Senagat gurşawyny berkitmek we audit

1) Jogapkärçiligiň maksatlary we zolagy

• hüjüm meýdanyny we Blast Radius-y azaltmak;
• üpjün etmegiň kanallaryny, hasaplaryny, syrlaryny we artefaktlaryny goramak;
• wakalary MTTR maksatlaryndan has çalt anyklamak we jogap bermek;
• standartlara laýyklygyny tassyklamak (GDPR/PCI DSS/ýerli düzgünler);
• ähli möhüm hereketleriň barlanylmagyny (auditability) saklamak.

Esasy ýörelgeler: Zero Trust, Least Privilege, Segmentation, Everything-as-Code, Security-by-Default.

2) Tor perimetri we segmentasiýasy

Segmentler: Edge (WAF, bot dolandyryşy, DDoS), DMZ (gateway), App (mikroservisler), Data (BD/keşler), Backoffice/Ops (CI/CD, observability).
L4/L7 syýasatlary: deny-by-default, servisler/neýspeisler/portlar boýunça aç-açan allow.
mTLS klasteriň içinde; TLS 1. 2 + perimetrde, HSTS, ygtybarly şifrler.
Giriş süzgüç: WAF (OWASP Top-10), anti-bot, rate limits, geo/ASN-bloklar, CAPTCHA töwekgelçilik ýolunda.
DDoS protection: always-on + auto-mitigation, API/statik mazmun üçin aýratyn profiller.
Egress-control: diňe üpjün edijiler üçin zerur daşarky hostlar (PSP/KYC/oýunlar).

3) Şahsyýetler, elýeterlilik we artykmaçlyklar (IAM/PAM)

SSO (OIDC/SAML) + adamlar üçin MFA; OIDC-tokenler/Workload Identity hyzmatlar üçin.
RBAC/ABAC: iň az zerur çözgütli rollar; "break-glass" audit we TTL girişi.
PAM: islege görä artykmaç sessiýalary ýazmak, doly ýazga almak we žurnallaşdyrmak.
CIEM (bulutlar): artykmaç hukuklary we öli rollary gözlemek, awto-remediasiýa.
Nusga maglumatlaryna elýeterlilik: diňe tassyklanan jump/proxy arkaly, PII maskasy bilen.

4) Syrlar we kriptografiýa

KMS/HSM: açarlary saklamak, envelope-şifrlemek, habarnamalar bilen aýlanmak.
Gizlin dolandyryjy: gysga ömürli kredtler, Git/loglardan syrlary aýyrmak.
Gollar: artefaktlar (cosign), webhooks (HMAC), hyzmat bellikleri.
PAN/PII meýdanlary: at-rest bellik/şifrlemek; bloglarda we prevýumda gizlemek.
Aýlanyş syýasaty: açarlar/şahadatnamalar/parollar - düzgünli we mejbury.

5) Konteýnerler we kubernetler (CWPP/KSPM)

Esasy şekiller: iň az, CI-de gowşaklyk skany; rootless mümkin bolan ýerlerde.
Admission-politics (OPA/Gatekeeper/Kyverno): gadaganlyk ': latest', 'privileged', hostPath; şekilleriň gol çekilmegini talap edýäris.
NetworkPolicies: Diňe zerurlyk boýunça hyzmatara aragatnaşyk.
PodSecurity: çäklendirilen capabilities, read-only FS, seccomp, AppArmor.
Syrlar: Secret Store CSI (KMS) -den; manifestlerde hiç hili plain-syr ýok.
Runtime-gorag: özüňi alyp barşyň düzgünleri (eBPF), anomaliýalarda alertler.

rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6) Eltip bermek zynjyry: ynanmak, ýöne barlamak

Her bild üçin SBOM; saklamak we goýbermek bilen baglanyşdyrmak.
Şekilleriň/manifestleriň gollary, admission-gözegçide barlamak.
SLSA-attestasiýa: artefaktlaryň subut edilip bilinjek gelip çykyşy.
Policy-as-Code: Conftest/OPA saklamak üçin Terraform/Helm/K8s.
Protoda "last-minute patching" gadaganlygy: ähli üýtgeşmeler diňe pipline arkaly.

7) Gowşaklygy we ýamalary dolandyrmak

SCA/SAST/DAST в CI; critical/high üçin gulplama bosagalary.
Täzelenmeleriň hepdelik batçlary (şekiller, OS-paketler, kitaphanalar) + gyssagly meýilnamadan daşary.
Ýerine ýetirilen düzedişler → CVE/SBOM bilen baglanyşykly biletler/goýberişler.
EASM: hüjümiň ýüzüne daşarky syn (subtomenler, açyk portlar, şahadatnamalar).
Yzygiderli pen-synaglar: ýylda azyndan bir gezek + möhüm akymlar boýunça nyşana (tölegler/KUS).

8) Auditiň artefaktlarynyň ýazgylary, metrikleri, yzarlamalary we saklanylyşy

Standartlaşdyrylan loglar (JSON) 'trace _ id', 'request _ id', user/tenant/geo (lakamly), PII/PAN-syz.
Metrikler: p50/p95/p99, error-rate, saturation, DLQ, retrai, biznes-KPI (Wagt-to-Wallet).
Traýsing (OTel): möhüm ugurlar üçin end-to-end (goýum/KUS/çykarmak).
SIEM: wakalaryň baglanyşygy (autentifikasiýa, rollaryň üýtgemegi, administratiw hereketler, WAF/bot düzgünleri).
SOAR: awto-reaksiýalar (pod izolýasiýasy, tokeni yzyna almak, IP/ASN bloky, goýberilmegini gadagan etmek).
Retenshn: operasiýa ýazgylary - 30-90 gün gyzgyn saklamak, audit-artefaktlar - has uzyn, syýasatlar boýunça.

json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9) Antibot, galplyk we gorag ssenarileri

Bot-dolandyryş: alamatlar/özüni alyp baryş, device-fingerprint, dinamiki kynçylyklar.
Rate limits/quotas: per-user/tenant/IP; anomaliýalarda uýgunlaşýar.
Möhüm nokatlarda RASP datçikleri (webhooks goluny aýlamak synanyşyklary, sagat süýşmesi, gaýtadan eltip bermek).
Fraud-signallar: kanallar boýunça baglanyşyk (loginler, tölegler, KYC), awto-eskalasiýa.

10) Ätiýaçlyk, DR we BCP

RTO/RPO maksatlary kesgitlenýär we synagdan geçirilýär (mysal üçin, RTO ≤ 1 sagat, RPO ≤ töleg DB üçin 5 minut).
Arka gaplar: şifrlenen, wagtal-wagtal oflayn ammarda; Yzygiderli dikeldiş synaglary.
Geo-köpeltmek: sebitler boýunça aktiw-passiw/aktiw-aktiw; TTL dolandyryşly DNS-faýlower.
Möhüm garaşlylyk katalogy (PSP/KYC/oýun agregatorlary) we geçiş meýilnamalary.

11) Wakalar we jogap bermek

Runbooks: üpjün edijiniň ýykylmagy, gizlinligiň ýokarlanmagy, tokeniň eglişigi, DDoS üçin.
On-call: 24/7, aýlawlar we blast-page; bilelikdäki "war-room" tejribe.
Aragatnaşyklar: müşderilere/hyzmatdaşlara we düzgünleşdirijilere habar şablonlary.
Post-mortem (blameless): gaýtalanmagyň öňüni almak, syýasatlary/pleýbuklary täzelemek.

12) Gabat gelmek we gizlinlik

GDPR: maglumatlary azaltmak, razylyk registrleri, aýyrmak/portlamak hukugy; Täze üpjün edijiler üçin DPIA.
PCI DSS: tokenizasiýa/izolirlenen PAN zolaklary, tor segmentleri, berk giriş magazinesurnallary.
Ýerli talaplar (bazarlaryň ýurisdiksiýalary): sebitde maglumatlaryň saklanylmagy, hasabatlylyk, täzelenmeleriň penjireleri.
Data Lineage: PII/PAN nireden we nädip akýar; DevPortal-da shemalar we DPIA.

13) Audit: görnüşleri, artefaktlary we aýlawy

• Içerki (çärýekde): syýasatlara laýyk gelmek, üýtgeşmelere, elýeterlilige, syrlara, ýazgylara, paýlaýnlara gözegçilik etmek.
• Daşarky (her ýyl/talaplar boýunça): PCI/GDPR/lokal düzgünleşdirijiler, pen-synaglar, üpjün edijileriň SOC-hasabatlary.

• Howpsuzlyk syýasaty, rollaryň IAM-matrisa, möhleti gutarýan kadadan çykmalaryň sanawy.
• Infrastruktura üýtgemeleriniň ýazgylary (IaC), CI/CD hasabatlary (SBOM, gollar, synaglar).
• Üpjün edijileriň sanawy (PSP/KYC/oýunlar), DPIA/wendor-töwekgelçilik bahalandyrmalary, şertnamalar we SLA.
• Önüme girmegiň žurnallary, syrlaryň aýlanmagynyň netijeleri, SIEM/SOAR hasabatlary.
• DR/BCP meýilnamalary we soňky dikeldiş synaglarynyň teswirnamalary.

• "Evidence-first": her bir tejribe - barlanylýan artefakt.
• "No humans in prod": iň köp paýlaýnlar we tassyklanan arzalar arkaly; ähli sessiýalar - magazineurnalyň aşagynda.
• "Trace everything": üýtgeşmeleri hadysalar/metrikler bilen baglanyşdyryň.

14) Guardrails-as-Code: mysallar

rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

AdmissionPolicy (K8s): howpsuzlyk belliklerini we çeşme çäklerini talap edýäris

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15) Senagat gurşawynyň gündelik arassaçylygynyň çek-sanawy

• WAF/bot syýasatçylary işjeň, alamatlar täzelendi; anti-DDoS always-on re modeiminde.
• Topardaky admission-dolandyryjylar gözegçilik däl, enforce ýagdaýynda.
• Prod-şekilleriň hemmesi gol çekildi; SBOM elýeterlidir we goýberilýär.
• critical/high gowşaklygy - ýok ýa-da senesi bilen kadadan çykmalar bilen kesgitlenýär.
• Syrlaryň/şahadatnamalaryň aýlanmagy - meýilnama boýunça, gijikdirmeler ýok.
• SIEM IAM/relizlere girmek/üýtgetmek wakalaryny baglanyşdyrýar; SOAR pleýbuklary synagdan geçirilýär.
• Bekaplar geçdi, programmada dikeldiş synagy; DR-meýilnamasy waliden.
• Önüme giriş - diňe SSO + MFA/PAM arkaly; ähli sessiýalar ýazylýar.
• "No PII in logs" - skanerler tarapyndan tassyklanýar; gizlemek açykdyr.
• Release gates we gözegçilik "as-code" täzelendi.

16) Kämillik modeli (gysgaça)

1. Esasy - el bilen üýtgeşmeler, bitewi perimetr, bölekleýin gözegçilik.
2. Ösen - segmentasiýa, IAM/RBAC, gol çekilen artefaktlar, WAF/DDoS, SIEM, yzygiderli ýamalar.
3. Bilermen - Zero Trust, guardrails-as-code, SLSA-attestasiýa, runtime-gorag, SOAR-awtomatlaşdyryş, "no humans in prod", üznüksiz audit.

17) Durmuşa geçirmegiň ýol kartasy

M0-M1 (MVP): tor segmentasiýasy, WAF/DDoS, SSO + MFA, KMS, esasy Admission-policy, standartlaşdyrylan loglar/metrikler/söwdalar, SIEM.
M2-M3: şekilleriň gollary we admission, SBOM, IaC, PAM üçin Conftest/OPA-ny barlamak, aýlanyş meýilnamasy, yzygiderli ýamalar, ilkinji DR-synaglar.
M4-M6: SOAR-pleýbuklar, eBPF/runtime-detekt, EASM, complayens-paket (PCI/GDPR), audit artefaktlarynyň doly toplumy, sebitler boýunça ring-DR.
M6 +: Zero-Trust tor (mTLS hemme ýerde), CIEM, auditiň awtomatlaşdyrylan gözegçilik hasabatlary, yzygiderli "purple-team" synag.

Gysgaça netije

Güýçli önüm "demir" düzgünleriň toplumy däl-de, ulgamdyr: segmentasiýa, berk şahsyýetler we syrlar, goralýan üpjünçilik, dolandyrylýan gaplar, gözegçilik etmek we awtomatlaşdyrylan reaksiýa. Muňa barlanylýanlygy goşuň (auditiň artefaktlary, SBOM/gollar, magazinesurnallar) we senagat gurşawy öňünden aýdyp boljak, dolandyrylýan we daşarky barlaglara taýyn bolýar - relizleriň tizligi we işewür SLO boýunça eglişik etmezden.