Қабатҳои амниятӣ дар инфрасохтор

(Қисм: Технология ва инфрасохтор)

Хулосаи мухтасар

Амният як системаи қабатҳои аст: ҳар як қабат қафо мемонад ва ҳамлаҳоро дар сурати нокомии қаблӣ муайян мекунад. Барои IGaming, ин махсусан муҳим аст: ҷараёни пардохт, PII, ҳамгироии шарикон ва бори баландтарин. Дар зер чаҳорчӯбаи амиқи мудофиа мавҷуд аст, ки шабака, шахсият, барномаҳо, маълумот ва равандҳои амалиётиро ба як барномаи идорашаванда мепайвандад.

1) Модели таҳдид ва асосҳои таҳдид

Моделсозии таҳдид: занҷири STRIDE/kill барои ҷараёнҳои калидӣ (воридшавӣ, амонат, дархост, бозхонд, backfile).
Zero Trust: "бо нобаёнӣ эътимод накунед", ҳуқуқҳои ҳадди аққал, ҳар як хопро санҷед.
Имтиёзи камтарин ва сегрегатсияи вазифаҳо: Нақшҳо амалиёти атомӣ ва ҳассос мебошанд.
Бехатарӣ бо нобаёнӣ: бандарҳои пӯшида, ҳама сиёсатҳо, пешфарзҳои бехатар.
Аудитория: ҳама дастрасӣ/тағирот - дар аудити мутамарказ.

2) Шабака ва периметри

Мақсад: аз ҳаракати паҳлуӣ канорагирӣ кунед ва хавфро алоҳида идора кунед.

Сегментатсия/минтақаҳо: Edge (CDN/WAF) → API → хидматҳо → маълумот (DB/KMS) → admin/backhoe.
Изолятсияи VPC/VN et + зергурӯҳҳо барои хизматрасониҳои давлатӣ/хусусӣ; Назорати NAT/egress (аз ҷумла egress-allowlist ба провайдерҳои PSP/бозӣ).
MTLS дар ҳама ҷо (фикрию/Ingress), TLS 1. 2 +/HSTS/конфигуратсияи криптои тоза.
Идоракунии WAF/bot/DD OS дар периметр; зидди баҳодиҳӣ барои қуттиҳои эътимоднок.
Амнияти DNS: уфуқи уфуқӣ, DNSSEC, таҳаммулпазирии гуноҳ, пинҳон кардани кэш барои соҳаҳои муҳим.

yaml apiVersion: networking. k8s. io/v1 kind: NetworkPolicy metadata: { name: api-deny-all, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
ingress: [] # deny-all egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]

3) Шиносоӣ ва дастрасӣ (IAM/PAM)

Мақсад: Ҳар дастрасӣ асоснок, маҳдуд ва шаффоф тафтиш карда мешавад.

SSO + ВКХ барои одамон ва мошинҳо; калидҳои сахтафзор барои ҳисобҳои имтиёзнок.
RBAC/ABAC барои cloud/K8s/backoff; SCIM - худкор/хомӯш.
Дастрасии JIT (муваққатӣ), шиша бо аудити мукаммал.
Ҳисобҳои хидматӣ бо нишонаҳои кӯтоҳмуддат (OIDC/JWT), аудити сирри муштарӣ.
Оинаи Бастион/Фармон: дастрасӣ ба пойгоҳи додаҳо/гиреҳҳои истеҳсолӣ - танҳо тавассути ҷаласаҳои сарпӯш ва навиштан.

4) Асрҳо ва калидҳо

Ҳадаф аз рафъи ихроҷ ва таъмин намудани давраи калидии идорашаванда иборат аст.

KMS/HSM (калиди устод), гардиши мунтазам; тақсимоти калидҳо ба минтақаҳо/ҳадафҳо.
Асрори Vault/Cloud KMS бо динамикӣ ва иҷора.

• Ҳангоми истироҳат (DB/сатил/лаҳзаҳо) бо рамзгузории лифофа.
• Дар транзит (TLS/MTLS).
• Токенизатсия барои маълумот дар бораи пардохт; Риштаҳои бехатар аз PAN ва амнияти 3-домейн (PCI DSS).

hcl path "kv/prod/payments/" {
capabilities = ["read","list"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}

5) Амнияти контейнерҳо ва Кубернетҳо

Мақсад: кам кардани сатҳи ҳамла дар сатҳи корӣ.

Тасвирҳо: ҳадди аққали асосӣ, на компилятор/снарядҳо; имзоҳо (cosign) ва SBOM.
Назорати дохилшавӣ (OPA/Gatekeeper/Kyverno): манъкунӣ ': охирин', 'имтиёзнок', 'host' Path ',' root '.

Вақти корӣ-политики: Seccomp/App-Armor, 'Only

Асрори ҳамчун садо/env аз менеҷери махфӣ; бе оҷур дар тасвир.
Podsecurity (ili Pod Қабули Амният): иҷрои маҳдуд.
Феҳристҳо: хусусӣ, бо санҷиши осебпазирӣ (SAST/DAST/CSA).

yaml apiVersion: constraints. gatekeeper. sh/v1beta1 kind: K8sAllowedRepos metadata: { name: only-internal-registry }
spec:
repos: ["registry. internal. local/"]

6) Силсилаи таъминоти i CI/CD

Мақсад: Артефактҳои эътимод аз ӯҳдадорӣ то истеҳсолот.

Сиёсати филиал: баррасии код, шохаҳои ҳифзшаванда, санҷишҳои ҳатмӣ.
Имзо ва исботи артифакт (SLSA/COSIGN), барчаспҳои тағйирнопазир (тасвирҳои тағйирнопазир).

SBOM (Cyclone

Ҷудокунии CI: давандагони эфемерӣ, асрори танҳо дар корҳои ҳифзшаванда, матни оддӣ.
Дарвозаҳои CD: сифат/SAST/литсензия/фурӯшанда-сиёсат; таблиғот танҳо тавассути Gits.

7) Амнияти барнома (API/web/mobile)

Ҳадаф: пешгирии ҳамлаҳои мантиқӣ ва техникӣ.

Authn/Auth .Z: OAuth2/OIDC/JWT; TTL кӯтоҳ, гардиши калидҳо, чекҳои аудитория/эмитент.
Амнияти вуруд: санҷиш/нормализатсия, муҳофизати тазриқ, қолабҳо бо параметрҳо.
CSP/HSTS/XFO/XSS-Муҳофизат, CORS-и қатъӣ, маҳдудияти зеркашишавандаи MIME/андоза.
Меъёри лимит/квота, калидҳои idempotency барои пардохтҳо/пардохтҳо.
Ficheflags: гузариши зуд барои хусусиятҳои хатарнок.

nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:;" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;

8) Маълумот, PII ва мувофиқат (аз ҷумла PCI)

Ҳадаф: ҷамъоварии ҳадди ақал, дастрасии ҳадди ақал, шаффофияти ҳадди аксар.

Маълумот-минтақаҳо/классы: 'ҷамъиятӣ/дохилӣ/махфӣ/pii/pci'. Барчаспҳо дар таҳхонаҳо ва гузоришҳо.
Кам кардани PII: тахаллуси 'player _ id', токенизатсияи тафсилоти пардохт.
Сиёсати нигоҳдорӣ: гарм/хунук, WORM барои аудит; нест кардани худкори TTL.
Дастрасӣ: танҳо тавассути нақшҳо ва сифатҳои мувофиқашуда (минтақа/ҳадаф).
Сегментатсияи PCI: сегменти ҷудошуда, гузоришҳои дастрасӣ, сканҳои муқаррарӣ/ASV.

9) Қабати канорӣ: Муҳофизати CDN/WAF/DD

Ҳадаф: алафи бегона "партов" ба платформаи асосӣ.

CDN: гео-блокҳо, стратегияҳои кэш, муҳофизати қабати-7.
WAF: имзоҳои асосӣ + қоидаҳои фармоишӣ барои API (схемаҳои JSON, манъи усулҳои ғайримуқаррарӣ).
Ботҳо: таҳлили рафторӣ, изи ангуштони дастгоҳ, меъёри лимит/капта барои аномалияҳо.
TLS/ALPN: рамзҳои кӯҳнаро хомӯш кунед, степлинги OCSP-ро фурӯзон кунед.

10) Мониторинг, телеметрия ва Sec-Ops

Ҳадаф: Ҳамлаҳоро бубинед ва пеш аз ҳодиса вокуниш нишон диҳед.

Мушоҳида: ченакҳо/гузоришҳо/роҳҳо бо 'trace _ id' ва майдонҳои аудит.
SIEM/SOAR: таносуби ҳодисаҳо (аутентификатсия, тағирёбии IAM, триггерҳои WAF, дастрасӣ ба асрҳо).
Қоидаҳои муайянкунӣ: хӯшаҳои 401/403, афзоиш додани нақш, пардохтҳои оммавӣ, аномалияҳои гео.
Сканкунӣ: SAST/DAST/IAST, CSPM/KSPM, санҷишҳои мунтазами pene ва неъматҳои ишк.
Зидди қаллобӣ: баҳодиҳии амалиёт/рафтор, филтрҳои суръат, рӯйхати таҳримҳо.

11) Устуворӣ, захира ва муттасилии тиҷорат

Ҳадаф: Бе гум шудани маълумот ва SLA-ҳо аз садама наҷот ёбед.

Нусхабардорӣ ва PITR барои пойгоҳи додаҳо, лаҳзаҳои зуд-зуд бо барқароркунии санҷиш.
Нақшаи DR: RTO/RPO, минтақа скриптҳои ноком, санҷишҳои гузариш.
Асрҳо дар DR: калидҳои мустақил/нусхаи KMS, раванди гардиши фавқулодда.
Роҳнамои расмӣ: рӯйхати санҷишҳои барқарорсозӣ ва машқҳои рӯзона.

12) Равандҳои амалиётӣ ва фарҳанг

Ҳадаф ин аст, ки амният "пешфарз" бошад.

Амният аз ҷониби PR: Баррасии ҳатмии амният барои тағироти ҳассос.
Сиёсатҳои озодкунӣ: Тирезаҳои шабона/қуллаи пӯшида; рӯйхати пеш аз парвоз.
Китобҳои бехатар - дастурҳо бо параметрҳои бехатар, амалҳои аудит.
Омӯзиш: моделиронии фишинг, омӯзиши ҳодисаҳо, ҷаласаҳои мустақими планшет.

13) Рӯйхати назоратӣ (кӯтоҳ)

Шабака ва периметр

• Ҳама фишор паси WAF/CDN; DD KDE фаъол аст
• MTLS байни хидматҳо; инкор - ҳама сиёсати шабака
• Рӯйхати egress-allowlist ба провайдерҳои беруна

Шахсият

• SSO + MFA; JIT ва шикастани шиша бо аудит
• RBAC/ABAC, SCIM-ғайрифаъол кардани Layoffs
• Ҳисобҳои хидматӣ бо токенҳои кӯтоҳ

K8s/containers

• Имзои тасвир + SBOM; манъкунӣ ': охирин'
• Seccomp/App ​ ​ Armor, танҳо FS-хондан, caps тарки
• Сиёсати дарвозабон/Киверно ва рад кардани рӯйхатҳо

Асрҳо/Калидҳо

• Vault/KMS, гардиш, тақсимоти калидҳо
• Рамзгузорӣ ҳангоми истироҳат/дар транзит
• Токенизатсия барои пардохтҳо

CI/CD i занҷири таъминот

• давандагони эфемерӣ; сирри танҳо дар корҳои ҳифзшаванда
• Иҷозатномаҳои SAST/DAST/; имзоҳои артефактӣ
• Таблиғи Gits, дарвозаҳои сифат

Маълумот/PII/PCI

• Таснифи маълумот ва барчаспҳо дар анборҳо
• Сиёсати нигоҳдорӣ/WORM; дастрасӣ аз рӯи нақш
• Ҷудокунии сегменти PCI, сканҳои ASV

Секопҳо

• Қоидаҳои SIEM/SOAR, огоҳии шадид
• Филтрҳои зидди қаллобӣ ва суръат
• Нақшаи DR, Санҷишҳои RTO/RPO

14) Намунаҳои сиёсати "сахт"

Kyverno: Манъи контейнерҳои имтиёзнок

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata: { name: disallow-privileged }
spec:
rules:
- name: no-priv match: { resources: { kinds: ["Pod"] } }
validate:
message: "Privileged containers are not allowed"
pattern:
spec:
containers:
- securityContext:
privileged: "false"

OPA (Rego): манъ кардани 'host' Network '

rego package kubernetes. admission

violation[msg] {
input. request. kind. kind == "Pod"
input. request. object. spec. hostNetwork == true msg:= "hostNetwork is not allowed"
}

15) Анти-намунаҳо

"Периметрро муҳофизат кунед" бидуни ҳаракати паҳлуии m

Асрҳо дар тағирёбандаҳои CI env, боргузорӣ ба гузоришҳо.
Тасвирҳо ': охирин', имзоҳо ва SBOM нестанд.
Иҷозат - ҳама сиёсат дар кластер; neimspaces маъмул барои ҳама чиз.
Рамзгузорӣ "дар коғаз" бидуни гардиши воқеии калидҳо ва санҷишҳои барқарорсозӣ.
Ба ҷои ислоҳи мантиқӣ ва тасдиқи маълумот ба WAF такя кунед.
Не машқҳои DR/сенарияҳои ҷадвалӣ - нақша "ҷамъоварии хок" аст.

16) Чӣ гуна бояд оғоз кард (нақшаи 90-рӯза)

1. Ҳафтаи 1-2: Инвентаризатсияи дороиҳо/маълумот, таснифот, харитаи ҷараён

2. Ҳафтаи 3-4: Филтрҳои WAF/DD/OS/bot-ро фаъол созед.
3. Ҳафтаи 5-6: Vault/KMS, гардиши калидӣ, токенизатсияи пардохт.

4. Ҳафтаи 7-8: Дарвозабон/Kyverno, Seccomp/App

5. Ҳафтаи 9-10: Имзои тасвирҳо, SBOM, дарвозаҳои CI/CD, Таблиғи Git

6. Ҳафтаи 11-12: Қоидаҳои SIEM/SOAR, огоҳиҳои шадид, қаллобӣ.
7. Ҳафтаи 13: Машқи DR, Навсозии Runabook ва Вазъи мувофиқат (PII/PCI).

Натиҷаҳо

Қабатҳои амниятӣ меъмории қарорҳо мебошанд, на маҷмӯи қуттиҳо. Якҷоя кардани сегментатсияи шабака ва Zero Trust, IAM-и қатъӣ, containers/K8s бехатар, сирри идорашаванда ва крипто, қубурҳои муҳофизатшаванда, муҳофизати канорӣ ва мушоҳидаҳои Sec Сипас, ҳатто дар сурати ҳамлаҳо ва садамаҳо, платформа тамомияти маълумот, махфияти PII/PCI ва мавҷудияти ҷараёнҳои асосӣ - амонатҳо, дархостҳо ва бозхондҳоро дар ҳама гуна соатҳои авҷи худ нигоҳ медорад.