Firewall we traffigi süzmek

(Bölüm: Tehnologiýalar we infrastruktura)

Gysgaça gysgaça

Faervol perimetrde bir guty däl-de, L3-L4-den L7-e çenli süzmegiň gatlak modeli: bulut howpsuzlygy toparlary/NACL, Kubernetes-de tor syýasatçylary, egress-gözegçilik (çykyş), WAF we edge-de bot dolandyryşy we mTLS/hyzmat üçin hakykat çeşmesi Hyzmat. iGaming üçin esasy zat töleg akymlaryny we oýun üpjün edijilerini goramak, geo-syýasat, DNS gözegçiligi we gözegçilik etmek (kim, nirede, haçan we näme üçin).

1) Maksatlar we ýörelgeler

Default deny: Iň az talap edilýänlere rugsat berýäris.
Defense-in-depth: perimetr, bulut, klaster we programmada birmeňzeş syýasatlar.
Egress-first: çykyş traffigi giriş traffigi ýaly töwekgelçilikdir (PSP, oýun üpjün edijileri, poçta, analitika).
Şahsyýet> salgy: mümkin bolan ýerlerde ýalaňaç IP-leriň ýerine şahsyýet boýunça (mTLS/Spiffe) ygtyýar edýäris.
Gözegçilik we audit: çözgütleriň ýazgylary (allow/deny), yzarlamalar, hadysalar bilen baglanyşyk.

2) Süzgüç gatlaklarynyň kartasy

1. Edge: CDN/WAF/DDoS/bot-gorag, L7-düzgünler, TLS-terminasiýa.
2. Bulut: VPC/kiçi ulgam/VM derejesinde Howpsuzlyk Toparlary/NACL/Firewall Rules.
3. Klaster: Kubernetes NetworkPolicy, mTLS we L7-süzgüçli hyzmat-mesh (Envoy/Istio).
4. Host: iptables/nftables/ufw, agent eBPF-süzgüçleri.
5. Programma: rate-limit/idempotency/WAF in-app, egress üçin domen sanawlary.
6. DNS: split-horizon, allowlist rezolwerleri, töwekgelçilik domenleri/görnüşleri.

3) Perimetri: WAF, DDoS we bot-dolandyryş

WAF: esasy alamatlar + API (JSON-shemalar, usullar/mazmun görnüşi) üçin ýörite düzgünler.
Botlar: özüni alyp baryş skoring, device fingerprint, anomaliýalarda dinamiki kapça.
DDoS: L3/4 (wolium/sinaps) we L7 (HTTP floods) - edge-e awtomatiki zyňmak.
Geo/ASN: töwekgelçilikli ugurlar üçin sebitleri/awtonom ulgamlary çäklendirýäris (mysal üçin, dolandyryş paneli).

nginx
Разрешаем только JSON POST/GET на /api/
location /api/ {
limit_req zone=rl_api burst=50 nodelay;
if ($request_method!~ ^(GET    POST)$) { return 405; }
if ($http_content_type!~ "application/json") { return 415; }
proxy_pass http://api_upstream;
}
ModSecurity CRS + собственные правила modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/crs.conf;

4) Bulut: Howpsuzlyk toparlary we NACL

Security Group (stateful) - portlar/teswirnamalar/segmentler boýunça süzgüçler.
NACL (stateless) - kiçi torlaryň gödek süzülmegi.

yaml security_group:
name: api-sg ingress:
- proto: tcp; port: 443; cidr: 0.0.0.0/0 # через CDN/WAF egress:
- proto: tcp; port: 443; cidr: 203.0.113.0/24  # PSP-X
- proto: tcp; port: 443; cidr: 198.51.100.0/24 # ProviderA
- proto: udp; port: 53; cidr: 10.10.0.10/32  # только наш DNS

Amal: tölegler üçin aýratyn SG we egress-allowlist-i PSP/oýun üpjün edijileriniň anyk diapazonlarynda saklamak. Täzelenmeler - IaC we rewyu arkaly.

5) Kubernetes: NetworkPolicy we hyzmat-mesh

NetworkPolicy klasteriň içindäki L3/4 çäklendirýär; "hemmeler hemmeler bilen gürleşýär" - ýapyň.

yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: deny-all, namespace: prod }
spec:
podSelector: {}
policyTypes: [Ingress, Egress]
ingress: []
egress: []
---
Разрешаем API разговаривать с платежным сервисом и DNS apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-allow-specific, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]
- to:
- ipBlock: { cidr: 10.10.0.10/32 }
ports: [{ protocol: UDP, port: 53 }]

• mTLS hemme ýerde (IP däl-de, identifikasiýa hyzmatlary).
• L7-süzgüç (usullar/hostlar/ýollar/sözbaşylar), circuit-breaker, outlier-ejection.
• Hyzmat hasaby boýunça giriş syýasaty/Spiffe ID.

yaml apiVersion: security.istio.io/v1 kind: AuthorizationPolicy metadata: { name: api-to-payments, namespace: prod }
spec:
selector: { matchLabels: { app: payments } }
action: ALLOW rules:
- from:
- source:
principals: ["spiffe://prod/ns/prod/sa/api-sa"]
to:
- operation:
methods: ["POST"]
paths: ["/deposit","/withdraw"]

6) Hostlar: iptables/nftables/eBPF

nft table inet filter {
sets {
psp { type ipv4_addr; elements = { 203.0.113.10, 203.0.113.11 } }
}
chains {
input { type filter hook input priority 0; policy drop;
ct state established,related accept iifname "lo" accept tcp dport {22,443} accept
}
output { type filter hook output priority 0; policy drop;
ct state established,related accept udp dport 53 ip daddr 10.10.0.10 accept  # только наш DNS tcp dport 443 ip daddr @psp accept    # egress к PSP
}
forward { type filter hook forward priority 0; policy drop; }
}
}

eBPF agentleri (Cilium we ş.m.) inçe L3-L7 syýasatlaryny we görünmegini (flows, DNS, HTTP-meta-maglumatlar) berýär.

7) Egress-gözegçilik we belleniş kataloglary

Daşarky jaňlar üçin Allowlist domenleri/IP (PSP, poçta, KYC, oýun üpjün edijileri).
DNS-pinning/SNI-syýasatlar: diňe ynanylan rezolwer arkaly doldurmak; çig IP-egress-i gadagan etmek.
Töleg, oýun we umumy konturlar üçin aýratyn VPC/VNet egress.
PII däl traffik üçin TLS barlagy bolan proxy; töleg akymlary - MITM-siz, diňe göni mTLS/PII-safe.

8) TLS/mTLS we kripto syýasaty

TLS 1. 2 +, häzirki zaman şifrleri, OCSP stapling, HSTS.
mTLS içerde - Spiffe ID-e baglanyşyk/hyzmat hasaplaryny tassyklamak.
Şahadatnamalary yzygiderli aýlamak we ynam zynjyrlaryny barlamak.
Öň tarapdaky hüjüm çeşmelerini kesmek üçin L7-proxy-da CORS/CSP.

9) Rate-limit we L7-kwotalar

IP/ASN/prefiksler boýunça edge-çäkler; goşundy çäkleri - şahsyýet boýunça (hasap/tenant/açar).
Retralar goşa bolmazlygy üçin POST töleg amallary üçin idempotency-keys.
Leaky/Token bucket jitter; pese gaçanda - "çal jogaplar "/kapça/haýallamak.

10) DNS howpsuzlygy

Diňe korporatiw rezolwerlere rugsat berilýär (VPC resolver/CoreDNS).
Split-horizon: Içerki atlar daşardan bölünmeýär.
Zyýanly TLD/kategoriýalaryň bloky, DoH/DoT-ni daşardan gadagan etmek.
Soraglary logirlemek we anomaliýalar boýunça alerting (täze domenler, ýygy-ýygydan NXDOMAIN).

11) Lagerler, gözegçilik etmek we synag

Fairwol girelgeleri (allow/deny, düzgünler, baýtlar), WAF-audit, DNS-girelgeleri → SIEM/SOAR.
Exemplars: 'trace _ id' → bilen blokirlemegiň metrikleri.
Sintetika: PSP/oýun üpjün edijileriniň zerur sebitlerden elýeterliligini yzygiderli barlamak.
Toruň bulam-bujarlyk synaglary: packet loss, RTT, DNS-ýalňyşlyklar - düzgünleriň we awto-remediasiýalaryň reaksiýasyny barlaýarys.

12) Awtomatlaşdyryş we IaC

Ähli düzgünler kod ýaly (Terraform/Ansible/Helm/Kyverno/Gatekeeper).
Howpsuzlyk syýasatçylary bilen Pull-request-revyu (OPA).
Wersiýalaşdyrmak we düşündirişler: düzgünleriň islendik üýtgemegi grafiklerde bellenilýär.
Kanar üýtgemeleri: tor syýasatlaryny ýuwaş-ýuwaşdan ýaýratmak (namespace/label, 5-10% pod).

13) iGaming aýratynlyklary

Töleg ugurlary (PSP): aýry-aýry egress-toparlar, berk allowlist, kodlaryň/wagtlaryň gözegçiligi.
Oýun üpjün edijileri: CDN domenlerini whitelisting, duýdansyz redaktorlardan goramak.
Geo-düzgünler: ýerli çäklendirmelere laýyk gelmek, edge.
Backoffice/KYC: diňe ygtybarly torlardan/bastion + MFA arkaly giriş.
Frod: L7 welocity çäkleri we anomal çeşmeleriň API-sine "agyr" haýyşlar.

14) Çalt düzgünleriň mysallary

UFW (host)

bash ufw default deny incoming ufw default deny outgoing ufw allow 22/tcp ufw allow 443/tcp ufw allow out to 10.10.0.10 port 53 proto udp ufw allow out to 203.0.113.0/24 port 443 proto tcp

Istio EnvoyFilter (adaty däl usullary gadagan etmek, ideýa)

yaml typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.http.router.v3.Router до роутера — Lua/Match для блокировки методов not in [GET,POST,OPTIONS]

NGINX rate-limit

nginx limit_req_zone $binary_remote_addr zone=rl_api:10m rate=10r/s;
server {
location /api/ { limit_req zone=rl_api burst=50 nodelay; proxy_pass http://api; }
}

15) Girizmegiň çek-sanawy

1. Bulut (SG/NACL), klaster (NetworkPolicy) we hostlar derejesinde default deny.
2. PSP/üpjün edijilere egress-allowlist, biz diňe ynanylan DNS arkaly çözýäris.
3. WAF/bot-dolandyryşy/DDoS edge, L7-düzgünleri REST/JSON we ýüklemek.
4. Hyzmatlaryň arasynda mTLS, şahsyýetiň ygtyýarnamasy (Spiffe/SA).
5. edge we programmada rate-limit/quotas, tölegler üçin idempotency-keys.
6. DNS syýasaty: DoH/DoT, split-horizon, loging gadaganlygy.
7. Logi we SIEM: allow/deny/WAF/DNS merkezleşdirilen kolleksiýa, anomaliýalar boýunça alertler.
8. IaC-prosesler: düzgünleriň kody, PR-revýu, kanareýanyň aýlawlary, düşündirişler.
9. Synaglar/bulam-bujarlyk: RTT/loss/DNS-şowsuzlyklar, fallback-marşrutlary we awto-skriptleri barlamak.
10. Yzygiderli barlaglar: ulanylmaýan düzgünleriň barlagy, PSP/CDN salgylarynyň aýlanmagy.

16) Anti-patternler

"Hemme zady açyň we WAF-a umyt ediň" - perimetri içerki traffigi tygşytlamaz.
Egress-gözegçiligiň ýoklugy - syzmak/C2 üçin lampa tuneli.
Allow-all NetworkPolicy in Kubernetes - gapdal hereket kepillendirilýär.
Diňe domen/DNS gözegçiligi bolmazdan dinamiki CDN/PSP dünýäsinde IP süzülýär.
Içerde mTLS bolmasa TLS terminasiýasynyň ýeke-täk nokady hyzmatlary çalyşmakdyr.
IaC/auditsiz önümde düzgünleriň el bilen düzedilmegi - dikeldilmezlik we bergiler.
"Hiç ýere" - gözegçilik edilmezden diňe "gara guty".

Netijeler

Traffigiň netijeli süzülmegi, edge-WAF we bulut SG-den klasteriň içinde NetworkPolicy we mTLS-e çenli, PSP/üpjün edijilere berk egress gözegçiligi we IaC arkaly dolandyryşy bolan platformanyň binagärlik matasydyr. Şeýle ulgam syzmak we hüjüm howpuny peseldýär, SLO-nyň çäginde tölegleri we oýunlary saklaýar we doly audit we gözegçilik arkaly wakalary çalt derňemäge kömek edýär.