GH GambleHub

Maglumatlary şifrlemek we TLS

1) Howplaryň we maksatlaryň kartasy

Kanalda (in-transit): traffigi saklamak/üýtgetmek, MitM, daşamak.
Rahatlykda (at-rest): diskleri/bellikleri, DB/log dampalaryny, içerki adamlary ogurlamak.
Açarlar: syrlaryň syzmagy, gowşak aýlanyş, gaýtadan ulanmak.
Maksat ölçenen SLO we dolandyrylýan kriptografik hereket bilen gizlinligi, bitewiligi we hakykylygyny üpjün etmek.

2) Maglumatlaryň klassifikasiýasy we syýasaty

Synplar: Public/Internal/Confidential/Restricted (PII/Maliýe/PAN).
Bellikler: 'data. class`, `tenant`, `region`, `retention`.
Hökmany çäreler: Restricted üçin - meýdan/obýekt derejesinde şifrlemek, giriş ýazgysy, aýry-aýry açarlar per-tenant/region.

3) "Rahat" şifrlemek (at-rest)

3. 1 Envelope-şifrlemek

DEK (Data Encryption Key) maglumatlary şifrleýär; KEK/CMK (KMS/HSM) DEK-i şifrleýär.
KEK-iň aýlanmagy maglumatlary açmagy talap etmeýär - pere-wrap DEK.
DEK gysga TTL bilen per-obýekt/partiýa/tenant islenýär.

3. 2 Derejeler

Transparant (TDE): disk/tablisa boşluklary (PostgreSQL/MySQL/SQL Server). Ýönekeý, ýöne granulýar gözegçiliksiz.
Programma derejesinde: meýdanlar/obýektler (PAN, syrlar) - multi-tenant we giriş minimumlary üçin has gowudyr.
Ammar/bulutlar: S3/GCS SSE-KMS; ACID maglumatlary üçin - FLE (field-level encryption) mümkin bolan ýerlerde.

3. 3 Algoritmler we reimesimler

AEAD: AES-256-GCM ýa-da ChaCha20-Poly1305 (AES-NI-siz CPU-da).
IV/nonce: özboluşlylygy berk hökmanydyr; ciphertext gapdalynda saklamak; gaýtalamaň.
Kesmek: parollar - duz we demir parametrleri bolan Argon2id (ýa-da scrypt/bcrypt).
MAS/gollar: Bitewilik üçin HMAC-SHA-256 ýa-da AEAD içerki belgi.

3. 4 DB/faýllar üçin tejribe

PostgreSQL: pgcrypto/giňeltmek; write - programmada duýgur ýerleri şifrlemek.
Mongo/Doc-ammar: client-side FLE, KMS-de açarlar.
Bellikler: aýry-aýry açarlar we diňe CI/CD agentinden elýeterli; ofsaýt nusgalary - elmydama şifrlenýär.

4) Açarlary dolandyrmak (KMS/HSM/Vault)

Hakykat çeşmesi: KMS/HSM; Şahsy açarlar enjamdan/hyzmatdan çykmaýar.
Version: 'kid', 'purpose', 'alg', 'created _ at', 'rotates _ at'.
Giriş: least-privilege; borçlaryň bölünmegi (SoD).
Aýlaw: meýilnama boýunça (gol çekmek üçin 3-6 aý), waka boýunça (waka), refresh-tokenler üçin rotate-on-use.
Audit: üýtgemeýän magazinesurnallar: kim, haçan, näme gol çekdi/açdy.
Multi-tenent: per-tenant/brand/region açarlary; BYOK/HYOK müşderiniň talaby boýunça.

5) "Kanalda" (TLS) şifrlemek

5. 1 Iň pes

TLS 1. 2 +, has gowusy TLS 1. 3; Domenlerde HSTS.
Şifrleri: TLS1. 3 - öňünden kesgitlenen (AES_256_GCM_SHA384/ CHACHA20_POLY1305_SHA256).
PFS: ähli esasy epemer alyş-çalyşlary (ECDHE).
ALPN: HTTP/2 we HTTP/3 (QUIC) aňsatlyk bilen goşmak; taýmerlere gözegçilik etmek.

5. 2 Şahadatnamalar, OCSP, pinning

OCSP stapling we gysga zynjyrlar.
Sessiýalary gaýtadan ulanmak: TTL gysga TLS tickets.
0-RTT (TLS 1. 3): seresaplylyk bilen goşmak (diňe GET-ler).
Pinning: diňe 'public-key pinning via TSP/Key continuity' programmalarda/jübülerde (HPKP däl).
mTLS: perimetriň içinde/hyzmatlar bilen hyzmatdaşlaryň arasynda; SAN boýunça attestasiýa.

5. 3 gRPC/HTTP/QUIC

gRPC Deadline we meta-maglumatlary iberýär - per-try timeout-y barlaň we çäklendiriň.
HTTP/3 (QUIC) first-byte çaltlaşdyrýar; WAF/balanslaýjylaryň laýyklygyny barlaň.

6) mTLS we hyzmat-meş

Gysga şahadatnamalary awtomatiki bermek üçin SPIFFE/SPIRE ýa-da mesh-CA (7-30 gün).
Syýasatçylar: kim kim bilen gürleşýär (SVID → SVID), L7 derejesinde authZ.
Aýlanyş - aç-açan; trust-bundle täzelenmeleri arkaly revoke.

7) Öndürijilik we peýdalanmak

AES-NI: goldawly serwerlerde - AES-GCM has çalt. Ykjam/köne CPU-larda - ChaCha20-Poly1305.
TLS sazlamak: PFS bilen gysga açarlar, ýöne amatly çäklerde (P-256/25519); El çarpyşmalaryň keşi.
Batching: ownuk soraglary azaltmak; TLS-overhead birikmeleriň sanyna proporsional.
Offload: TLS perimetrde (Envoy/NGINX), içinde - mTLS mesh.

8) Syr we log syýasaty

Diňe KMS/Vault-da syrlar; Kubernetes - etcd şifrlemek + KMS-üpjün ediji.
Log gadaganlygy: açarlar/bellikler/PAN/syrlar; gizlemek.
Snapshotlar/dampalar: şifrlemek we çäklendirmek; açarlara ýüzlenmelere gözegçilik etmek.

9) Konfigikler we mysallar

9. 1 NGINX (TLS berk profil)

nginx ssl_protocols TLSv1. 2 TLSv1. 3;
ssl_prefer_server_ciphers on;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384;
ssl_ecdh_curve X25519:P-256;
ssl_session_timeout 10m;
ssl_session_cache shared:SSL:50m;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

9. 2 Envoy (mTLS apstrime, psevdo)

yaml transport_socket:
name: envoy. transport_sockets. tls typed_config:
common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_2 tls_certificate_sds_secret_configs:
- name: service_cert # client certificate validation_context_sds_secret_config:
name: mesh_ca_bundle # trusted roots

9. 3 AEAD ulanmagyň mysaly (psevdo)

pseudo nonce = random(12)
ciphertext, tag = AES256_GCM. encrypt(key=DEK, nonce, aad=tenant    object_id, plaintext)
store(nonce    ciphertext    tag)

10) Aýlaw we yzyna alnan açarlar

JWT üçin JWKS/' kid '; gysga 'exp'.
TTL bilen bellikleri yzyna almak üçin 'jti '/' sid' sanawlary.
HMAC syrlary (webhuk): active + kanar; ikisiniňem iň soňky senä çenli kabul edilmegi.
TLS: T-30/T-7/T-1 alertleri, awtomatiki uzaldyş, howpsuz kanary.

11) Syn etmek we alertler

Метрики: `tls_handshake_fail_total{reason}`, `tls_version_share`, `cipher_share`, `ocsp_stapling_errors`, `kms_ops_total{op}`, `decrypt_fail_total`, `jwks_kid_share`.
Giriş ýazgylary: teswirnama/wersiýa/şifr (syrsyz).
Alertler: gutarýan şahadatnamalar, "bad _ record _ mac" köpelýär, "ynamsyz zynjyrlaryň" ösüşi, şowsuz şifrlemeler.

12) iGaming/Maliýe aýratynlyklary

PAN-safe akymlary: tokenizasiýa, diňe tokenleri saklamak; PAN - PSP/token ammarynda.
PCI DSS: kart eýeleriniň maglumatlaryny şifrlemek, açarlara girmegi çäklendirmek, kripto amallarynyň magazineurnaly, toruň segmentasiýasy.
Sebitlilik: oýunçynyň sebitindäki açarlar we maglumatlar (gizlinlik/özygtyýarlylyk).
Backoffice: mTLS + SSO, gysga sessiýalar, administratorlar üçin FIDO2.

13) Antipatternler

TLS < 1. 2; rugsat berlen gowşak şifrler/RC4/3DES.
Umumy "baky" syrlar we aýlawsyz açarlar we 'kid'.
GCM-de IV/nonce gaýtalamak (howpsuzlyk üçin ölüm howply).
Syr/açar/pan-data girelgeleri.
Diňe duýgur ýerleri şifrlemezden TDE.
HPKP-pinning önümi ("öz-özüni ýapmak" töwekgelçiligi).
write/indempotent däl soraglara 0-RTT.

14) Prod-taýynlyk çek-sanawy

  • Maglumatlaryň klassifikasiýasy we şifrlemek syýasaty (per-class).
  • AEAD (AES-GCM/ChaCha20-Poly1305); täsin nonce; Parollar üçin Argon2id.
  • Envelope-şifrlemek: DEK per-obýekt/tenant; KEK в KMS/HSM.
  • TLS 1. 2+/1. 3, HSTS, OCSP stapling; kodlar toplumy.
  • mTLS içinde; gysga şahadatnamalaryň awtomatiki berilmegi/aýlanylmagy.
  • JWKS/' kid ', gysga' exp ',' jti 'sanawlary; gizlin/sertleriň örtük bilen aýlanmagy.
  • Bellikler we ýazgylar şifrlenendir; giriş we amallar audit edilýär.
  • TLS/KMS/JWKS boýunça daşbordlar/alertler; zaýalanma we canary synaglary.
  • Dokumentasiýa: hadysalaryň proseduralary (açar/sertiň eglişigi).

15) TL; DR

Hemme ýerde şifrläň: kanalda - TLS 1. 3/1. 2 PFS we berk perimetri bilen; içinde - mTLS. Diňe - KMS/HSM-de açarlary bolan envelope (DEK/KEK), duýgur meýdançalary granulýar şifrläň. Açarlary 'kid '/JWKS we yzygiderli aýlanyş arkaly dolandyryň, kripto amallarynyň ýazgylaryny saklaň. AES-GCM (ýa-da ChaCha20-Poly1305) saýlaň, reuse-nonce, bellikleri/ýazgylary şifrlemäň. iGaming/PAN üçin - tokenizasiýa we PCI-aňly segmentasiýa.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Telegram
@Gamble_GC
Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.