GH GambleHub

Altyapıdaki güvenlik katmanları

(Bölüm: Teknoloji ve Altyapı)

Kısa özet

Güvenlik bir katmanlar sistemidir: her katman geri durur ve bir önceki başarısız olursa saldırıları algılar. IGaming için bu özellikle önemlidir: ödeme akışları, PII, ortak entegrasyonları ve tepe yükleri. Aşağıda, ağı, kimliği, uygulamaları, verileri ve operasyonel süreçleri tek bir yönetilen programa bağlayan derinlemesine savunma çerçevesi bulunmaktadır.

1) Tehdit modeli ve temelleri

Tehdit Modelleme: Anahtar akışları için STRIDE/kill zinciri (giriş, para yatırma, teklif, para çekme, geri doldurma).
Sıfır Güven: "varsayılan olarak güvenmeyin", minimum haklar, her atlamada kontrol edin.
En Az Ayrıcalık ve Görev Ayrımı: Roller atomik, hassas işlemlerdir.
Varsayılan Olarak Güvenli: kapalı portlar, tüm politikaları reddet, güvenli varsayılanlar.
Denetlenebilirlik: tüm erişimler/değişiklikler - merkezi denetimde.

2) Ağ ve çevre

Amaç: Yanal hareketlerden kaçının ve riski izole bir şekilde yönetin.

Segmentasyon/bölgeler: Kenar (CDN/WAF), API, hizmetler, veri (DB/KMS), yönetici, kazıcı.
VPC/VNet izolasyonu + kamu/özel hizmetler için alt ağlar; NAT/çıkış kontrolü (PSP/oyun sağlayıcılarına çıkış allowlist dahil).
Her yerde mTLS (mesh/Ingress), TLS 1. 2 +/HSTS/açık kripto yapılandırması.
Çevre üzerinde WAF/bot yönetimi/DDoS; Kimlik bilgisi doldurma için anti-puanlama.
DNS güvenliği: bölünmüş ufuk, DNSSEC, hata toleransı, kritik alanlar için önbellek sabitleme.

Пример: Kubernetes NetworkPolicy (deny-all + allow-list): 
yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-deny-all, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
ingress: [] # deny-all egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]

3) Kimlik ve Erişim (IAM/PAM)

Amaç: Her erişim gerekçelendirilir, kısıtlanır ve şeffaf bir şekilde denetlenir.

İnsanlar ve arabalar için SSO + MFA; Ayrıcalıklı hesaplar için donanım anahtarları.
cloud/K8s/backoff için RBAC/ABAC; SCIM - otomatik açma/kapama.
JIT erişimi (geçici), gelişmiş denetime sahip cam kırılması.
Kısa ömürlü belirteçleri olan Hizmet Hesapları (OIDC/JWT), müşteri sırları denetimi.
Bastion/komut yansıtma: üretim veritabanlarına/düğümlerine erişim - yalnızca bastion ve yazma oturumları aracılığıyla.

4) Sırlar ve anahtarlar

Amaç, sızıntıları ortadan kaldırmak ve yönetilebilir bir anahtar yaşam döngüsü sağlamaktır.

KMS/HSM (sihirbaz anahtarı), düzenli rotasyon; Anahtarların bölgelere/hedeflere bölünmesi.
Vault/Cloud KMS dynamic-creds ve kiralama ile sırlar.

Şifreleme:
  • Zarf şifrelemesi ile dinlenme (DB/kovalar/anlık görüntüler).
  • Geçiş sırasında (TLS/mTLS).
  • Ödeme verileri için tokenizasyon; PAN-safe iş parçacıkları ve 3 alanlı güvenlik (PCI DSS).
Örnek: Kasa politikası (parça): 
hcl path "kv/prod/payments/" {
capabilities = ["read","list"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}

5) Konteynerlerin ve Kubernetes'in güvenliği

Amaç: Çalışma zamanı seviyesinde saldırı yüzeyini en aza indirmek.

Görüntüler: minimal temel, derleyici/kabuk yok; İmzalar (cosign) ve SBOM.
Kabul kontrolü (OPA/Gatekeeper/Kyverno): yasaklama ': en son', 'ayrıcalıklı','ev sahibi 'Yol', 'kök'.
Çalışma zamanı- политики: Seccomp/AppArmor, 'readOnlyRootFilesystem', 'drop ALL' yetenekleri + allow-list.
Sır yöneticisinden hacim/env olarak sırlar; resimde bake-in olmadan.
PodSecurity (или Pod Security Admission): sınırlandırılmış zorunlu kılma.
Kayıtlar: özel, güvenlik açığı denetimi ile (SAST/DAST/CSA).

Gatekeeper Constraint (örnek): 
yaml apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sAllowedRepos metadata: { name: only-internal-registry }
spec:
repos: ["registry.internal.local/"]

6) Tedarik zinciri и CI/CD

Amaç: Eserlere bağlılıktan üretime kadar güvenin.

Şube politikaları: kod incelemesi, korunan dallar, zorunlu kontroller.
Yapay imza ve provenans (SLSA/COSIGN), değişmez etiketler (değişmez görüntüler).
SBOM (CycloneDX/SPDX), Dependabot/Yenileme ve sabitleme bağımlılıkları.
CI izolasyonu: geçici koşucular, sadece korunan işlerde sırlar, açık olmayan metin.
CD kapıları: kalite/SAST/lisanslar/satıcı politikaları; Promosyon sadece GitOps aracılığıyla.

7) Uygulama güvenliği (API/web/mobil)

Amaç: Mantıksal ve teknik saldırıları önlemek.

AuthN/AuthZ: OAuth2/OIDC/JWT; Kısa TTL, anahtar rotasyonları, izleyici/ihraççı çekleri.
Giriş Güvenliği: doğrulama/normalleştirme, enjeksiyon koruması, parametreli şablonlar.
CSP/HSTS/XFO/XSS-Protection, sıkı CORS, indirilebilir MIME/boyut sınırı.
Oran sınırı/kotaları, ödemeler/ödemeler için idempotency-anahtarları.
Ficheflags: Tehlikeli özellikler için hızlı kill-switch.

NGINX güvenlik başlıkları (parça): 
nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:;" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;

8) Veri, PII ve uyumluluk (PCI dahil)

Amaç: minimum toplama, minimum erişim, maksimum saydamlık.

Data- zones/классы: 'Public/internal/confidential/pii/pci'. Kasalardaki ve günlüklerdeki etiketler.
PII minimizasyonu: 'player _ id' takma adı, ödeme ayrıntılarının tokenizasyonu.
Depolama politikaları: sıcak/soğuk, denetim için WORM; Otomatik TTL silme.
Erişim: yalnızca kararlaştırılmış roller ve nitelikler (bölge/hedef) aracılığıyla.
PCI segmentasyonu: izole segment, erişim günlükleri, düzenli taramalar/ASV'ler.

9) Kenar katmanı: CDN/WAF/DDoS/bot koruması

Amaç: Platform çekirdeğine "çöp" ayıklamak.

CDN: Coğrafi bloklar, önbellek stratejileri, katman-7 koruması.
WAF: temel imzalar + API için özel kurallar (JSON şemaları, standart dışı yöntemlerin yasaklanması).
Botlar: davranışsal analitik, cihaz parmak izi, anomaliler için oran limiti/captcha.
TLS/ALPN: eski şifreleri kapatın, OCSP zımbalamayı açın.

10) İzleme, telemetri ve SecOps

Hedef: Saldırıları görün ve olaydan önce tepki verin.

Gözlemlenebilirlik: 'trace _ id've denetim alanlarına sahip metrikler/günlükler/izler.
SIEM/SOAR: olay korelasyonu (kimlik doğrulama, IAM değişiklikleri, WAF tetikleyicileri, sırlara erişim).
Algılama kuralları: 401/403 ani yükselmeler, rol yükseltme, toplu ödemeler, coğrafi anomaliler.
Tarama: SAST/DAST/IAST, CSPM/KSPM, düzenli pene testleri ve bug bounties.
Anti-dolandırıcılık: puanlama işlemleri/davranışları, hız filtreleri, yaptırım listeleri.

11) Güvenilirlik, rezerv ve iş sürekliliği

Hedef: Veri kaybı ve SLA'lar olmadan kazadan kurtulun.

Veritabanları için replikasyon ve PITR, test kurtarma ile sık anlık görüntüler.
DR planı: RTO/RPO, bölge yük devretme komut dosyaları, anahtarlama testleri.
DR Sırlar: bağımsız anahtarlar/KMS çoğaltma, acil rotasyon süreci.
Resmi kılavuzlar: kurtarma kontrol listeleri ve oyun günü egzersizleri.

12) Operasyonel süreçler ve kültür

Amaç, güvenliğin "varsayılan" olmasıdır.

PR ile Güvenlik: Hassas değişiklikler için zorunlu güvenlik incelemesi.
Yayın politikaları: Gece/tepe pencereleri kapalı; Uçuş öncesi kontrol listeleri.
Güvenli Runbooks - güvenli parametreler, denetim eylemleri ile talimatlar.
Eğitim: kimlik avı simülasyonları, olay eğitimi, canlı masa üstü oturumları.

13) Kontrol listeleri (kısa)

Ağ ve Çevre

  • WAF/CDN başına tüm giriş; DDoS etkin
  • Hizmetler arasında mTLS; Tüm ağ politikalarını reddet
  • Dış sağlayıcılara çıkış-allowlist

Kimlik

  • SSO + MFA; Denetimli JIT ve kırılma camı
  • RBAC/ABAC, SCIM-İşten Çıkarmaları Devre Dışı Bırak
  • Kısa Jetonlu Hizmet Hesapları

K8s/containers

  • Resim imzaları + SBOM; Yasak ': geç'
  • Seccomp/AppArmor, salt okunur FS, açılır kapak
  • Gatekeeper/Kyverno politikaları ve inkar listeleri

Sırlar/anahtarlar

  • Vault/KMS, rotasyonlar, anahtar bölme
  • Dinlenme/transit sırasında şifreleme
  • Ödemeler için Tokenization

Tedarik zinciri и CI/CD

  • Geçici koşucular; Sadece korunan işlerde sırlar
  • SAST/DAST/lisansları; Eser imzaları
  • GitOps tanıtımı, kalite kapıları

Veri/PII/PCI

  • Depolardaki verilerin ve etiketlerin sınıflandırılması
  • Tutma/WORM politikaları; role göre erişim
  • PCI segment izolasyonu, ASV taramaları

SecOps

  • SIEM/SOAR kuralları, yükselme uyarıları
  • Anti-dolandırıcılık ve hız filtreleri
  • DR Planı, RTO/RPO Testleri

14) "Sert" politika örnekleri

Kyverno: Ayrıcalıklı konteynerlerin yasaklanması

yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: { name: disallow-privileged }
spec:
rules:
- name: no-priv match: { resources: { kinds: ["Pod"] } }
validate:
message: "Privileged containers are not allowed"
pattern:
spec:
containers:
- securityContext:
privileged: "false"

OPA (Rego): 'hostNetwork' yasağı

rego package kubernetes.admission

violation[msg] {
input.request.kind.kind == "Pod"
input.request.object.spec.hostNetwork == true msg:= "hostNetwork is not allowed"
}

15) Anti-desenler

Dahili mTLS/segmentasyon olmadan "çevreyi koruyun" - yanal hareket.
CI env değişkenlerindeki sırlar, günlüklere yükleniyor.
Görüntüler'en son ', imza yok ve SBOM.
Kümedeki tüm politikaya izin ver; Her şey için ortak neimspaces.
Anahtarların gerçek rotasyonu ve kurtarma testleri olmadan "kağıt üzerinde" şifreleme.
Mantık düzeltme ve veri doğrulama yerine WAF'a güvenin.
DR egzersizleri/tablo senaryoları yok - plan "toz topluyor".

16) Nasıl başlanır (90 günlük plan)

1. Hafta 1-2: Varlık/Veri Envanteri, Sınıflandırma, Akış Haritası

2. 3-4. Hafta: mTLS/deny-all ağ politikalarını, WAF/DDoS/bot filtrelerini etkinleştirin.
3. Hafta 5-6: Kasa/KMS, anahtar rotasyonları, ödeme tokenizasyonu.

4. Hafta 7-8: Gatekeeper/Kyverno, Seccomp/AppArmor, 'ayrıcalıklı'/' hostPath' yasakları

5. Hafta 9-10: Resim İmzaları, SBOM, CI/CD Kapıları, GitOps Tanıtımı.
6. Hafta 11-12: SIEM/SOAR kuralları, eskalasyon uyarıları, dolandırıcılıkla mücadele.
7. 13. Hafta: DR Egzersiz, Runabook Güncelleme ve Uyumluluk Durumu (PII/PCI).

Sonuçlar

Güvenlik katmanları, bir dizi onay kutusu değil, çözümlerin mimarisidir. Ağ segmentasyonu ve Zero Trust, sıkı IAM, güvenli containers/K8s, yönetilen sırlar ve kripto, korunan boru hatları, kenar savunması ve SecOps gözlemlenebilirliğini birleştirin. Daha sonra, saldırılar ve çökmeler durumunda bile, platform veri bütünlüğünü, PII/PCI gizliliğini ve herhangi bir yoğun saatte önemli akışların (para yatırma, teklif ve para çekme) kullanılabilirliğini koruyacaktır.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.