Üretim ortamının güçlendirilmesi ve denetim

1) Hedefler ve sorumluluk alanı

• Saldırı alanını ve Patlama Yarıçapını en aza indirin;
• Kanalları, hesapları, sırları ve teslimat eserlerini korumak;
• Olayları MTTR hedeflerinden daha hızlı tespit etmek ve bunlara müdahale etmek
• Uyumluluğu onaylama (GDPR/PCI DSS/yerel kurallar)
• Tüm kritik eylemlerin denetlenebilirliğini korur.

Temel ilkeler: Sıfır Güven, En Az Ayrıcalık, Segmentasyon, Kod Olarak Her Şey, Varsayılan Olarak Güvenlik.

2) Ağ çevresi ve segmentasyon

Segmentler: Kenar (WAF, bot yönetimi, DDoS), DMZ (ağ geçidi), Uygulama (mikro hizmetler), Veri (DB/önbellekler), Backoffice/Ops (CI/CD, gözlemlenebilirlik).
L4/L7 ilkeleri: varsayılan olarak reddet, hizmetler/ad alanları/bağlantı noktaları tarafından açıkça izin ver.
TLS 1 kümesi içindeki mTLS. Çevrede 2 +, HSTS, güvenli şifreler.
Giriş filtresi: WAF (OWASP Top-10), anti-bot, oran limitleri, geo/ASN blokları, risk yollarında CAPTCHA.
DDoS koruması: her zaman açık + otomatik azaltma, API/statik içerik için ayrı profiller.
Çıkış kontrolü: sağlayıcılar için yalnızca gerekli harici ana bilgisayarlar (PSP/KYC/oyunlar).

3) Kimlikler, erişim ve ayrıcalıklar (IAM/PAM)

SSO (OIDC/SAML) + insanlar için MFA; OIDC belirteçleri/Hizmetler için İş Yükü Kimliği.
RBAC/ABAC: gerekli minimum izinlere sahip roller; Denetim ve TTL altında "cam kırılması" erişimi.
PAM: İsteğe bağlı ayrıcalıklı oturum check-out, tam kayıt ve kayıt.
CIEM (bulutlar): Aşırı haklar ve ölü roller, otomatik iyileştirme arayışı.
Üretim verilerine erişim: yalnızca onaylı atlama/proxy, PII maskeleme ile.

4) Sırlar ve kriptografi

KMS/HSM: anahtar depolama, zarf şifreleme, bildirimlerle rotasyon.
Gizli yönetici: kısa ömürlü krediler, Git/günlüklerinden sırları hariç tutun.
İmzalar: eserler (cosign), webhooks (HMAC), hizmet belirteçleri.
PAN/PII alanları: tokenization/encryption at-rest; Günlüklerde ve önizlemelerde maskeleme.
Rotasyon politikaları: anahtarlar/sertifikalar/şifreler - rutin ve zorlama.

5) Konteynerler ve Kubernetes (CWPP/KSPM)

Temel görüntüler: minimum, CI'daki tarama açıkları; Mümkün olan her yerde köksüz.
Kabul politikaları (OPA/Gatekeeper/Kyverno): yasaklar ': en son', 'ayrıcalıklı', hostPath; görüntü imzaları gerektirir.
NetworkPolicies: Yalnızca gerektiğinde servisten servise iletişim.
PodSecurity: Sınırlı yetenekler, salt okunur FS, seccomp, AppArmor.
Sırlar: Gizli Mağaza CSI (KMS); Manifestolarda açık bir sır yok.
Çalışma zamanı koruması: davranış kuralları (eBPF), anomalilere karşı uyarılar.

rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6) Tedarik zinciri: güven ama kontrol

Yapı başına SBOM; Depolama ve serbest bırakmak için bağlantı.
Görüntü/manifesto imzaları, kabul denetleyicisinde doğrulama.
SLSA sertifikaları: eserlerin kanıtlanabilir kökeni.
Kod Olarak Politika: Birleştirmeden önceki Terraform/Helm/K8s Conftest/OPA.
Ürün üzerinde "son dakika yama" yasağı: tüm değişiklikler sadece boru hattından geçer.

7) Güvenlik açığı ve yama yönetimi

SCA/SAST/DAST в CI; Kritik/yüksek için blokaj eşikleri.
Haftalık güncelleme yığınları (resimler, işletim sistemi paketleri, kütüphaneler) + acil durum planlanmamış.
Yapılan düzeltmeler - CVE/SBOM ile bağlantılı biletler/bültenler.
EASM: Saldırı yüzeyinin dış görünümü (alt alanlar, açık portlar, sertifikalar).
Düzenli kalem testleri: Yılda en az bir kez + kritik akışları (ödemeler/CCM) hedef alır.

8) Denetim eserlerinin günlükleri, metrikleri, izleri ve depolanması

'Trace _ id', 'request _ id', user/tenant/geo (pseudonymous), no PII/PAN ile standartlaştırılmış günlükler (JSON).
Metrikler: p50/p95/p99, hata oranı, doygunluk, DLQ, retrai, iş KPI (Time-to-Wallet).
OTel: kritik rotalar için uçtan uca (depozito/CCL/çıkış).
SIEM: olay korelasyonu (kimlik doğrulama, rol değişiklikleri, yönetici eylemleri, WAF/bot kuralları).
SOAR: otomatik reaksiyonlar (ocağın yalıtımı, token geri çağırma, IP/ASN bloğu, serbest bırakma yasağı).
Tutma: çalışma günlükleri - 30-90 gün sıcak depolama, denetim eserleri - politikalara göre daha uzun.

json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9) Anti-botlar, dolandırıcılık ve savunma senaryoları

Bot yönetimi: imzalar/davranış, cihaz-parmak izi, dinamik zorluklar.
Oran limitleri/kotaları: kullanıcı/kiracı/IP başına; Anomalilerde adaptif.
Kritik uç noktalardaki RASP sensörleri (webhook imzalarını, saat kaymasını, yeniden teslimatı atlamaya çalışır).
Dolandırıcılık sinyalleri: kanallara göre korelasyon (girişler, ödemeler, KYC), otomatik eskalasyon.

10) Koruma, DR ve BCP

RTO/RPO hedefleri tanımlanır ve test edilir (örneğin, ödeme veritabanları için RTO ≤ 1 saat, RPO ≤ 5 dakika).
Yedeklemeler: şifrelenmiş, periyodik olarak çevrimdışı depolamada; Düzenli geri yükleme testleri.
Coğrafi çoğaltma: Bölgelere göre varlık-borç/varlık-varlık; TTL kontrolü ile DNS yük aktarımı.
Kritik bağımlılıklar dizini (PSP/KYC/oyun toplayıcıları) ve anahtarlama planları.

11) Olaylar ve tepki

Runbooks: sağlayıcı düşüşü, gecikme büyümesi, belirteç uzaması, DDoS için.
Nöbetçi: 7/24, rotasyonlar ve patlama sayfaları; Ortak "savaş odası" uygulaması.
İletişim: Müşteriler/ortaklar ve düzenleyiciler için mesaj şablonları.
Ölüm sonrası (suçsuz): Tekrarlamayı önlemek için eylemler, politikaları/oyun kitaplarını güncellemek.

12) Uyumluluk ve gizlilik

GDPR: veri minimizasyonu, izin kayıtları, silme/port hakkı; Yeni sağlayıcılar için DPIA.
PCI DSS: PAN tokenization/isolation zones, ağ segmentleri, sıkı erişim günlükleri.
Yerel gereksinimler (pazar yetki alanları): bölgede veri depolama, raporlama, güncelleme pencereleri.
Veri Lineage: PII/PAN akışı nerede ve nasıl; DevPortal'da şemalar ve DPIA.

13) Denetim: Türleri, Eserler ve Döngü

• Dahili (üç aylık): politikalara uyum, değişikliklerin kontrolü, erişimler, sırlar, günlükler, boru hatları.
• Harici (yıllık/gereksinimlere göre): PCI/GDPR/yerel düzenleyiciler, kalem testleri, sağlayıcıların SOC raporları.

• Güvenlik politikaları, rol IAM matrisi, son kullanma tarihi olan istisna listesi.
• Altyapı değişim günlükleri (IaC), CI/CD raporları (SBOM, imzalar, testler).
• Sağlayıcıların kaydı (PSP/KYC/oyunlar), DPIA/satıcı-risk değerlendirmeleri, sözleşmeler ve SLA'lar.
• Satış erişim kayıtları, gizli rotasyon sonuçları, SIEM/SOAR raporları.
• DR/BCP, son geri yükleme testlerinin planlarını ve protokollerini planlar.

• "Önce kanıt": her uygulama doğrulanabilir bir eserdir.
• "Prod'da insan yok": boru hatları ve onaylanmış uygulamalar yoluyla maksimum; Tüm oturumlar - kütüğün altında.
• Her şeyi izleyin - Olayları/metrikleri değiştirin.

14) Kod olarak korkuluklar: Örnekler

rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

AdmissionPolicy (K8s): güvenlik etiketleri ve kaynak sınırları gerektirir

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15) Günlük hijyen kontrol listesi

• WAF/bot politikaları aktif, imzalar güncellendi; Anti-DDoS her zaman açık modda.
• Denetim değil, uygulama durumundaki kümedeki kabul denetleyicileri.
• Tüm üretim görüntüleri imzalanır; SBOM kullanılabilir ve serbest bırakmaya bağlıdır.
• Kritik/yüksek güvenlik açıkları - tarih istisnaları ile eksik veya sabit.
• Sırların/sertifikaların döndürülmesi - programa göre, gecikme yok.
• SIEM, IAM/release entry/change olaylarını ilişkilendirir; SOAR playbook'lar test ediliyor.
• Yedeklemeler geçti, programa göre geri yükleme testi; DR planı geçerlidir.
• Gıdaya erişim - sadece SSO + MFA/PAM üzerinden; Tüm seanslar kaydedilir.
• "Günlüklerde PII yok" - tarayıcılar tarafından doğrulandı; maskeleme etkinleştirildi.
• Sürüm kapıları ve gözlemlenebilirlik "kod olarak" güncellendi.

16) Olgunluk modeli (kısa)

1. Temel - manuel değişiklikler, tek çevre, kısmi izleme.
2. Gelişmiş - segmentasyon, IAM/RBAC, imzalı eserler, WAF/DDoS, SIEM, düzenli yamalar.
3. Uzman - Sıfır Güven, kod olarak korkuluklar, SLSA-tasdik, çalışma zamanı koruması, SOAR-otomasyon, "prod'da insan yok", sürekli denetim.

17) Uygulama Yol Haritası

M0-M1 (MVP): ağ segmentasyonu, WAF/DDoS, SSO + MFA, KMS, temel Kabul politikası, standartlaştırılmış günlükler/metrikler/yollar, SIEM.
M2-M3: görüntü imzaları ve kabul doğrulaması, SBOM, IaC'de Conftest/OPA, PAM, rotasyon planı, düzenli yamalar, ilk DR testleri.
M4-M6: SOAR playbooks, eBPF/runtime detection, EASM, compliance package (PCI/GDPR), full set of audit artifacts, ring-DR by region.
M6 +: Sıfır Güven ağı (her yerde mTLS), CIEM, otomatik denetim izi raporları, sürekli "mor takım" testi.

Özet

Güçlü prod bir dizi "demir" kural değil, bir sistemdir: segmentasyon, katı kimlikler ve sırlar, güvenli teslimat, yönetilen kaplar, gözlemlenebilirlik ve otomatik yanıt. Doğrulanabilirlik ekleyin (denetim eserleri, SBOM/imzalar, günlükler) ve üretim ortamı, yayın hızı ve iş SLO'larından ödün vermeden öngörülebilir, yönetilebilir ve dış denetimlere hazır hale gelir.