加強項目環境和審計

1）目標及責任範圍

• 最大限度地減少攻擊面積和Blast Radius；
• 保護供應渠道、記錄、秘密和文物；
• 以更快的MTTR目標檢測和響應事件；
• 確認法規遵從性（GDPR/PCI DSS/本地規則）；
• 保持所有關鍵活動的可驗證性（可審核性）。

關鍵原則是：零信托，Least Privilege，Segmentation，所有代碼，安全默認。

2）網絡周長和細分

片段：邊緣（WAF，機器人管理，DDoS），DMZ（網關），App（微服務），數據（DB/緩存），Backoffice/Ops（CI/CD，觀察力）。
策略L4/L7：deny-by-default，按服務/neyspace/端口進行顯式allow。
群集中的mTLS；TLS 1.外圍2+，HSTS，安全密碼。
輸入過濾器：WAF（OWASP Top-10），反機器人，rate限制，地理/ASN塊，CAPTCHA到風險路徑。
DDoS保護：alway-on+auto-mitigation，用於API/靜態內容的單獨配置文件。
Egress控制：僅提供商所需的外部主機（PSP/KYC/遊戲）。

3）身份，訪問和特權（IAM/PAM）

個人的SSO（OIDC/SAML）+MFA；OIDC令牌/服務工作負載身份。
RBAC/ABAC：具有最低所需權限的角色；在審核和TTL下訪問「斷面玻璃」。
PAM：按需寫出特權會議，完整記錄和日誌記錄。
CIEM（雲）：尋找過多的權利和死角,自動重塑。
Prod數據訪問：僅通過已批準的jump/代理,並帶有PII掩碼。

4）秘密和密碼學

KMS/HSM：密鑰存儲，envelope加密，帶通知的旋轉。
秘密管理員：短壽命信條，從Git/Logs中排除秘密。
標題：工件（cosign），webhooks（HMAC），服務令牌。
PAN/PII字段：標記/加密；在日誌和預覽中掩蓋。
輪換策略：按鍵/證書/密碼-法規和強制執行。

5）容器和Kubernetes（CWPP/KSPM）

基本圖像：CI上的最小漏洞掃描；rootless是可能的。
管理政策（OPA/Gatekeeper/Kyverno）：禁止「：最新」，「特權」，hostPath；我們需要圖像簽名。
NetworkPolicies：僅根據需要進行服務間通信。
PodSecurity：有限的資本,只讀的FS, seccomp, AppArmor。
秘密：來自秘密商店CSI（KMS）；宣言中沒有一個平面的秘密。
運行時保護：行為規則（eBPF），異常異常。

rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6）供應鏈： 信任，但要檢查

每張鈔票的SBOM；存儲和鏈接到發行版。
映像/清單簽名,在admission控制器中進行驗證。
SLSA認證：文物的可證明來源。
Policy-as-Code：Merge之前Terraform/Helm/K8s的Conftest/OPA。
禁止在銷售上進行「最後一分鐘修補」：所有更改僅通過管道進行。

7）漏洞和修補程序管理

SCA/SAST/DAST в CI;臨界/高的鎖定閾值。
每周更新（映像、OS包、庫）+緊急計劃外。
已執行的修補程序→帶有CVE/SBOM綁定的字幕/發行版。
EASM：攻擊表面的外部概述（子域，打開的端口，證書）。
定期泡沫測試：每年至少一次+按關鍵流量（付款/CUS）計費。

8）審計工件的邏輯、度量、跟蹤和存儲

帶有「trace_id」，「request_id」，用戶/tenant/geo（別名）的標準化邏輯（JSON），沒有PII/PAN。
度量標準：p50/p95/p99，error-rate，aturation，DLQ，retrai，Business KPI（時間到錢包）。
Tracing （OTel）：關鍵路線的終端（存款/KUS/輸出）。
SIEM：事件相關性（身份驗證，角色更改，管理操作，WAF/機器人規則）。
SOAR：自動反應（poda隔離，令牌召回，IP/ASN單元，發布禁令）。
重組：根據策略，操作邏輯-30-90天的熱存儲，審核工件-更長。

json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9）反機器人，欺詐和保護方案

機器人管理：簽名/行為，設備指紋，動態挑戰。
Rate limits/quotas: per-user/tenant/IP;適應異常。
關鍵尾端上的RASP傳感器（嘗試繞過webhooks簽名，時鐘漂移，重新交付）。
Fraud信號：通道相關性（登錄、支付、KYC）,自動升級。

10）冗余，DR和BCP

RTO/RPO目標已定義和測試（例如，RTO ≤ 1小時，RPO ≤支付DB的5分鐘）。
Backaps：加密，定期在離線存儲中；定期還原測試。
地理重復：按地區劃分的資產/資產；具有TTL控制的DNS失敗。
關鍵依賴性目錄（PSP/KYC/遊戲聚合器）和切換計劃。

11）事件和反應

Runbooks：用於提供商下降，潛伏期增加，令牌損害，DDoS。
呼叫時間：24/7，旋轉和爆破頁；協作的「戰爭室」練習。
通訊：向客戶/合作夥伴和監管機構發送消息的模板。
後遺癥（blameless）：防止重復的行動,更新策略/花花公子。

12）合規與隱私

GDPR：數據最小化，同意寄存器，刪除/移植權；新提供商的DPIA。
PCI DSS：標記/隔離PAN區域，網絡段，嚴格的訪問日誌。
本地要求（市場管轄區）：存儲區域數據、報告、更新窗口。
數據線：PII/PAN在何處和如何流動；DevPortal中的電路和DPIA。

13）審核： 類型、工件和周期

• 內部（季度）：遵守政策，控制更改，訪問，保密，標誌，piplines。
• 外部（每年/按要求）：PCI/GDPR/本地調節器，泡沫測試，SOC提供商報告。

• 安全策略、IAM角色矩陣、異常列表以及到期日期。
• 基礎架構更改邏輯（IaC），CI/CD報告（SBOM，簽名，測試）。
• 提供商註冊表（PSP/KYC/遊戲），DPIA/供應商風險評估，合同和SLA。
• Prod訪問日誌，秘密輪換結果，SIEM/SOAR報告。
• DR/BCP計劃和最新恢復測試協議。

• 「Evidence-first」：每種做法都是可驗證的工件。
• 「Prod中沒有人」：最多通過管道和批準的申請；所有會議都在日誌下。
• 「Trace everything」：將更改與事件/度量相關聯。

14） Guardrails-as-Code： 示例

rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

AdmissionPolicy （K8s）： 我們要求安全標簽和資源限制

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15）每日衛生檢查清單-周三

• WAF/機器人策略處於活動狀態，簽名已更新；反DDoS在永遠模式。
• 群集中的管理控制器處於強制狀態,不進行審核。
• 所有程序映像均已簽名；SBOM可用並綁定到發行版。
• Critical/High漏洞-缺少或記錄了日期異常。
• 保密/證書輪換-如期,沒有延遲。
• SIEM與IAM/發行版的登錄/更改事件相關；SOAR花花公子正在測試中。
• Bacaps通過了時間表，還原測試；DR計劃驗證。
• 僅通過SSO+MFA/PAM進入插件；所有會議都記錄下來。
• 「No PII in logs」-由掃描儀驗證；已啟用掩碼。
• Release gates和可觀察性已更新「as-code」。

16）成熟度模型（簡述）

1.基本是手動更改，單一周長，部分監視。
2.高級細分，IAM/RBAC，簽名工件，WAF/DDoS，SIEM，定期補丁。
3.專家-零信托，guardrails-as-code，SLSA認證，運行時保護，SOAR自動化，「無人入選」，持續審核。

17）實施路線圖

M0-M1（MVP）：網絡細分，WAF/DDoS，SSO+MFA，KMS，基本管理策略，標準化邏輯/度量/Trays，SIEM。
M2-M3：映像簽名和錄取驗證，SBOM，IaC，PAM上的Conftest/OPA，輪換計劃，定期補丁，首次DR測試。
M4-M6：SOAR花花公子，eBPF/運行時細節，EASM，合規包（PCI/GDPR），一套完整的審核工件，按地區排列DR。
M6+：零信任網絡（mTLS無處不在），CIEM，自動審計審查報告，持續的「紫色團隊」測試。

簡短輸出

強質子不是一組「鐵」規則，而是系統：細分，嚴格的身份和秘密，受保護的交付，受控容器，可觀察性和自動響應。添加可驗證性（審計工件，SBOM/簽名，日誌），並且程序環境變得可預測，可管理和準備進行外部檢查-在發布速度和業務SLO上沒有妥協。