Таҳкими муҳити истеҳсолӣ ва аудит

1) Ҳадафҳо ва соҳаи масъулият

• майдони ҳамла ва радиуси таркишро кам кунед;
• муҳофизат кардани каналҳо, ҳисобҳо, асрори ва артефактҳои интиқол;
• Ҳодисаҳоро нисбат ба ҳадафҳои MTTR зудтар муайян ва вокуниш нишон диҳед
• Мутобиқатро тасдиқ кунед (GDPR/PCI DSS/қоидаҳои маҳаллӣ)
• нигоҳ доштани аудиторияи ҳама амалҳои интиқодӣ.

Принсипҳои асосӣ: Боварӣ ба сифр, имтиёзи камтарин, сегментатсия, ҳама чиз-ҳамчун-код, амният бо нобаёнӣ.

2) периметри шабака ва сегментатсия

Сегментҳо: Edge (WAF, Идоракунии бот, DD MD), DMZ (дарвоза), App (microservices), Data (DB/caches), Backoffice/Ops (CI/CD, мушоҳида).
Сиёсати L4/L7: рад кардани пешфарз, иҷозати возеҳ аз ҷониби хидматҳо/номҳо/бандарҳо.
MTLS дар доираи кластери TLS 1. 2 + дар периметри, HSTS, рамзҳои бехатар.
Филтри вуруд: WAF (OWASP Top-10), анти-бот, маҳдудиятҳои нархҳо, блокҳои гео/ASN, CAPTCHA дар роҳҳои хатар.
Муҳофизати DD: ҳамеша-дар + кам кардани худкор, профилҳои алоҳида барои мундариҷаи API/статикӣ.
Назорати Egress: танҳо хостҳои берунии зарурӣ барои провайдерҳо (PSP/KYC/бозиҳо).

3) Шиносоӣ, дастрасӣ ва имтиёзҳо (IAM/PAM)

SSO (OIDC/SAML) + ВКХ барои одамон; Нишонаҳои OIDC/Шахсияти сарбории корӣ барои хидматҳо.
RBAC/ABAC: нақшҳо бо иҷозатҳои ҳадди ақали зарурӣ; дастрасии "break-glass" зери аудит ва TTL.
PAM: Санҷиши ҷаласаи имтиёзнок, сабти пурра ва сабти ном.
CIEM (абрҳо): ҷустуҷӯи ҳуқуқҳои аз ҳад зиёд ва нақшҳои мурда, барқароркунии худкор.
Дастрасӣ ба маълумоти истеҳсолӣ: танҳо тавассути ҷаҳиши/прокси тасдиқшуда бо ниқоби PII.

4) Асрҳо ва криптография

KMS/HSM: нигоҳдории калидҳо, рамзгузории лифофа, гардиш бо огоҳиҳо.
Менеҷери махфӣ: қарзҳои кӯтоҳмуддат, сирри Git/гузоришҳоро истисно кунед.
Имзоҳо: артефактҳо (cosign), вебхукҳо (HMAC), нишонаҳои хидматрасонӣ.
Майдонҳои PAN/PII: токенизатсия/рамзгузорӣ дар истироҳат; ниқоб дар гузоришҳо ва пешнамоишҳо.
Қоидаҳои гардиш: калидҳо/шаҳодатномаҳо/паролҳо - реҷа ва маҷбурӣ.

5) Зарфҳо ва Кубернетҳо (CWPP/KSPM)

Тасвирҳои асосӣ: ҳадди аққал, сканкунии осебпазирӣ дар CI; дар ҳама ҷо имконпазир аст.
Сиёсати дохилшавӣ (OPA/Gatekeeper/Kyverno): манъ кардани ': охирин', 'имтиёзнок', host-Path; имзои тасвирро талаб мекунад.
Сиёсати шабака: Иртиботи хидматрасонӣ ба хидмат танҳо дар ҳолати зарурӣ.
Podsecurity: қобилиятҳои маҳдуд, танҳо FS-хондан, seccomp, App-Armor.
Асрҳо: аз мағозаи махфии CSI (KMS); сирри ошкоро дар зуҳурот нест.
Муҳофизати вақти корӣ: қоидаҳои рафтор (EBPF), ба аномалияҳо ҳушдор медиҳад.

rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6) Занҷираи таъминот: боварӣ, аммо тафтиш

SBOM дар як сохтмон; нигоҳдорӣ ва пайвастшавӣ ба озодкунӣ.
Имзоҳои тасвирӣ/манифест, тасдиқи назорати қабул.
Сертификатҳои SLSA: пайдоиши исботшудаи артефактҳо.
Policy-as-Code: Conftest/OPA дар Terraform/Helm/K8s пеш аз якҷояшавӣ.
Манъи "таъмири дақиқаи охирин" ба маҳсулот: ҳама тағирот танҳо тавассути қубур мебошанд.

7) Идоракунии осебпазирӣ ва ячейка

SCA/SAST/DAST v CI; бастани ҳадди ниҳоӣ барои критикӣ/баланд.
Маҷмӯаҳои навсозии ҳарҳафтаина (тасвирҳо, бастаҳои ОС, китобхонаҳо) + ба нақша гирифта нашудаанд.
Ислоҳот § чиптаҳо/варақаҳои марбут ба CVE/SBOM анҷом дода шуданд.
EASM: намуди берунии сатҳи ҳамла (субдомайнҳо, бандарҳои кушод, шаҳодатномаҳо).
Санҷишҳои мунтазами қалам: ҳадди аққал як маротиба дар як сол + ба ҷараёни интиқодӣ (пардохтҳо/CCM) нигаронида шудааст.

8) Гузоришҳо, ченакҳо, пайҳо ва нигоҳдории артефактҳои аудит

Гузоришҳои стандартӣ (JSON) бо 'trace _ id', 'request _ id', корбар/иҷорагир/гео (тахаллус), PII/PAN нестанд.
Нишондиҳандаҳо: p50/p95/p99, хатогӣ, пуррагӣ, DLQ, ретрай, бизнес KPI (Вақт-ба-ҳамён).
OTEl: ниҳоӣ барои хатсайрҳои муҳим (амонат/CCL/баромад).
SIEM: таносуби ҳодисаҳо (аутентификатсия, тағир додани нақш, амалҳои маъмурӣ, қоидаҳои WAF/бот).
SOAR: аксуламалҳои худкор (изолятсияи оташдон, ёдраскунии токен, блоки IP/ASN, манъи озодкунӣ).
Нигоҳдорӣ: гузоришҳои амалиётӣ - 30-90 рӯз нигаҳдории гарм, артефактҳои аудитӣ - тибқи сиёсатҳо дарозтар.

json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9) Анти-ботҳо, қаллобӣ ва сенарияҳои дифоӣ

Идоракунии бот: имзоҳо/рафтор, изи ангуштони дастгоҳ, мушкилоти динамикӣ.
Меъёрҳо/квотаҳо: барои як корбар/иҷорагир/IP; мутобиқшавӣ дар аномалия.
Сенсорҳои RASP дар нуқтаҳои ниҳоӣ (кӯшиши гузарондани имзоҳои вебҳукҳо, кашиши соат, интиқоли дубора).
Сигналҳои қаллобӣ: таносуби каналҳо (воридшавӣ, пардохтҳо, KYC), авто-шиддат.

10) Муҳофизат, DR ва BCP

Ҳадафҳои RTO/RPO муайян ва озмуда мешаванд (масалан, RTO ≤ 1 соат, RPO ≤ 5 дақиқа барои пойгоҳи додаҳои пардохт).
Нусхабардорӣ: рамзгузорӣ, давра ба давра дар нигаҳдории офлайнӣ; санҷишҳои мунтазами барқарорсозӣ.
Такрори гео: масъулияти дороиҳо/дороиҳо аз рӯи минтақа; Нокомии DNS бо назорати TTL.
Феҳристи вобастагиҳои муҳим (PSP/KYC/агрегаторҳои бозӣ) ва нақшаҳои гузариш.

11) Ҳодисаҳо ва вокуниш

Китобҳои корӣ: барои тарки провайдер, афзоиши ниҳонӣ, созиши аломатҳо, DD mozbooks.
Занг: 24/7, гардишҳо ва саҳифаҳои таркиш; амалияи муштараки "ҳуҷраи ҷанг".
Иртибот: қолабҳои паём барои муштариён/шарикон ва танзимгарон.
Пас аз марг (беайб): амалҳо барои пешгирии такрорӣ, навсозии сиёсат/китобҳои бозӣ.

12) Мувофиқат ва махфият

GDPR: кам кардани маълумот, регистрҳои ризоият, ҳуқуқи нест кардан/порт; DPIA барои провайдерҳои нав.
PCI DSS: Минтақаҳои токенизатсия/изолятсияи PAN, сегментҳои шабака, гузоришҳои қатъии дастрасӣ.
Талаботи маҳаллӣ (қаламравҳои бозор): нигоҳдории маълумот дар минтақа, ҳисоботдиҳӣ, навсозии тирезаҳо.
Хати маълумот: ҷараёни PII/PAN дар куҷо ва чӣ тавр; схемаҳо ва DPIA дар Dev-Portal.

13) Аудит: Намудҳо, артефактҳо ва сиклҳо

• Дохилӣ (семоҳа): риояи сиёсат, назорати тағйирот, дастрасӣ, асрор, регистрҳо, қубурҳо.
• Берунӣ (ҳамасола/аз рӯи талабот): PCI/GDPR/танзимгарони маҳаллӣ, санҷишҳои қалам, ҳисоботи SOC провайдерҳо.

• Сиёсати амният, матритсаи нақши IAM, рӯйхати истисноӣ бо мӯҳлати муқарраршуда.
• Гузоришҳои тағир додани инфрасохтор (IA), ҳисоботи CI/CD (SBOM, имзоҳо, санҷишҳо).
• Феҳристи провайдерҳо (PSP/KYC/бозиҳо), арзёбии DPIA/фурӯшанда, шартномаҳо ва SLA.
• Гузоришҳои дастрасӣ ба фурӯш, натиҷаҳои гардиши махфӣ, хабар медиҳад SIEM/SOAR.
• Нақшаҳои DR/BCP ва протоколҳои озмоишҳои барқарорсозии охирин.

• "Далелҳо-аввал": ҳар як амал артефакти тасдиқшаванда аст.
• "Ҳеҷ кас дар prod": ҳадди аксар тавассути қубурҳо ва барномаҳои тасдиқшуда; ҳамаи ҷаласаҳо - зери журнал.
• Ҳама чизро пайгирӣ кунед - Тағйироти харита ба ҳодисаҳо/ченакҳо.

14) Гвардияҳо-ас-Кодекс: Намунаҳо

rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

Қабул ба сиёсат (K8s): тамғакоғазҳои амниятӣ ва маҳдудиятҳои захираҳоро талаб мекунад

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15) Рӯйхати назорати ҳаррӯзаи гигиенӣ

• Сиёсати WAF/бот фаъол, имзоҳо нав карда шуданд; anti-DD .OS дар ҳолати ҳамеша.
• Назоратчиёни қабул дар кластер дар ҳолати маҷбурӣ, на аудит.
• Ҳама тасвирҳои истеҳсолӣ имзо шудаанд; SBOM дастрас аст ва ба озодкунӣ вобаста аст.
• Осебҳои интиқодӣ/баланд - мавҷуд набудани ё собит бо истисноҳои сана.
• Гардиши асрори/шаҳодатномаҳо - аз рӯи ҷадвал, таъхир нест.
• SIEM ба рӯйдодҳои IAM/release вуруд/тағирот алоқаманд аст; Китобҳои бозикунии SOAR озмуда мешаванд.
• Нусхаҳои эҳтиётӣ гузаштанд, санҷишро аз рӯи ҷадвал барқарор карданд; Нақшаи DR эътибор дорад.
• Дастрасӣ ба хӯрок - танҳо тавассути SSO + MFA/PAM; ҳамаи ҷаласаҳо сабт карда мешаванд.
• "Не PII дар гузоришҳо" - аз ҷониби сканерҳо тасдиқ карда шудааст; ниқоб фаъол аст.
• Дарвозаҳо ва мушоҳидаҳоро "ҳамчун рамз" нав карданд.

16) Модели камолот (мухтасар)

1. Асосӣ - тағйироти дастӣ, периметри ягона, мониторинги ҷузъӣ.
2. Advanced - segmentation, IAM/RBAC, артефактҳои имзошуда, WAF/DD joo.S, SIEM, часпакҳои муқаррарӣ.
3. Коршиносон - Zero Trust, guardrail-as-code, SLSA-аттестатсия, вақти корӣ-муҳофизат, SOAR-автоматизатсия, "ҳеҷ кас дар prod", аудити доимӣ.

17) Харитаи роҳсозӣ

M0-M1 (MVP): сегментатсияи шабака, WAF/DD MFA, SSO + MFA, KMS, сиёсати асосии қабул, гузоришҳои стандартӣ/ченакҳо/роҳҳо, SIEM.
M2-M3: имзоҳои тасвирӣ ва санҷиши қабул, SBOM, Conftest/OPA дар IA, PAM, нақшаи гардиш, часбҳои муқаррарӣ, санҷишҳои аввалини DR.
M4-M6: Китобҳои бозикунии SOAR, ошкоркунии электронии BPF/вақти корӣ, EASM, бастаи мувофиқат (PCI/GDPR), маҷмӯи пурраи артефактҳои аудитӣ, ring-DR аз рӯи минтақа.
M6 +: Шабакаи Zero-Trust (MTLS дар ҳама ҷо), CIEM, ҳисоботҳои автоматии аудит, санҷиши доимии "арғувон".

Хулоса

Протексияи қавӣ маҷмӯи қоидаҳои "оҳан" нест, балки система: сегментатсия, мушаххасоти қатъӣ ва асрори, таҳвили бехатар, контейнерҳои идорашаванда, мушоҳида ва аксуламали автоматӣ. Санҷишро илова кунед (артефактҳои аудитӣ, SBOM/имзоҳо, гузоришҳо) ва муҳити истеҳсолӣ пешгӯишаванда, идорашаванда ва барои аудити беруна омода мешаванд - бидуни созиш дар бораи суръат ва тиҷорати SLO.