID - FLE (рамзгузории сатҳи саҳроӣ) то ҳадди имкон.

3. 3 Алгоритмҳо ва шеваҳо

AEAD: AES-256-GCM ё ChaCha20-Poly1305 (дар CPU бе AES-NI).
IV/nonce: беҳамтоӣ қатъиян ҳатмист; Захира дар назди матни рамз такрор намешавад.
Hashing: паролҳо - Argon2id (ё scrypt/bcrypt) бо параметрҳои намак ва оҳан.
MAC/имзоҳо: HMAC-SHA-256 барои беайбӣ ё нишони дарунсохти AEAD.

3. 4 Амал барои DB/файлҳо

PostgrE SQL: pgcrypto/васеъшавӣ; дар навиштан - рамзгузории майдонҳои ҳассос дар барнома.
Mongo/Doc-storages: FLE-и муштарӣ, калидҳо дар KMS.
Нусхабардорӣ: калидҳои инфиродӣ ва танҳо аз агенти CI/CD дастрасанд; нусхаҳои offsite - ҳамеша рамзгузорӣ карда мешаванд.

4) Идоракунии калидҳо (KMS/HSM/Vault)

Манбаи ҳақиқат: KMS/HSM; калидҳои хусусӣ дастгоҳ/хидматро тарк намекунанд.
Версия: 'кӯдак', 'мақсад', 'alg', 'created _ at', 'rotates _ at'.
Дастрасӣ: имтиёзи камтарин; ҷудокунии вазифаҳо (So-D).
Ротатсия: ба нақша гирифташуда (3-6 моҳ барои имзо), ҳодиса (ҳодиса), истифодаи гардиш барои нишонаҳои тароват.
Аудит: гузоришҳои тағйирнопазир: кӣ, кай, чӣ имзо/рамзкушо шудааст.
Бисёр иҷорагир: калидҳои ҳар як иҷорагир/бренд/минтақа; BYOK/HYOK, агар фармоишгар талаб кунад.

5) Рамзгузории канал (TLS)

5. 1 Паст

TLS 1. 2 +, беҳтараш TLS 1. 3; HSTS дар доменҳо.
Suites Cipher: TLS1. 3 - пешакӣ (AES_256_GCM_SHA384/ CHACHA20_POLY1305_SHA256).
PFS: ҳама мубодилаи асосии эпемерн (ECDHE).
ALPN: HTTP/2 ва HTTP/3 (QUIC) огоҳона дохил мешаванд; вақтро тамошо кунед.

5. 2 Сертификатҳо, OCSP, пинҳонӣ

Степлинги OCSP ва занҷирҳои кӯтоҳ.
Истифодаи такрорӣ: чиптаҳои TLS бо TTL кӯтоҳ.
0-RTT (TLS 1). 3): бодиққат фурӯзон кунед (танҳо idempotent GET).
Пинҳонӣ: танҳо 'пинҳон кардани калидҳои оммавӣ тавассути TSP/Идомаи калид' дар барномаҳо/мобилҳо (на HPKP душвор).
MTLS: дар доираи периметри/байни хидматҳо ва шарикон; Тахассуси SAN.

5. 3 GRPC/HTTP/QUIC

GRPC мӯҳлати ниҳоӣ ва метамаълумотро интиқол медиҳад - вақти санҷишро тафтиш ва маҳдуд мекунад.
HTTP/3 (QUIC) байти аввалро суръат мебахшад; мутобиқати WAF/тавозунро санҷед.

6) МТЛС ва машки хидматрасонӣ

SPIFFE/SPIRE ё mesh-CA барои додани автоматии шаҳодатномаҳои кӯтоҳ (7-30 рӯз).

Сиёсатмадорон: кӣ бо кӣ сӯҳбат мекунад (SVID → SVID), auth

Ротатсия - шаффоф; бекор тавассути навсозиҳои бастаи эътимод.

7) Иҷро ва амалиёт

AES-NI: дар серверҳо бо дастгирӣ - AES-GCM тезтар. Дар CPU-ҳои мобилӣ/кӯҳна - ChaCha20-Poly1305.
Танзими TLS: калидҳои кӯтоҳ бо PFS, аммо дар доираи оқилона (P-256/25519); кэши дастӣ.
Бастабандӣ: кам кардани дархостҳои хурд; Сарбории TLS ба шумораи пайвастҳо мутаносиб аст.
Боркунӣ: TLS дар периметри (Envoy/NGINX), дар дохили - M TLS дар тор.

8) Сиёсати махфӣ ва сабти ном

Асрҳо танҳо дар KMS/Vault; дар Кубернетес - провайдери рамзгузорӣ ва + KMS.
Манъи журнал: калидҳо/токенҳо/PAN/асрҳо; ниқоб.
Суратҳо/партовҳо: рамзгузорӣ ва маҳдуд кардани дастрасӣ; дастрасии калидҳоро назорат кунед.

9) Конфигуратсияҳо ва намунаҳо

9. 1 NGINX (профили қатъии TLS)

nginx ssl_protocols TLSv1. 2 TLSv1. 3;
ssl_prefer_server_ciphers on;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384;
ssl_ecdh_curve X25519:P-256;
ssl_session_timeout 10m;
ssl_session_cache shared:SSL:50m;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

9. 2 Фиристанда (M TLS дар болооб, псевдо)

yaml transport_socket:
name: envoy. transport_sockets. tls typed_config:
common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_2 tls_certificate_sds_secret_configs:
- name: service_cert # client certificate validation_context_sds_secret_config:
name: mesh_ca_bundle # trusted roots

9. 3 Намунаи истифодаи AEAD (псевдо)

pseudo nonce = random(12)
ciphertext, tag = AES256_GCM. encrypt(key=DEK, nonce, aad=tenant    object_id, plaintext)
store(nonce    ciphertext    tag)

10) Калидҳои гардиш ва бекоршуда

JWKS/' кӯдак 'барои JWT; кӯтоҳ 'exp'.
Рӯйхати 'jti '/' sid' for бекор кардани нишонаҳо бо TTL.
Асрори HMAC (webhooks): фаъол + канарӣ; қабули ҳарду пеш аз мӯҳлат.
TLS: T-30/T-7/T-1 огоҳиҳо, таҷдиди автоматӣ, канари бехатар.

11) Мушоҳида ва огоҳиҳо

Метрикӣ: 'tls _ handshake _ fail _ total {сабаб}', 'tls _ version _ share', 'cipher _ share', 'ocsp _ stapling _ хатогиҳо', 'kms _ ops _ total {op}', 'рамзкушоӣ _ fail _ total', 'jwks _ kid _ share'.
Гузоришҳои дастрасӣ: протокол/версия/рамз (бе асрор).
Огоҳиҳо: гузаштани мӯҳлати сертификатҳо, афзоиши 'bad _ record _ mac', афзоиши "занҷирҳои беэътимод", рамзкушоии номуваффақ.

12) Хусусиятҳои IGaming/Finance

Ҷараёнҳои бехатар аз PAN: токенизатсия, нигоҳдории танҳо токен; PAN - дар мағозаи PSP/токен.
PCI DSS: рамзгузории додаҳои дорандаи корт, маҳдуд кардани дастрасӣ ба калидҳо, сабти транзаксияи крипто, сегментатсияи шабака.
Минтақа: Калидҳо ва маълумот дар минтақаи бозингар (дермонӣ/соҳибихтиёрӣ).
Backoffice: mTLS + SSO, ҷаласаҳои кӯтоҳ, FIDO2 барои маъмурон.

13) Антипаттернҳо

TLS <1 НЕСТ. 2; иҷозат дода шудааст, ки ciphers/RC4/3DES суст.
Асрори умумӣ ва калидҳои "абадӣ" бидуни гардиш ва "кӯдак".
Такрори IV/nonce дар GCM (марговар ба амният).
Сабтҳо бо асрори/калидҳо/панел.
Танҳо TDE бе рамзгузории майдонҳои ҳассос.
HPKP-pinning in prod (хатари "худбоварӣ").
0-RTT дар бораи дархостҳои навиштан/ғайримуқаррарӣ.

14) Рӯйхати санҷиши омодагии Prod

  • Сиёсати таснифоти маълумот ва рамзгузорӣ (барои ҳар як синф).
  • AEAD (AES-GCM/Cha-Cha20-Poly1305); nonce беназир; Гузарвожаи Argon2id.
  • Рамзгузории лифофа: DEK барои як объект/иҷорагир; KEK v KMS/HSM.
  • TLS 1. 2+/1. 3, HSTS, stapling OCSP; маҷмӯи оқилонаи шифрҳо.
  • MTLS дар дохили; додани автоматӣ/гардиши сертификатҳои кӯтоҳ.
  • JWKS/' кӯдак ', кӯтоҳ' exp ', рӯйхати' jti '; гардиши асрҳо/сертҳо бо такрори.
  • Нусхабардорӣ ва гузоришҳо рамзгузорӣ карда мешаванд; дастрасӣ ва амалиёт тафтиш карда мешаванд.
  • Панели панелҳо/огоҳиҳо аз рӯи TLS/KMS/JWKS; озмоишҳои таназзул ва канарӣ.
  • Ҳуҷҷатгузорӣ: тартиботи ҳодиса (созишномаи калидӣ/сертификатсия).

15) TL; ДР

Рамзгузорӣ дар ҳама ҷо: дар канал - TLS 1. 3/1. 2 бо PFS ва периметри қатъӣ; дарунаш - МТЛС. Ҳангоми истироҳат - лифофа (DEK/KEK) бо калидҳо дар KMS/HSM, майдонҳои ҳассосро рамзгузорӣ мекунанд. Идора кардани калидҳо тавассути 'kids '/JWKS ва гардиши мунтазами такрорӣ, гузоришҳои транзаксияи крипторо нигоҳ доред. AES-GCM-ро (ё Cha20-Poly1305) интихоб кунед, nonce-ро аз нав истифода набаред, нусхаҳои эҳтиётӣ/гузоришҳоро рамзгузорӣ кунед. Барои IGaming/PAN, токенизатсия ва сегментатсияи огоҳонаи PCI.

Contact

Тамос гиред

Барои саволҳо е дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Telegram
@Gamble_GC
Оғози интегратсия

Email — муҳим аст. Telegram е WhatsApp — ихтиерӣ.

Номи шумо ихтиерӣ
Email ихтиерӣ
Мавзӯъ ихтиерӣ
Паем ихтиерӣ
Telegram ихтиерӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиерӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.