GH GambleHub

At Rest shifrlash

At Rest shifrlash

1) Bu nima uchun zarur va biz nimani himoya qilamiz?

Ta’rifi. At rest shifrlash - bu jismoniy tashuvchiga yoki «xom» saqlash joyiga ruxsatsiz kirish mazmunni oshkor qilmasligi uchun tashuvchiga (disklar, snapshotlar, bekaplar, obyektlar, loglar, xotira dampalari) yozilgan ma’lumotlarni himoya qilishdir.

Biz nimani qoplaymiz?

Blok/fayl jildlari, obyekt saqlovxonalari, ma’lumotlar bazalari, navbatlar/keyvelyu, kesh-damplar, loglar/treyslar, zaxira nusxalar, eksport/import, VM/konteyner suratlari, yadro/jarayon damplari, haydash/swap.
Ko’p ijarali stsenariylar: mijozlar/loyihalar/muhit o’rtasida izolyatsiya.

Biz buni to’liq qoplamaymiz: xotira seanslarini o’g’irlash, jonli jarayonga hujum qilish, ilovaning zaifligi, hisob ma’lumotlarini buzish. Buning uchun «parvoz paytida» shifrlash, qat’iy autentifikatsiya/avtorizatsiya, huquqlarni minimallashtirish va monitoring qilish talab etiladi («Autentifikatsiya va avtorizatsiya» «, Imzo va so’rovlarni verifikatsiya qilish»).

2) Tahdidlar modeli va nazorat maqsadlari

Namunaviy tavakkalchiliklar:
  • Tashuvchini yo’qotish/o’g "irlash (disk, lenta, USB, ishlab chiquvchi qurilma).
  • Bekap/snapshot/loglarga ruxsatsiz kirish.
  • Platforma/gipervizor/storaj-nod darajasida imtiyozlarni suiiste’mol qilish.
  • Moslamada xato roʻy berganda ijarachilarni kesib oʻtish.
  • Artefaktlar va tasvirlarga tushadigan vaqtinchalik fayllar va dampalar.
Maqsadlar:

1. Manbadagi ma’lumotlarning maxfiyligi.

2. Ijarachilar/atrof-muhitni kriptografik izolyatsiya qilish.

3. Kalitlarning boshqarilishi (yaratish, saqlash, rotatsiya, chaqirib olish).

4. Auditorlik (kalitdan kim va qachon foydalangan).

5. Hodisalarda foydalanish xavfini minimallashtirish.

3) Arxitekturaning bazaviy prinsiplari

Hamma narsani andoza tarzda shifrlash. Opt-out tavakkalchilik darajasida istisnosiz taqiqlanadi.
Kalit ierarxiyasi (envelope encryption). Root/KEK → DEK (data encryption keys) → obʼektlar/fayllar/DB sahifalari.
Ishonch manbai sifatida KMS/HSM. KEKni KMS/HSMda yaratish va saqlash, kalitlarni oʻrash/joylashtirish operatsiyalari shu yerda amalga oshiriladi.
Per-tenant/per-dataset kalitlari. Izolyatsiya va rotatsiya talablariga muvofiq granulyarlik.
Vazifalarni ajratish. Platforma jamoalari ≠ ijarachi kalitlari egalari; imtiyozlar minimumi (PoLP).
Crypto-agility. Algoritmlar/kalitlar uzunligini xavfsiz koʻchirish imkoniyati.
Rotatsiya hodisa emas, balki jarayon sifatida. Kalitlar va maʼlumotlar «harakatlanuvchi» almashtirishni qoʻllab-quvvatlashi kerak.

4) Shifrlash algoritmlari va rejimlari

Obʼektlar/fayllar/yozuvlar uchun: AES-256-GCM yoki AES-256-SIV (autentifikatsiyalangan AEAD).
Blok qurilmalari/jildlari uchun: AES-XTS-256/512 (bloklarning almashtirilishidan himoya qilish; AEAD emas - MAC bilan fayl formatlaridan yaxlitlik muhim boʻlgan joyda foydalanish).

Maʼlumotlar bazasi uchun:
  • TDE (Transparent Data Encryption) движка: Oracle TDE, SQL Server TDE, MySQL/InnoDB TDE и пр.
  • Dala/kichik kriptografiya (FPE/determinirlangan shifrlash) - shifrlangan maydonlarda qidirish/joylar imkoniyatlari uchun; ehtiyotkorlik bilan qo’llash.
  • Kalitlarni ishlab chiqarish va saqlash: KEK - KMS/HSM da; DEK - ilovalar xotirasida, saqlashda - faqat o’ralgan holda.

5) Kalitlar ierarxiyasi va KMS/HSM

Darajalar:

1. Root key (statut, HSM/KMS). HSM/KMS perimetri chiqmaydi.

2. KEK (Key Encryption Key). Loyihaga/atrof-muhitga/ijarachiga. DEK hayot siklini boshqaradi.

3. DEK (Data Encryption Key). Obyekt/fayl/jadval/segment. Qisqa umr ko’rish, to’xtovsiz rotatsiya.

Amaliyot:
  • Barcha o’rash/joylashtirish operatsiyalari audit bilan KMS API orqali amalga oshiriladi.
  • Siyosatchilar: kimlar kalitdan «foydalanishi» ≠ kimlar kalitni «boshqarishi» mumkin.
  • Moslama: pin-to-region + dual-control.
  • Yuqori xavfli operatsiyalar uchun «ikki cheklik» model (ikki operator) boʻlishi mumkin.
  • Kuchli darajadagi izolyatsiya uchun - ijarachiga alohida key-rings.

6) Rotatsiya, chaqirib olish va komplayens

DEK rotatsiyasi: shaffof va doimiy (obʼektlar/sahifalar darajasida rolling re-encryption).
KEKni rotatsiya qilish: davriy (masalan, har 6-12 oyda bir marta) + kompromatatsiyaga shubha qilinganda darhol chaqirib olish.
Foydalanishni qaytarib olish: KMS siyosati orqali; unwrap operatsiyalarini blokirovka qilish = ma’lumotlarning bir zumda «kripto-yo’q qilinishi».
Audit jurnallari: kalitlardan kim, qachon, qanday huquqlar bilan foydalangan; alohida saqlash va uni ham shifrlash.
Me’yorlar va standartlar: soha talablariga (masalan, GDPR/PCI-ruxsatnomalar/mahalliy regulyatorlar) e’tibor qaratamiz, sertifikatlangan kripto modullaridan foydalanamiz (masalan, sertifikatlashtirish darajalariga muvofiqligi).

7) Saqlash turlari bo’yicha patternlar

7. 1 Blok/fayl jildlari va VM/konteynyerlar

Toʻliq diskli shifrlash (XTS) + KMS orqali kalitlarni boshqarish (oʻrnatishda jildni ishga tushirish).
Swap, crash-damplar, tmp-direktoriyalar, konteyner overlay qatlamlari ,/AMI tasvirlarini himoya qilish.
Rasmlar/snapshotlar - har doim alohida DEK bilan shifrlangan ko’rinishda.

7. 2 Obyekt ombori

Envelope encryption: obyekt uchun noyob DEK; sarlavhalar/meta-ma’lumotlar - PII sizib chiqishsiz.
Ijarachilar va atrof-muhit bo’yicha KMS kalitiga kirishni nazorat qilish.
Server-sayd shifrlash (SSE o’z KMS bilan) yoki mijoz-sayd (CSE) - ishonchli model bo’yicha tanlash.

7. 3 Maʼlumotlar bazasi

Mavjud boʻlgan TDEni yoqish; DB kalitlarini plagin/ekstenshn orqali KMSga ulash.
Alohida sezgir sohalar uchun - DBga tushgunga qadar amaliy shifrlash (AEAD).
Redo/tranzaksiya daftarlari, arxiv daftarlari, dampalar - alohida shifrlansin, kalitlar - alohida shifrlansin.

7. 4 Logi/treys/metrika

Log formati - andoza maʼlumotlarsiz (sanitizing).
Log arxivlari - alohida kalitlar va qisqa saqlash TTL.
Loglarni o’qish A&A va auditga ega proksi-servis orqali amalga oshiriladi.

7. 5 Zaxira nusxalar va oflayn tashuvchilar

Lenta/bulutga yozilgunga qadar har doim mijoz tomonidan shifrlash.
Kalitlarni alohida saqlash (out-of-band), escrow alohida nazorat bilan.
Favqulodda holatlar uchun - master-kirishni tiklash uchun sirni ajratish (masalan, m-of-n).

8) Ko’p ijara (multi-tenant)

KEK-per-tenant + DEK-per-dataset.
Siyosatlar bilan izolyatsiya: KMS nomlari, IAM chegaralari, alohida IDP rollari.
Mijozning so’roviga ko’ra olib tashlash: «kripto-o’chirish» - KEK ijarachisini chaqirib olish va DEKni yo’q qilish.
Mijoz uchun hisobot: muvofiqlik artefaktlari, kalitlardan foydalanish loglari, rotatsiyani tasdiqlash.

9) Unumdorlik va ekspluatatsiya

Apparat tezlashuvi (AES-NI/x86, ARMv8 Crypto Extensions).
Issiq yoʻllarni profillash: I/O chegaralarida shifrlash, keraksiz ikki marta shifrlashdan qochish.
KMS seans pullari, xotirada o’ralgan DEKlarni keshlash (TTL va damplardan himoyalangan).
SLO/metriklar: unwrap latentligi, qayta shifrlangan obʼektlar ulushi, KMS xatolari, bekap shifrlash tezligi.

10) Joriy etish jarayoni (reference runbook)

0-qadam - ma’lumotlarni inventarizatsiya qilish. Barcha omborlarni va oqish yoʻllarini (tmp, dampalar, eksport, analytics-baketalar) kataloglash.
1-qadam - asosiy ierarxiya dizayni. KEK/DEK darajalari, granulyarligi, hududlari, rollarini aniqlaymiz.
2-qadam - rejimlarni/kutubxonalarni tanlash. Tasdiqlangan algoritmlar, kriptoblioteklar, versiyalar siyosati.
3-qadam - KMS/HSM bilan integratsiya. Generatsiya/o’rash/audit, IAM siyosati, geo-pinning.
4-qadam - yozish uchun shifrlash. Mavjud maʼlumotlarni orqa fon-reenkript orqali koʻchirishni andoza holga keltirish.
5-qadam - rotatsiya va avariya stsenariylari. Reglamentlar, «key compromise», «KMS mavjud emas» testlari.
6-qadam - monitoring va audit. Dashbordlar, alertlar, muntazam muvofiqlik hisobotlari.
7-qadam - o’qitish va «secure coding». Muhandislar uchun gaydlar, sirlarni loglar/dampalarga olib chiqishni taqiqlash.

11) Test sinovi va verifikatsiya

Kripto-yunit testlari: AEAD to’g "riligi (teglarni tekshirish), bayt o’zgarganda rad etishni validatsiya qilish.
Failure-tests: KMS oʻchirilishi, kalitlarning eskirgan versiyalari, KEKni majburiy chaqirib olish.
Red/Blue testlari: «xom» disk/snapshot/backap o’qishga urinish.
Moslikni tekshirish: algoritmlar/kalitlar uzunligi (crypto-agility).
Kutubxonalarni attestatsiyadan o’tkazish: faqat tekshirilgan kripto modullaridan foydalanish; versiyalarni yozib olish.

12) Tez-tez xatolar va ulardan qanday qochish mumkin

Maʼnosiz ikki marta shifrlash. Ortiqcha latentlik va murakkablik. Kerakli granulyarlik va izolyatsiyani beradigan qatlamni ushlab turing.
Kalitlarni maʼlumotlar yonida saqlash. Kalitlar har doim alohida, boshqa kirish modeli ostida.
Unutilgan artefaktlar. Shifrlanmagan vaqtinchalik fayllar, CSV eksport, qoʻllab-quvvatlash dampalari. Boshqaruvni CI/CD va Data Loss Preventionga kiriting.
Rotatsiya yo’qligi. Rotatsiyani qoʻlda emas, balki pipeline/cron qismiga aylantiring.
Sezgir ma’lumotlarga ega loglar. Loglar formati va avtomatik sanitayzerlar uchun shartnoma kiriting.

13) Mini-retseptlar (psevdokod)

Obʼektni envelope-shifrlash: 

1) Request unwrap DEK from KMS by tenant KEK id dek = kms. unwrap(kek_id, wrapped_dek)

2) Generate fresh nonce/iv, encrypt payload (AEAD)
ciphertext, tag = aead_encrypt(dek, iv=random(), aad=metadata, plaintext=data)

3) Delete DEK from memory (zeroize), save {ciphertext, iv, tag, wrapped_dek}
KEK rotatsiyasi: 

For each object:
new_wrapped_dek = kms. rewrap(old_wrapped_dek, old_kek_id -> new_kek_id)
store(new_wrapped_dek)
We do not touch the data: we turn over only DEK
Ma’lumotlar to’plamini «kripto-o’chirish»: 

kms. disable_key (tenant_kek_id) # Deny unwrap kms. schedule_destroy (tenant_kek_id, hold_period_days=7) # Optional hold

14) Chek-varaqlar

Ishga tushirishdan oldin:
  • Barcha turdagi saqlovchilar uchun andoza shifrlash yoqilgan.
  • Kalitlar ierarxiyasi tavsiflangan va amalga oshirilgan; rollar va IAM siyosatchilari sozlangan.
  • KMS/HSM integratsiyalashgan, asosiy operatsiyalar auditi kiritilgan.
  • DEK/KEK rotatsiyasi avtomatlashtirilgan; buzish stsenariylari ishlab chiqildi.
  • Bekaplar, snapshotlar, loglar va damplar - shifrlangan; kalitlar alohida saqlanadi.
  • KMS xatolari, AEAD noto’g’ri xatolari, shifrlanmagan artefaktlar ulushi uchun alertlar sozlangan.
  • KMS va kalitlarni qaytarib olish uchun sinovlar oʻtkazildi.
Foydalanish:
  • Kalitlardan foydalanish va kirish urinishlari to’g’risida oylik hisobot.
  • crypto-agility rejasi va og’riqsiz algoritm migratsiyasi uchun oyna.
  • Vaqti-vaqti bilan «xom» manbalardan ma’lumotlar olish uchun Red-team.

15) Savollar va javoblar (SSS)

V: To’liq diskli shifrlash etarlimi?
O: Jismoniy xavf uchun - ha, lekin ijarachilarni izolyatsiya qilish va moslashuvchan rotatsiya uchun DEK-obyekt/to’plam bilan envelope qilish yaxshiroqdir.

V: KEKni buzishda nima qilish kerak?
O: KEKni darhol KMSga chaqirib oling, yangisini qayta chiqaring, barcha DEKlarni rewrap qiling, jurnallarni tekshiring va RCA o’tkazing.

S: Qidirilayotgan maydonlarni qanday shifrlash kerak?
O: Determinirlangan sxemalardan yoki FPEdan faqat tavakkalchiliklarni (pattern leklarini) qat’iy baholashda foydalanish. Nozik maydonlar indekslanadigan ochiq koʻrinishni talab qilmasligi uchun soʻrovlarni loyihalash yaxshiroqdir.

S: Kalitlar uchun alohida buyruq kerakmi?
O: «Crypto/KMS operatori» alohida huquq va tartib-taomillarga ega rol sifatida tavsiya etiladi.

«Arxitektura va bayonnomalar» bo’limidagi bog’liq materiallar:
  • «Kalitlarni boshqarish va rotatsiya»
  • «S2S-autentifikatsiya»
  • «So’rovlarning imzosi va verifikatsiyasi»
  • «OAuth2/OpenID Connect yadrosida»
  • «Vebxuklarni yetkazib berish kafolatlari»
Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.