GH GambleHub

Veri Şifreleme ve TLS

1) Tehdit haritası ve hedefleri

In-transit: trafik durdurma/değiştirme, MitM, düşürme.
At rest (at-rest): Disk/yedekleme hırsızlığı, DB/log dökümleri, insider'lar.
Anahtarlar: sırların sızması, zayıf rotasyon, yeniden kullanım.
Amaç, ölçülebilir SLO'lar ve yönetilen şifreleme çevikliği ile gizlilik, bütünlük ve özgünlük sağlamaktır.

2) Veri sınıflandırması ve politikası

Sınıflar: Kamu/Dahili/Gizli/Kısıtlı (PII/Finans/PAN).
Etiketler: 'veri. ',' kiracı ',' bölge ',' alıkoyma 'sınıfı.
Zorunlu önlemler: Kısıtlı için - alan/nesne düzeyinde şifreleme, erişim günlüğü, kiracı/bölge başına ayrı anahtarlar.

3) At-rest şifreleme

3. 1 Zarf şifreleme

DEK (Veri Şifreleme Anahtarı) verileri şifreler; KEK/CMK (KMS/HSM), DEK'yi şifreler.
KEK rotasyonu, verilerin şifresinin çözülmesini gerektirmez - DEK'yi yeniden sarın.
DEK tercihen kısa TTL ile nesne/parti/kiracı başına.

3. 2 Seviye

Saydam (TDE): disk/tablo alanları (PostgreSQL/MySQL/SQL Server). Basit, ancak granüler kontrol olmadan.
Uygulama düzeyinde: alanlar/nesneler (PAN, sırlar) - çok kiracılı ve erişim minimumları için daha iyi.
Depolama/bulutlar: S3/GCS SSE-KMS; ACID verileri için - mümkünse FLE (alan düzeyinde şifreleme).

3. 3 Algoritmalar ve modlar

AEAD: AES-256-GCM veya ChaCha20-Poly1305 (AES-NI olmadan CPU'da).
IV/nonce: benzersizlik kesinlikle zorunludur; Şifreli metnin yanında sakla, tekrarlama.
Hashing: şifreler - tuz ve demir parametreleri ile Argon2id (veya scrypt/bcrypt).
MAC/imzalar: Bütünlük için HMAC-SHA-256 veya AEAD yerleşik etiketi.

3. 4 DB/dosyalar için uygulama

PostgreSQL: pgcrypto/uzantıları; On write - uygulamadaki hassas alanları şifrele.
Mongo/Doc-storages: istemci tarafı FLE, KMS'de anahtarlar.
Yedeklemeler: bireysel anahtarlar ve yalnızca CI/CD aracısından erişilebilir; Site dışı kopyalar - her zaman şifrelenir.

4) Anahtar yönetimi (KMS/HSM/Vault)

Gerçeğin kaynağı: KMS/HSM; Özel anahtarlar cihazı/hizmeti terk etmez.
Sürüm oluşturma: 'kid', 'purpose', 'alg', 'created _ at', 'rotates _ at'.
Erişim: en az ayrıcalık; Görev ayrımı (SoD).
Rotasyon: zamanlanmış (imzalama için 3-6 ay), olay (olay), yenileme belirteçleri için kullanımda döndürme.
Denetim: değişmez günlükler: kim, ne zaman, ne imzalandı/şifresi çözüldü.
Çok kiracılı: kiracı/marka/bölge başına anahtarlar; Müşteri tarafından istenirse BYOK/HYOK.

5) Kanal içi şifreleme (TLS)

5. 1 Düşük

TLS 1. 2 +, tercihen TLS 1. 3; Etki alanlarında HSTS.
Cipher Suites: TLS1. 3 - önceden tanımlanmış (AES_256_GCM_SHA384/ CHACHA20_POLY1305_SHA256).
PFS: Tüm önemli epemern borsalar (ECDHE).
ALPN: HTTP/2 ve HTTP/3 (QUIC) bilinçli olarak içerir; zamanlayıcıları izle.

5. 2 Sertifikalar, OCSP, sabitleme

OCSP zımba ve kısa zincirler.
Yeniden kullanım oturumları: Kısa TTL ile TLS biletleri.
0-RTT (TLS 1. 3): dikkatlice açın (sadece idempotent GET).
Sabitleme: Uygulamalarda/cep telefonlarında yalnızca 'TSP/Anahtar sürekliliği yoluyla açık anahtar sabitleme' (sert HPKP değil).
mTLS: çevre içinde/hizmetler ve ortaklar arasında; SAN yeterliliği.

5. 3 gRPC/HTTP/QUIC

gRPC, Deadline ve meta verileri iletir - deneme başına zaman aşımını kontrol edin ve sınırlayın.
HTTP/3 (QUIC) ilk baytı hızlandırır; WAF/dengeleyici uyumluluğunu kontrol edin.

6) mTLS ve servis püresi

Kısa sertifikaların otomatik olarak verilmesi için SPIFFE/SPIRE veya mesh-CA (7-30 gün).
Politikacılar: kim kiminle konuşur (SVID - SVID), L7 düzeyinde authZ.
Rotasyon - şeffaf; trust-bundle güncellemeleri ile iptal edin.

7) Performans ve çalışma

AES-NI: destekli sunucularda - AES-GCM daha hızlı. Mobil/eski CPU'larda - ChaCha20-Poly1305.
TLS ayarı: PFS ile kısa anahtarlar, ancak makul sınırlar dahilinde (P-256/25519); el sıkışma önbelleği.
Toplu işlem: küçük sorguları en aza indirin; TLS-yükü bağlantı sayısı ile orantılıdır.
Boşaltma: Çevre üzerindeki TLS (Elçi/NGINX), içeride - kafeste mTLS.

8) Gizli ve günlük politikaları

Sadece KMS/Vault'taki sırlar; Kubernetes'te - şifreleme etcd + KMS sağlayıcısı.
Günlük engelleme: anahtarlar/belirteçler/PAN/sırlar; maskeleme.
Anlık görüntüler/dökümler: erişimi şifrelemek ve kısıtlamak; Monitör anahtar erişimleri.

9) Yapılandırmalar ve örnekler

9. 1 NGINX (TLS katı profil)

nginx ssl_protocols TLSv1. 2 TLSv1. 3;
ssl_prefer_server_ciphers on;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES256-GCM-SHA384;
ssl_ecdh_curve X25519:P-256;
ssl_session_timeout 10m;
ssl_session_cache shared:SSL:50m;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

9. 2 Elçi (mTLS to upstream, pseudo)

yaml transport_socket:
name: envoy. transport_sockets. tls typed_config:
common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_2 tls_certificate_sds_secret_configs:
- name: service_cert # client certificate validation_context_sds_secret_config:
name: mesh_ca_bundle # trusted roots

9. 3 AEAD kullanma örneği (pseudo)

pseudo nonce = random(12)
ciphertext, tag = AES256_GCM. encrypt(key=DEK, nonce, aad=tenant    object_id, plaintext)
store(nonce    ciphertext    tag)

10) Döndürme ve iptal edilen anahtarlar

JWKS/JWT için'çocuk '; kısa 'exp'.
TTL ile belirteçleri iptal etmek için 'jti'/' sid' listeler.
HMAC Sırları (webhooks): aktif + kanarya; Son teslim tarihinden önce her ikisi tarafından resepsiyon.
TLS: T-30/T-7/T-1 uyarıları, otomatik yenileme, güvenli kanarya.

11) Gözlemlenebilirlik ve uyarılar

Метрики: 'tls _ handshake _ fail _ total {reason}', 'tls _ version _ share', 'cipher _ share', 'ocsp _ stapling _ errors', 'kms _ ops _ total {op}', 'decrypt _ fail _ total', 'jwks _ kid _ share'.
Erişim günlükleri: protokol/sürüm/şifre (sır olmadan).
Uyarılar: süresi dolan sertifikalar, dalgalanma 'bad _ record _ mac', büyüme "güvenilmeyen zincirleri", başarısız şifre çözme.

12) iGaming/Finansın Özellikleri

PAN-safe akışları: tokenization, yalnızca belirteç depolama; PAN - PSP/token mağazasında.
PCI DSS: Kart sahibi verilerinin şifrelenmesi, anahtarlara erişimin kısıtlanması, kripto işlem günlüğü, ağ segmentasyonu.
Bölgesellik: Oyuncunun bölgesindeki anahtarlar ve veriler (gecikme/egemenlik).
Backoffice: mTLS + SSO, kısa oturumlar, yöneticiler için FIDO2.

13) Antipatterns

TLS <1. 2; Zayıf ciphers/RC4/3DES izin verdi.
Ortak "ebedi" sırlar ve rotasyon ve'çocuk "olmadan anahtarlar.
GCM'de IV/nonce'i tekrarlayın (güvenlik açısından ölümcül).
Sırlar/anahtarlar/pan verileriyle günlükler.
Hassas alanların şifrelenmesi olmadan yalnızca TDE.
Prod'da HPKP-sabitleme ("kendi kendini kilitleme" riski).
Yazma/idempotent olmayan sorgular üzerine 0-RTT.

14) Prod Hazırlık Kontrol Listesi

  • Veri sınıflandırma ve şifreleme politikası (sınıf başına).
  • AEAD (AES-GCM/ChaCha20-Poly1305); Eşsiz nonce; Şifre Argon2id.
  • Zarf şifreleme: Nesne/kiracı başına DEK; KEK в KMS/HSM.
  • TLS 1. 2+/1. 3, HSTS, OCSP zımbalama; Makul bir şifre seti.
  • mTLS içinde; Kısa sertifikaların otomatik olarak verilmesi/döndürülmesi.
  • JWKS/' kid ', kısa' exp ', listeler' jti '; Sırların/sırların örtüşme ile dönmesi.
  • Yedeklemeler ve günlükler şifrelenir; Erişim ve işlemler denetlenir.
  • TLS/KMS/JWKS'ye göre gösterge panoları/uyarılar; Bozulma testleri ve kanarya.
  • Dokümantasyon: olay prosedürleri (anahtar/cert uzlaşma).

15) TL; DR

Her yerde şifrele: kanalda - TLS 1. 3/1. 2 PFS ve sıkı çevre ile; İçinde - mTLS. Dinlenme sırasında - KMS/HSM'deki anahtarlarla zarf (DEK/KEK), hassas alanları ayrıntılı olarak şifreleyin. Anahtarları'çocuk'/JWKS ve düzenli örtüşen rotasyon yoluyla yönetin, kripto işlem günlüklerini saklayın. AES-GCM'yi (veya ChaCha20-Poly1305) seçin, nonce'u yeniden kullanmayın, yedeklemeleri/günlükleri şifreleyin. IGaming/PAN için tokenizasyon ve PCI-bilinçli segmentasyon.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.