Transit şifrlemek

In Transit şifrlemek

1) Gözegçiligi kesgitlemek we onuň çäkleri

In transit şifrlemek, passiw tutma we kanala işjeň hüjümler mazmuny aýan etmez we kesgitlemezden üýtgetmäge mümkinçilik bermez ýaly, tor geçirişiniň ähli ýolunda (brauzer, hyzmat, hyzmat, agent, broker, maglumat bazasy, programma, datacenter) maglumatlary goramakdyr.

Nämäni ýapýarys: köpçülige we hususy API (HTTP/HTTPS, gRPC), akym we brokerler (Kafka, NATS, RabbitMQ), WebSocket, bazalar we tordaky nagt pullar, klasterleriň içindäki hyzmat traffigi, VPN/DPC we bulutlar, DNS-soraglar, ykjam/IoT-müşderiler.

Doly ýapmaýarys: ahyrky nokatlara edilen hüjümler (hostyň/brauzeriň bozulmagy), programmalaryň gowşaklygy, ýazgylardan/damplardan syzmak. Bu aýratyn gözegçilikler bilen çözülýär (A&A, hukuklary azaltmak, at rest şifrlemek, howpsuz giriş).

2) Howplaryň we maksatlaryň nusgasy

Töwekgelçilikler: traffigi saklamak/çalyşmak (MITM), teswirnamany aýyrmak/şifrlemek, galp şahadatnamalar/SA, açar syzmagy, SNI/meta-maglumatlar hüjümleri, garyşyk mazmun, balanslarda TLS-ni nädogry terminirlemek, howpsuz hyzmatara baglanyşyklar.

1. Gizlinlik + kriptografik tassyklama bilen bitewilik.

2. Downgreýde garşylyk (berk syýasat we ).

3. Taraplary kesgitlemek (serwer, zerur bolsa - özara).

4. Şahadatnamalaryň/açarlaryň dolandyrylýan durmuş sikli we audit.

5. Howpsuzlyk ylalaşyksyz öndürijilik profili.

3) Esasy ýörelgeler

TLS hemme ýerde. Daşarky we içerki traffigi - şifrlemek.
Häzirki zaman wersiýalary. TLS 1. 3 standart hökmünde; TLS 1. 2 - diňe berk syýasatda. Öçürmek 1. 0/1. 1.
PFS-den AEAD-şifrlenen programmalar. AES-GCM ýa-da ChaCha20-Poly1305; PFS (EC) DHE arkaly.
Egri/key-exchange. X25519 (has gowusy) ýa-da secp256r1 (P-256). RSA açarlary ≥ 2048, ECDSA (P-256) has gowudyr.
mTLS ynamyň az bolan ýerinde. Hyzmatara kanallar, administratiw-API, dellallar, bazalar - özara tassyklamak arkaly.
Web üçin HSTS. Jemgyýetçilik domenleri üçin mejbury HTTPS + preload.
"Şifrlemek-we-gaýtadan-şifrlemek" aňly. Perimetrde TLS-terminasiýa + arka tarapa ýa-da passthrough arkaly gaýtadan şifrlemek - howp modelini saýlaýarys.
Crypto-agility. Nol duralgasy bolan egri/suit/wersiýalary üýtgetmek ukyby.

4) Teswirnamalary we ssenariýalary ýygnamak

4. 1 HTTP/2, HTTP/3 (QUIC), gRPC, WebSocket

ALPN: HTTP/2 üçin h2, HTTP/3 üçin h3; h2c gadaganlygy (TLS bolmasa).
HTTP/3/QUIC: gizlinligi, gurlan 0-RTT we birikmeleriň göçmegini peseldýär; 0-RTT rugsat bermek (repleýiň töwekgelçiligi).
gRPC: ýokarky h2/h3; hökmany suratda TLS, goşmaça mTLS + per-RPC ygtyýarnamasy.
WebSocket: diňe wss ://; proxy/balansda - dogry täzelenme we domen TLS-pinning.

4. 2 Hyzmatara traffik we hyzmat torbalary

Sidecar-model (Istio/Linkerd we ş.m.). Awtomatiki mTLS, rugsat syýasaty, şahadatnamalaryň aýlanmagy.
SPIFFE/SPIRE. Merkezleşdirilmedik hyzmatlar şahsyýeti (SPIFFE ID), SVID-şahadatnamalar, gysga TTL.
TLS parametrleri merkezleşdirilýär. Hyzmatlar kodundaky konfigurasiýalaryň tapawudyny azaltmak.

4. 3 Brokerler/akym/nobatlar

Kafka/NATS/RabbitMQ: TLS - müşderi üçin dellalçy we dellalçy; mümkin boldugyça - mTLS.
TLS-iň üstündäki SASL: mTLS mümkin bolmasa, tassyklamak - bellikler/loginler boýunça, ýöne kanal şifrlemek.
ACL we mowzuk ygtyýarnamasy. Şifrlemek ≠ giriş gözegçiligi.

4. 4 Maglumat bazalary we nagt pullar

PostgreSQL/MySQL/SQL Server: TLS, CN/SAN, pin SA/kök.
Redis/Memcached: stunnel/TLS-redisleri ulanmak; önümde plain-traffigi gadagan etmek.

4. 5 Tor/tuneller

Maglumat merkeziniň/bulutlaryň arasynda: IPsec (IKEv2) ýa-da WireGuard (häzirki zaman başlangyç toplumy).
Admin-access: SSH häzirki zaman KEH/şifrleri bilen; parollary gadagan etmek, diňe açarlar/SSO.

4. 6 DNS we kömekçi teswirnamalar

DNS over HTTPS (DoH )/DNS over TLS (DoT) müşderiler üçin we mümkin bolan ýerlerde klasteriň içinde.
Garyşyk mazmuny öçürmek. http ://sahypalarynda hiç zat ýok.

5) Şahadatnamalar, PKI we açarlary dolandyrmak

PKI modeli: daşarky domenler üçin - köpçülige açyk CA; içerki traffik üçin - öz CA ýa-da SPIRE-CA.
Awtomatlaşdyryş: ACME/Cert-manager for Kubernetes, gysga TTL, awto-rotasiýa.
OCSP stapling и CRL. Frontlarda durgunlygy açyň; zynjyrlary yzygiderli täzelemek.
Pinning - seresaplylyk bilen. Ykjam/desktop-müşderilerde - gyssagly togalamak mehanizmi bolan CA/SPKI pin.
Açarlary saklamak: HSM/KMS/secret-ammarda hususy açarlar; iň az ekspozisiýa; giriş gadaganlygy.

6) Konfigurasiýalar: amaly profiller

• Wersiýalary: TLS 1. 3 (hökmany), TLS 1. 2 (fallback).

• TLS 1. 3: `TLS_AES_128_GCM_SHA256`, `TLS_AES_256_GCM_SHA384`, `TLS_CHACHA20_POLY1305_SHA256`.
• TLS 1. 2: 'ECDHE-ECDSA-AES128-GCM-SHA256', 'ECDHE-RSA-AES128-GCM-SHA256' (zerur bolsa AES256/CHACHA20 wariantlary).
• Egri: X25519, secp256r1.
• Şahadatnamalar: ECDSA-has gowy, RSA-fallback.
• Howpsuz sözbaşylar: 'Strict-Transport-Security', 'X-Content-Type-Options', 'X-Frame-Options' (кейс boýunça), 'Referrer-Policy'.
• Cookies: 'Secure', 'HttpOnly', 'SameSite' (Lax/Strict).

• Müşderi şahadatnamasy hökmanydyr.
• Gysga TTL müşderi SVID (sagat/gün), awtomatiki aýlanyş.
• Syýasatçylar: kime birikdirilip bilner (intent-based/mesh-ygtyýarnamasy arkaly işlemek).

7) Öndürijilik we ygtybarlylyk

Apparat tizlenişi: AES-NI/ARMv8 Crypto, AES-NI-siz CPU-da ChaCha20-Poly1305.
Session resumption: TLS 1. 3 tickets; ömrüň möhletini (perf bilen howpsuzlygyň arasyndaky deňagramlylygy) göz öňünde tutmak.
0-RTT: diňe idempotent haýyşlary üçin; (serwer anti-replay mehanizmleri).
Balanslaýjylar/proxy: termination vs passthrough; termination - arka tarapa gaýtadan şifrlemek.
Observability: el çarpmagyň/ýalňyşlygyň/ALPN gepleşikleriniň metrikleri, TLS göterimi 1. 3, şahadatnamalaryň möhleti, OCSP statusy.

8) Synag we barlamak

TLS profil barlagy. Goldanýan wersiýalary/suitleri/egrileri we HSTS/OCSP yzygiderli barlamak.
Negativearamaz synaglar: downgrade gadaganlygy, gowşak switleriň gyşarmagy, SNI-siz/tassyklanan zynjyr şahadatnamasyz birikmeleriň şowsuzlygy.
Kanalyň pentesti: MITM simulýasiýalary, ykjam müşderilerde pinning barlagy, 0-RTT repleýiniň synanyşyklary.
Chaos-synaglar: şahadatnamanyň gutarmagy/yzyna alynmagy, OCSP/CA elýeterliligi.

9) Ýygy-ýygydan ýalňyşlyklar we olardan nädip gaça durmaly

TLS bar, ýöne host tassyklamaz. Elmydama CN/SAN barlaýarys, "InsecureSkipVerify" -ni gadagan edýäris.
Garyşyk mazmun. Https sahypalarynda http-çeşmeleri blokirläň, CSP ulanyň.
Gowşak/köne wersiýalar we suitler. TLS öçürmek 1. 0/1. 1, CBC/RC4/3DES.
Içerde gaýtadan şifrlemegiň ýoklugy. Balansdan programma çenli plain-traffigi - töwekgelçilik.
Uzak ömürli şahadatnamalar. Gysga TTL we awto täzelenmeler ediň.
Proxy üçin SNI/ALPN nädogry. TLS-pass-tru/terminasiýa wagtynda SNI/ALPN-i dogry geçirmek.

10) Kiçi reseptler (konfigurasiýa bölekleri)

ssl_protocols      TLSv1. 3 TLSv1. 2;
ssl_ciphers       TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers on;
ssl_ecdh_curve     X25519:P-256;
ssl_stapling      on;
ssl_stapling_verify   on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

transport_socket:
name: envoy. transport_sockets. tls typed_config:
"@type": type. googleapis. com/envoy. extensions. transport_sockets. tls. v3. DownstreamTlsContext common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_3 validation_context:
trusted_ca: { filename: /etc/tls/ca. crt }
tls_certificates:
certificate_chain: { filename: /etc/tls/tls. crt }
private_key:   { filename: /etc/tls/tls. key }
require_client_certificate: true

[Interface]
PrivateKey = <priv>
Address  = 10. 10. 0. 1/24
[Peer]
PublicKey = <pub>
AllowedIPs = 10. 10. 0. 0/24
Endpoint  = gw. example. com:51820
PersistentKeepalive = 25

11) Syýasatlar we laýyklyk

Iň pes talaplar: TLS 1. 3 mümkin bolan ýerlerde; TLS 1. 2 - suitleriň çäkli toplumy bilen.
Düzgünleşdiriji: PCI DSS/maliýe sektory - gowşak wersiýalary/suitleri gadagan etmek; hökmany rotasiýa we audit.
Zero Trust-çemeleşme: her iş ýüküne şahsyýet, üznüksiz barlag we hyzmat derejesinde syýasat.

12) Amal we SLO

SLO: TLS-de traffigiň 95% -den ≥ üstünlikli el çarpyşmalaryň 99% -ini ≥ 1. 3, 0% garyşyk mazmun.
Alertler: şahadatnamalaryň gutarmagy (<14 gün), el çarpmagyň şowsuzlygynyň ýokarlanmagy, TLS paýynyň azalmagy 1. 3, OCSP stapling ýalňyşlyklary.
Amallar: CA/köküni gyssagly çalyşmak, bozulan açary yzyna almak, 0-RTT öçürmek.

13) Çek-listler

• TLS 1 öçürildi. 0/1. AEAD we PFS-i öz içine alýan 1 we gowşak swits.
• ALPN sazlandy (h2/h3); h2c gadaganlygy.
• HSTS (köpçülige açyk), mixed content ýok.
• Şahadatnamalar awto-täzelenýär, OCSP stapling işleýär.
• Içerki kanallar mTLS tarapyndan goralýar (ýa-da WireGuard/IPsec-e deňdir).
• Customs/SDK-da host/zynjyr tassyklamasy barlandy.

• TLS/ALPN/ýalňyşlyklaryň we ekspirasiýalaryň wersiýalaryna gözegçilik etmek.
• Crypto-agility meýilnamasy (täze suitlere/egrilere terjime).
• Kanalyň wagtal-wagtal pentestleri we konwensiýalaryň gykylygy.

14) FAQ

S: Diňe perimetrde TLS ýeterlikmi?
A: Ýok. Içerki traffik hem şifrlenmeli (mTLS/tuneller/mesh), esasanam bulutlarda we köp kärende bilen.

S: 0-RTT gerekmi?
O: Idempotent soraglary üçin nokady açyň, ýogsam repleýiň töwekgelçiligi sebäpli öçüriň.

S: DPC aralygy üçin näme saýlamaly? IPsec ýa-da WireGuard?
O: WireGuard has aňsat we çalt, IPsec - ýetişen we giňden goldanýan. Ikisi hem dogry konfigurasiýada kabul edilýär.

S: Webhuklary "ýolda" nädip goramaly?
O: Häzirki zaman profili bolan HTTPS + iberijiniň şahadatnamasyny barlamak (mTLS bolsa) + peýdaly ýüküň goly we taýmstampy barlamak ("Webhuklary eltmegiň kepillikleri", "Gol we haýyşlary barlamak").

• "At Rest şifrlemek"
• "Tassyklamak we ygtyýarlandyrmak"
• "Haýyşlara gol çekmek we barlamak"
• "S2S-tassyklama"
• "Açarlary dolandyrmak we rotasiýa"