GH GambleHub

Infrastrukturadaky howpsuzlyk gatlaklary

(Bölüm: Tehnologiýalar we infrastruktura)

Gysgaça gysgaça

Howpsuzlyk gatlaklaryň ulgamydyr: her gatlak öňküsi şowsuz bolsa hüjümleri saklaýar we ýüze çykarýar. iGaming üçin bu aýratyn möhümdir: töleg akymlary, PII, hyzmatdaş integrasiýalary we iň ýokary ýükler. Aşakda - tor, şahsyýet, programmalar, maglumatlar we amal amallaryny bir dolandyrylýan maksatnama birleşdirýän defense-in-depth çarçuwasy.

1) Howplaryň nusgasy we esasy ýörelgeler

Threat Modeling: Esasy akymlar üçin STRIDE/kill chain (giriş, depozit, stawka, netije, arka ofis).
Zero Trust: "adaty ynanmaň", iň az hukuklar, her hopda barlamak.
Least Privilege & Segregation of Duties: rollar atom, duýgur amallar bölünýär.
Secure by Default: ýapyk portlar, deny-all syýasatlar, howpsuz defoltlar.
Auditability: ähli elýeterlilik/üýtgeşmeler - merkezleşdirilen auditde.

2) Tor we perimetri

Maksat: gapdal hereketiň öňüni almak we töwekgelçiligi izolýasiýa bilen dolandyrmak.

Segmentasiýa/zonalar: Edge (CDN/WAF) → API → hyzmatlar → maglumatlar (DB/KMS) → admin/backofis.
VPC/VNet izolýasiýa + jemgyýetçilik/hususy hyzmatlar üçin kiçi ulgamlar; NAT/egress-gözegçilik (şol sanda PSP/oýun üpjün edijilerine egress-allowlist).
mTLS hemme ýerde (mesh/Ingress), TLS 1. 2 +/HSTS/aýdyň kriptokonfigurasiýa.
WAF/bot-dolandyryş/DDoS perimetrde; credential stuffing üçin anti-skoring.
DNS howpsuzlygy: bölünen horizon, DNSSEC, şowsuzlyga çydamlylyk, möhüm domenler üçin kesiş-pinning.

Пример: Kubernetes NetworkPolicy (deny-all + allow-list): 
yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-deny-all, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
ingress: [] # deny-all egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]

3) Şahsyýet we elýeterlilik (IAM/PAM)

Maksat: Her bir giriş esasly, çäkli we aç-açan audit edilýär.

Adamlar we maşynlar üçin SSO + MFA; artykmaç hasaplar üçin enjam açarlary.
Bulut/K8s/arka ofis üçin RBAC/ABAC; SCIM - awtomatiki açmak/öçürmek.
JIT-giriş (wagtlaýyn), güýçlendirilen audit bilen break-glass.
Gysga ömürli tokenler bilen Service Accounts (OIDC/JWT), müşderi syrlarynyň barlagy.
Bastion/aýna buýruklary: prod-DB/düwünlere girmek - diňe bastion we ýazga alyş sessiýalary arkaly.

4) Syrlar we açarlar

Maksat: syzmagy aradan aýyrmak we açarlaryň dolandyrylýan durmuş siklini üpjün etmek.

KMS/HSM (ussat açary), yzygiderli aýlanyş; açarlary zolaklar/maksatlar boýunça bölmek.
dynamic-creds we lease bilen gizlin saklaýyş (Vault/Cloud KMS Secrets).

Şifrlemek:
  • Envelope encryption -dan At rest (DB/baketler/snapshotlar).
  • In transit (TLS/mTLS).
  • Töleg maglumatlary üçin tokenizasiýa; PAN-safe akymlary we 3-domain security (PCI DSS).
Mysal: Vault syýasaty (bölek): 
hcl path "kv/prod/payments/" {
capabilities = ["read","list"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}

5) Konteýnerleriň we kubernetleriň howpsuzlygy

Maksat: hüjümiň ýüzüni kärendäniň derejesinde azaltmak.

Şekiller: iň az esasy, kompilyatorsyz/şellsiz; gollar (cosign) we SBOM.
Admission-control (OPA/Gatekeeper/Kyverno): gadaganlyk ': latest', 'privileged', 'hostPath', 'root'.
Runtime-политики: Seccomp/AppArmor, `readOnlyRootFilesystem`, `drop ALL` capabilities + allow-list.
Secrets gizlin dolandyryjydan volume/env hökmünde; bake-in şekilsiz.
PodSecurity (или Pod Security Admission): enforce restricted.
Registrler: Şahsy, gowşaklygy barlamak bilen (SAST/DAST/CSA).

Gatekeeper Constraint (mysal): 
yaml apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sAllowedRepos metadata: { name: only-internal-registry }
spec:
repos: ["registry.internal.local/"]

6) Supply-chain и CI/CD

Maksady: komitden önüme çenli artefaktlara ynanmak.

Branch-policies: kod-rewyu, goralýan şahalar, hökmany barlaglar.
Artefaktlaryň goly we provenance (SLSA/COSIGN), üýtgemeýän bellikler (immutabel şekiller).
SBOM (CycloneDX/SPDX), Dependabot/Renovate we pinning endikleri.
CI izolýasiýasy: efemer rannerleri, syrlar diňe goralýan joblarda, no-plaintext.
CD-geýtlar: quality/SAST/ygtyýarnamalar/satyjy-syýasatlar; Diňe GitOps arkaly mahabatlandyrylýar.

7) Programma howpsuzlygy (API/web/mobil)

Maksat: logiki we tehniki hüjümleriň öňüni almak.

AuthN/AuthZ: OAuth2/OIDC/JWT; gysga TTL, açar aýlawlary, audience/issuer barlaglary.
Input Security: tassyklamak/kadalaşdyrmak, sanjymlardan goramak, parametrleri bolan şablonlar.
CSP/HSTS/XFO/XSS-Protection, berk CORS, ýüklenýän MIME/ululyklaryň çäklendirilmegi.
Rate limit/quotas, idempotency-keys tölegler/tölegler üçin.
Ficheflagy: howply funksiýalar üçin çalt öldürmek-switch.

NGINX security headers (bölek): 
nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:;" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;

8) Maglumatlar, PII we komplayens (şol sanda PCI)

Maksat: iň az ýygym, iň az elýeterlilik, iň ýokary aç-açanlyk.

Data-zones/классы: `public/internal/confidential/pii/pci`. Ammar we log bellikleri.
PII-iň minimallaşdyrylmagy: "player _ id" lakamlaşdyrylmagy, töleg rekwizitleriniň tokenizasiýasy.
Saklamak syýasaty: gyzgyn/sowuk, audit üçin WORM; TTL boýunça awtomatiki aýyrmak.
Giriş: diňe ylalaşylan rollar we atributlar arkaly (sebit/maksat).
PCI segmentasiýasy: izolirlenen segment, giriş magazinesurnallary, yzygiderli skanerler/ASV.

9) Edge gatlak: CDN/WAF/DDoS/bot goragy

Maksat: "zibili" platformanyň özenine çenli süzmek.

CDN: geo-bloklar, kesh strategiýalary, layer-7-den gorag.
WAF: esasy alamatlar + API (JSON-shemalar, standart däl usullary gadagan etmek) üçin ýörite düzgünler.
Botlar: özüni alyp barşyň seljermesi, anomaliýalarda device fingerprint, rate-limit/kapçi.
TLS/ALPN: Köne şifrleri öçürmek, OCSP stapling-i açmak.

10) Gözegçilik, telemetriýa we SecOps

Maksat: hüjümleri görmek we wakadan öň jogap bermek.

Syn edilişi: metrikler/loglar/treýslar 'trace _ id' we audit-meýdanlar bilen.
SIEM/SOAR: Wakalaryň baglanyşygy (tassyklamak, IAM-yň üýtgemegi, WAF-yň işlemegi, syrlara girmek).
Tapmagyň düzgünleri: 401/403 partlamalary, role-escalation, köpçülikleýin tölegler, geo anomaliýalary.
Skaner: SAST/DAST/IAST, CSPM/KSPM, yzygiderli pene-synaglar we bug-bountiler.
Anti-frod: amallaryň/özüňi alyp barşyň skoringi, velocity-süzgüçleri, sanksiýa sanawlary.

11) Ygtybarlylyk, ätiýaçlyk we işewürlik yzygiderliligi

Maksat: Maglumatlary ýitirmezden we SLA-dan halas bolmak.

DB üçin replikasiýa we PITR, synaglary dikeltmek bilen ýygy-ýygydan snapshotlar.
DR-meýilnamasy: RTO/RPO, sebit faýlower ssenarileri, geçiş synaglary.
DR-daky syrlar: garaşsyz açarlar/KMS göçürmesi, gyssagly aýlaw prosesi.
Resmi gidler: dikeldiş barlag sahypalary we game-day maşklary.

12) Amal amallary we medeniýet

Maksat: howpsuzlygy "adaty" etmek.

Security by PR: duýgur üýtgeşmeler üçin hökmany security-review.
Çykyş syýasatlary: gijeki/iň ýokary penjireler ýapyk; öň uçuş barlag sahypalary.
Secure Runbooks: ygtybarly parametrleri bolan görkezmeler, hereketleriň barlagy.
Okuw: fişing simulýasiýalary, hadysalar boýunça türgenleşikler, "janly" tabletop sessiýalary.

13) Gözegçilik sanawlary (gysgaça)

Tor we perimetri

  • WAF/CDN üçin ähli ingress; DDoS goşuldy
  • Hyzmatlaryň arasynda mTLS; deny-all ulgam syýasatlary
  • Egress-allowlist daşarky üpjün edijilere

Şahsyýet

  • SSO+MFA; Audit bilen JIT we break-glass
  • RBAC/ABAC, SCIM-işden çykarmak
  • Gysga bellikli Service Accounts

K8s/konteýnerler

  • Şekilleriň gollary + SBOM; gadaganlyk ': latest'
  • Seccomp/AppArmor, read-only FS, drop caps
  • Gatekeeper/Kyverno syýasaty we deny-sanawlary

Syrlar/açarlar

  • Vault/KMS, aýlanyş, açar bölünişi
  • Şifrlemek at rest/in transit
  • Tölegler üçin Tokenization

CI/CD и supply-chain

  • Efemer rannerleri; syrlar diňe goralýan joblarda
  • SAST/DAST/ygtyýarnamalar; artefaktlaryň gollary
  • GitOps-mahabat, hil geýtleri

/ PII/PCI maglumatlary

  • Ammarlarda maglumatlaryň klassifikasiýasy we bellikleri
  • Retention/WORM syýasaty; rollara girmek
  • PCI segmentiniň izolýasiýasy, ASV skanerleri

SecOps

  • SIEM/SOAR düzgünleri, eskalasiýa aladalary
  • Anti-frod we velocity süzgüçleri
  • DR meýilnamasy, RTO/RPO synaglary

14) "Berk" syýasatlaryň mysallary

Kyverno: artykmaç konteýnerlere gadaganlyk

yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: { name: disallow-privileged }
spec:
rules:
- name: no-priv match: { resources: { kinds: ["Pod"] } }
validate:
message: "Privileged containers are not allowed"
pattern:
spec:
containers:
- securityContext:
privileged: "false"

OPA (Rego): 'hostNetwork' gadaganlygy

rego package kubernetes.admission

violation[msg] {
input.request.kind.kind == "Pod"
input.request.object.spec.hostNetwork == true msg:= "hostNetwork is not allowed"
}

15) Anti-patternler

"Perimetri goraýarys" içerki mTLS/segmentation → gapdal hereket etmezden.
CI env-üýtgeýjilerindäki syrlar, ýazgylara düşürmek.
Suratlar ': latest', gollaryň ýoklugy we SBOM.
Klasterde allow-all syýasaty; hemme zat üçin umumy nyşanlar.
Açarlary we dikeldiş synaglaryny hakyky aýlamazdan "kagyz ýüzünde" şifrlemek.
Logikany düzetmegiň we maglumatlary tassyklamagyň ýerine WAF-a bil baglamak.
DR/tablisa ssenariýalary ýok - meýilnama "tozanlanýar".

16) Nädip başlamaly (90 günlük meýilnama)

1. 1-2-nji hepde: assetleriň/maglumatlaryň inventarizasiýasy, klassifikasiýa, akymlaryň kartasy.
2. 3-4-nji hepde: mTLS/deny-all tor syýasatlaryny, WAF/DDoS/bot-süzgüçleri öz içine alýar.
3. Hepde 5-6: Vault/KMS, açar aýlawlary, tölegleri bellemek.
4. 7-8 hepde: Gatekeeper/Kyverno, Seccomp/AppArmor, gadaganlyklar 'privileged '/' hostPath'.
5. 9-10-njy hepde: şekilleriň gollary, SBOM, CI/CD geýtleri, GitOps-mahabat.
6. 11-12-nji hepde: SIEM/SOAR düzgünleri, eskalasiýa aladalary, anti-frod.
7. 13-nji hepde: DR-maşk, runabuklary we laýyklyk ýagdaýyny täzelemek (PII/PCI).

Netijeler

Howpsuzlyk gatlaklary "bellikler" toplumy däl-de, çözgütleriň arhitekturasydyr. Tor segmentasiýasyny we Zero Trust, berk IAM, howpsuz konteýnerler/K8s, dolandyrylýan syrlar we kripto, goralýan paýlaýjylar, edge goragy we SecOps-yň gözegçilik ukybyny birleşdiriň. Şonda, hatda hüjümler we şowsuzlyklar ýüze çyksa-da, platforma maglumatlaryň bitewiligini, PII/PCI gizlinligini we esasy akymlaryň - goýumlaryň, stawkalaryň we girdejileriň elýeterliligini islendik ýokary sagatda saklar.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.