GH GambleHub

Oziq-ovqat muhitini mustahkamlash va audit

1) Javobgarlikning maqsadi va zonasi

Prodakshen nafaqat «eng barqaror muhit», balki eng hujumkor muhitdir. Bizning vazifamiz:
  • hujum maydonini va Blast Radiusni minimallashtirish;
  • yetkazib berish kanallari, hisob-kitoblari, sirlari va artefaktlarini himoya qilish;
  • hodisalarni MTTR maqsadlaridan tezroq aniqlash va ularga javob berish;
  • normativlarga (GDPR/PCI DSS/lokal qoidalar) muvofiqligini tasdiqlash;
  • barcha tanqidiy harakatlarning tekshiruvchanligini (auditability) saqlab qolish.

Asosiy tamoyillar: Zero Trust, Least Privilege, Segmentation, Everything-as-Code, Security-by-Default.

2) Tarmoq perimetri va segmentatsiyasi

Segmentlar: Edge (WAF, bot-menejment, DDoS), DMZ (gateway), App (mikroservislar), Data (BD/keshlar), Backoffice/Ops (CI/CD, observability).
L4/L7 siyosati: deny-by-default, servislar/neyspeyslar/portlar bo’yicha aniq allow.
klaster ichida mTLS; TLS 1. 2 + perimetrda, HSTS, xavfsiz shifrlar.
Kirish filtri: WAF (OWASP Top-10), anti-bot, rate limits, geo/ASN-bloklar, CAPTCHA xavf-yo’lda.
DDoS protection: always-on + auto-mitigation, API/statik kontent uchun alohida profillar.
Egress-nazorat: faqat provayderlar uchun zarur tashqi xostlar (PSP/KYC/o’yinlar).

3) O’ziga xoslik, foydalanish va imtiyozlar (IAM/PAM)

SSO (OIDC/SAML) + odamlar uchun MFA; Services uchun OIDC-tokenlar/Workload Identity.
RBAC/ABAC: minimal zarur ruxsatnomali rollar; «break-glass» audit va TTL orqali kirish.
PAM: so’rov bo’yicha imtiyozli sessiyalar yozish, to’liq yozish va jurnallashtirish.
CIEM (bulutlar): haddan tashqari huquq va o’lik rollarni izlash, avto-remediatsiya.
Prod-ma’lumotlarga kirish: faqat tasdiqlangan jump/proksi orqali, PII niqoblangan.

4) Sirlar va kriptografiya

KMS/HSM: kalitlarni saqlash, envelope-shifrlash, bildirishnomalar bilan rotatsiya qilish.
Maxfiy menejer: qisqa yashaydigan kredlar, sirlarni Git/loglardan chiqarib tashlash.
Imzolar: artefaktlar (cosign), webhooks (HMAC), xizmat tokenlari.
PAN/PII maydonlari: at-rest tokenlash/shifrlash; loglarda va prevyuda niqoblash.
Rotatsiya siyosati: kalitlar/sertifikatlar/parollar - tartibli va majburiy.

5) Konteynerlar va Kubernetes (CWPP/KSPM)

Bazaviy tasvirlar: minimal, CI bo’yicha zaiflik skaneri; mumkin boʻlgan joyda rootless.
Admission-siyosati (OPA/Gatekeeper/Kyverno): taqiqlangan’: latest’,’privileged’, hostPath; tasvirlarni imzolashni talab qilamiz.
NetworkPolicies: Xizmat aloqasi faqat kerak boʻlganda.
PodSecurity: cheklangan capabilities, read-only FS, seccomp, AppArmor.
Sirlar: Secret Store CSI (KMS) dan; manifestlarda hech qanday plain-sir yo’q.
Runtime-himoya: xulq-atvor qoidalari (eBPF), anomaliyadagi alertlar.

OPA qoidalari misoli (imzolanmagan tasvirlarni taqiqlash): 
rego package k8sadmission deny[msg] {
input. request. kind. kind == "Pod"
some c image:= input. request. object. spec. containers[c].image not startswith(image, "registry. company. com/signed/")
msg:= sprintf("Image must be signed and come from trusted registry: %v", [image])
}

6) Yetkazib berish zanjiri: ishoning, lekin tekshiring

har bir bild uchun SBOM; saqlash va reliz bilan bog’lash.
Rasmlar/manifestlar imzosi, admission-kontrollerda tekshirish.
SLSA-attestatsiyalar: artefaktlarning isbotlanadigan kelib chiqishi.
Policy-as-Code: Conftest/OPA to’Terraform/Helm/K8s oldidan.
Prodda «last-minute patching» ni taqiqlash: barcha oʻzgarishlar faqat payplayn orqali amalga oshiriladi.

7) Zaifliklar va patchlarni boshqarish

SCA/SAST/DAST в CI; critical/high uchun blokirovka ostonalari.
Haftalik yangilanishlar batchlari (rasmlar, OS-paketlar, kutubxonalar) + shoshilinch rejadan tashqari.
Bajarilgan tuzatishlar → CVE/SBOM bilan bogʻlangan tiketlar/relizlar.
EASM: hujum yuzasining tashqi koʻrinishi (poddomen, ochiq portlar, sertifikatlar).
Muntazam pen-testlar: yiliga kamida bir marta + tanqidiy oqimlar bo’yicha maqsadli (to’lovlar/KShA).

8) Audit artefaktlarining loglari, metrikalari, trassalari va saqlanishi

Standartlashtirilgan loglar (JSON) s’trace _ id’,’request _ id’, user/tenant/geo (taxallusli), PII/PANsiz.
Metriklar: p50/p95/p99, error-rate, saturation, DLQ, retray, biznes-KPI (Time-to-Wallet).
Treysing (OTel): kritik yo’nalishlar uchun end-to-end (depozit/KTS/chiqarish).
SIEM: voqealarning korrelyatsiyasi (autentifikatsiya, rollarni o’zgartirish, ma’muriy harakatlar, WAF/bot qoidalari).
SOAR: avto-reaksiyalar (pod izolyatsiyasi, tokenni chaqirib olish, IP/ASN bloki, relizni taqiqlash).
Retenshn: operatsion loglar - 30-90 kun issiq saqlash, audit-artefaktlar - siyosatga ko’ra uzoqroq.

Minimal log formati (misol): 
json
{
"ts":"2025-11-05T15:00:00Z",
"sev":"WARN",
"svc":"payments-api",
"route":"POST /v1/payments",
"trace_id":"2f9f...e1",
"user":"anon",
"tenant":"eu-casino-12",
"geo":"EU",
"event":"circuit_breaker_open",
"provider":"psp-1"
}

9) Antibot, firibgarlik va himoya stsenariylari

Bot-menejment: signatura/xulq-atvor, device-fingerprint, dinamik challenglar.
Rate limits/quotas: per-user/tenant/IP; anomaliyalarda moslashuvchan.
Kritik endpointlardagi RASP-datchiklar (webhooks imzosini chetlab o’tishga urinishlar, soat dreyflari, qayta yetkazib berish).
Fraud-signallar: kanallar (loginlar, to’lovlar, KYC), avto-eskalatsiyalar bo’yicha korrelyatsiya.

10) Zaxiralash, DR va BCP

RTO/RPO maqsadlari aniqlangan va sinovdan o’tkaziladi (masalan, RTO ≤ 1 soat, RPO ≤ to’lov ma’lumotlari uchun 5 daqiqa).
Bekaplar: shifrlangan, vaqti-vaqti bilan oflayn saqlovxonada; muntazam restore-testlar.
Geo-takrorlash: hududlar bo’yicha aktiv-passiv/aktiv-aktiv; TTL nazorati bilan DNS-failover.
Tanqidiy qaramliklar katalogi (PSP/KYC/oʻyin agregatorlari) va almashtirish rejalari.

11) Hodisalar va harakat qilish

Runbooks: provayderning yiqilishi, yashirin o’sishi, tokenning buzilishi, DDoS uchun.
On-call: 24/7, rotatsiyalar va blast-peyjlar; qo’shma «war-room» amaliyoti.
Aloqa: mijozlar/hamkorlar va regulyatorlarga xabar namunalari.
Post-mortem (blameless): takrorlanishning oldini olish, siyosatni/pleybuklarni yangilash.

12) Komplayens va maxfiylik

GDPR: ma’lumotlarni minimallashtirish, rozilik registrlari, olib tashlash/portlash huquqi; Yangi provayderlar uchun DPIA.
PCI DSS: tokenizatsiya/izolyatsiya qilingan PAN zonalari, tarmoq segmentlari, qattiq kirish jurnallari.
Mahalliy talablar (bozorlar yurisdiksiyasi): hududda ma’lumotlarni saqlash, hisobot, yangilanish oynalari.
Data Lineage: PII/PAN qayerda va qanday oqadi; DevPortal’dagi sxemalar va DPIA.

13) Audit: turlari, artefaktlari va tsikli

Audit turlari:
  • Ichki (har chorakda): siyosatchilarga muvofiqlik, o’zgarishlar, kirishlar, sirlar, loglar, payplaynlarni nazorat qilish.
  • Tashqi (har yili/talablar bo’yicha): PCI/GDPR/lokal regulyatorlar, pen-testlar, provayderlarning SOC-hisobotlari.
Asosiy artefaktlar (oldindan nima tayyorlash kerak):
  • Xavfsizlik siyosati, rollarning IAM matritsasi, muddati tugagan istisnolar ro’yxati.
  • Infratuzilma o’zgarishlari daftarlari (IaC), CI/CD hisobotlari (SBOM, imzolar, testlar).
  • Provayderlar reyestri (PSP/KYC/o’yinlar), DPIA/vendor-tavakkalchilik baholari, shartnomalar va SLA.
  • Prodga kirish jurnallari, sirlarni rotatsiya qilish natijalari, SIEM/SOAR hisobotlari.
  • DR/BCP rejalari va so’nggi restore-testlar protokollari.
Auditga yondashuv:
  • «Evidence-first»: har bir amaliyot - tekshiriladigan artefakt.
  • «No humans in prod»: payplaynlar va ma’qullangan buyurtmanomalar orqali maksimal; barcha sessiyalar - jurnal ostida.
  • «Trace everything»: oʻzgarishlarni hodisalar/metriklar bilan bogʻlang.

14) Guardrails-as-Code: misollar

Terraform uchun Conftest (ommaviy ma’lumotlar bazasini taqiqlash): 
rego package terraform. deny deny[msg] {
input. resource. type == "aws_db_instance"
input. resource. publicly_accessible == true msg:= "RDS must not be public"
}

AdmissionPolicy (K8s): Xavfsizlik belgilari va resurs limitlari talab qilinadi

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: enforce-security-labels-and-limits spec:
rules:
- name: require-labels match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "security labels required"
pattern:
metadata:
labels:
security. tier: "?"
data. classification: "?"
- name: require-limits match: {resources: {kinds: ["Deployment","StatefulSet"]}}
validate:
message: "resources limits/requests required"
pattern:
spec:
template:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"
requests:
cpu: "?"
memory: "?"

15) Oziq-ovqat muhitining kundalik gigiyenasi chek-varaqasi

  • WAF/bot siyosati faol, belgilar yangilangan; always-on rejimida anti-DDoS.
  • Klaster Admission-nazoratchilari enforce holatida, audit emas.
  • Barcha prod-obrazlar imzolangan; SBOM mavjud va relizga bogʻlangan.
  • critical/high - zaifliklari mavjud emas yoki sanasi bilan istisnolar bilan qayd etilgan.
  • Sirlarni/sertifikatlarni almashtirish - jadval bo’yicha, kechikishlar yo’q.
  • SIEM IAM/relizlarga kirish/o’zgartirish hodisalarini bog’laydi; SOAR pleybuklari sinovdan o’tkaziladi.
  • Bekaplar jadvalda qayta tiklash testidan o’tdi; Validen DR-rejasi.
  • Prodga kirish - faqat SSO + MFA/PAM orqali; barcha sessiyalar yozib olinadi.
  • «No PII in logs» - skanerlar tomonidan tasdiqlanadi; maskalash yoqilgan.
  • Release gates va kuzatish «as-code» yangilandi.

16) Etuklik modeli (qisqacha)

1. Bazaviy - qoʻl oʻzgarishlari, yagona perimetr, qisman monitoring.
2. Ilgʻor - segmentatsiya, IAM/RBAC, imzolangan artefaktlar, WAF/DDoS, SIEM, muntazam patchlar.
3. Ekspert - Zero Trust, guardrails-as-code, SLSA-attestatsiya, runtime-himoya, SOAR-avtomatlashtirish, «no humans in prod», uzluksiz audit.

17) Joriy etish yo’l xaritasi

M0-M1 (MVP): tarmoq segmentatsiyasi, WAF/DDoS, SSO + MFA, KMS, bazaviy Admission-policy, standartlashtirilgan loglar/metriklar/treyslar, SIEM.
M2-M3: imidjlar imzosi va admission, SBOM, Conftest/OPAni IaC, PAMda tekshirish, rotatsiya rejasi, muntazam patchlar, birinchi DR-testlar.
M4-M6: SOAR-pleybuklar, eBPF/runtime-detekt, EASM, komplayens-paket (PCI/GDPR), audit artefaktlarining to’liq to’plami, hududlar bo’yicha ring-DR.
M6 +: Zero-Trust tarmog’i (hamma joyda mTLS), CIEM, auditning avtomatlashtirilgan nazorat hisobotlari, doimiy «purple-team» test.

Qisqacha xulosa

Kuchli oziq-ovqat - bu «temir» qoidalar to’plami emas, balki segmentatsiya, qat’iy o’ziga xoslik va sirlar, xavfsiz etkazib berish, boshqariladigan konteynerlar, kuzatuv va avtomatlashtirilgan reaktsiya tizimi. Bunga tekshirish qobiliyatini qo’shing (audit artefaktlari, SBOM/imzolar, jurnallar) va sanoat muhiti oldindan aytib bo’ladigan, boshqariladigan va tashqi tekshirishlarga tayyor bo’ladi - relizlar tezligi va biznes SLO bo’yicha murosasiz.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Telegram
@Gamble_GC
Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.