GH GambleHub

Infratuzilmadagi xavfsizlik qatlamlari

(Bo’lim: Texnologiyalar va infratuzilma)

Qisqacha xulosa

Xavfsizlik qatlamlar tizimidir: har bir qatlam oldingi qatlam muvaffaqiyatsiz tugagan boʻlsa, hujumni toʻxtatadi va aniqlaydi. iGaming uchun bu ayniqsa juda muhim: to’lov oqimlari, PII, sheriklik integratsiyalari va eng yuqori yuklar. Quyida - tarmoq, identifikatsiya, ilovalar, ma’lumotlar va operatsion jarayonlarni bitta boshqariladigan dasturga bog’laydigan defense-in-depth ramkasi.

1) Tahdidlar modeli va bazaviy prinsiplar

Threat Modeling: Asosiy oqimlar uchun STRIDE/kill chain (login, depozit, stavka, chiqish, backofis).
Zero Trust: «andoza ishonmaslik», minimal huquqlar, har bir xopda tekshirish.
Least Privilege & Segregation of Duties: rollar atom, sezgir operatsiyalar bo’lingan.
Secure by Default: yopiq portlar, deny-all siyosati, xavfsiz defoltlar.
Auditability: barcha kirish/o’zgarishlar - markazlashtirilgan auditda.

2) Tarmoq va perimetr

Maqsad: yonma-yon harakatlanishga yo’l qo’ymaslik va xavfni izolyatsiya qilish.

Segmentatsiya/zonalar: Edge (CDN/WAF) → API → servislar → maʼlumotlar (DB/KMS) → admin/backofis.
VPC/VNet izolyatsiya + ommaviy/xususiy servislar uchun kichik tarmoqlar; NAT/egress-nazorat (shu jumladan PSP/o’yin provayderlariga egress-allowlist).
mTLS hamma joyda (mesh/Ingress), TLS 1. 2 +/HSTS/aniq kriptokonfiguratsiya.
perimetrda WAF/bot-menejment/DDoS; credential stuffing uchun anti-skoring.
DNS xavfsizligi: split-horizon, DNSSEC, nosozlikka chidamlilik, kritik domenlar uchun kesh-pinning.

Пример: Kubernetes NetworkPolicy (deny-all + allow-list): 
yaml apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: { name: api-deny-all, namespace: prod }
spec:
podSelector: { matchLabels: { app: api } }
policyTypes: [Ingress, Egress]
ingress: [] # deny-all egress:
- to:
- namespaceSelector: { matchLabels: { name: prod } }
podSelector: { matchLabels: { app: payments } }
ports: [{ protocol: TCP, port: 8080 }]

3) O’ziga xoslik va foydalanish imkoniyati (IAM/PAM)

Maqsad: har bir kirish asosli, cheklangan va shaffof audit qilinadi.

odamlar va mashinalar uchun SSO + MFA; imtiyozli hisoblar uchun apparat kalitlari.
bulutlar/K8s/backofis uchun RBAC/ABAC; SCIM - avtomatik yoqish/oʻchirish.
JIT-kirish (vaqtinchalik), kuchaytirilgan auditga ega break-glass.
Service Accounts qisqa yashaydigan tokenlar (OIDC/JWT), mijoz sirlari auditi.
Bastion/oynali buyruqlar: prod-DD/tugunlarga kirish - faqat bastion va yozib olish seanslari orqali.

4) Sirlar va kalitlar

Maqsad: kalitlarning oqishini bartaraf etish va boshqariladigan hayot siklini ta’minlash.

KMS/HSM (usta kaliti), muntazam rotatsiya; kalitlarni zonalar/maqsadlar bo’yicha ajratish.
dynamic-creds va lease bilan maxfiy saqlash (Vault/Cloud KMS Secrets).

Shifrlash:
  • At rest (DB/baketalar/snapshotlar) bilan envelope encryption.
  • In transit (TLS/mTLS).
  • to’lov ma’lumotlari uchun Tokenization; PAN-safe oqimlari va 3-domain security (PCI DSS).
Misol: Vault siyosati (parcha): 
hcl path "kv/prod/payments/" {
capabilities = ["read","list"]
}
path "database/creds/readonly" {
capabilities = ["read"]
}

5) Konteynerlar va Kubernetes xavfsizligi

Maqsad: hujum yuzasini rantaym darajasida minimallashtirish.

Tasvirlar: minimal bazaviy, kompilatorlarsiz/shelllarsiz; imzolar (cosign) va SBOM.
Admission-control (OPA/Gatekeeper/Kyverno): taqiq’: latest’,’privileged’,’hostPath’,’root’.
Runtime-политики: Seccomp/AppArmor, `readOnlyRootFilesystem`, `drop ALL` capabilities + allow-list.
Secrets - maxfiy menejerdan volume/env; bake-insiz tasvirga.
PodSecurity (или Pod Security Admission): enforce restricted.
Registrlar: shaxsiy, zaifliklar tekshirilgan (SAST/DAST/CSA).

Gatekeeper Constraint (misol): 
yaml apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sAllowedRepos metadata: { name: only-internal-registry }
spec:
repos: ["registry.internal.local/"]

6) Supply-chain и CI/CD

Maqsad: komitdan prodakshngacha bo’lgan artefaktlarga ishonish.

Branch-policies: kod-revyu, himoyalangan shoxlar, majburiy tekshiruvlar.
Artefaktlar va provenance imzosi (SLSA/COSIGN), o’zgarmas teglar (immutabel tasvirlar).
SBOM (CycloneDX/SPDX), Dependabot/Renovate va pinning qaramliklari.
Izolyatsiya CI: efemer rannerlar, sirlar faqat himoyalangan joblarda, no-plaintext.
CD-geytlar: quality/SAST/litsenziya/vendor-siyosat; faqat GitOps orqali reklama qilinadi.

7) Ilovalar xavfsizligi (API/veb/mobil)

Maqsad: mantiqiy va texnik hujumlarning oldini olish.

AuthN/AuthZ: OAuth2/OIDC/JWT; qisqa TTL, kalitlar rotatsiyasi, audience/issuer tekshiruvlari.
Input Security: validatsiya/normallashtirish, in’ektsiyalardan himoya qilish, parametrli shablonlar.
CSP/HSTS/XFO/XSS-Protection, qattiq CORS, yuklanadigan MIME/o’lchamlarini cheklash.
Rate limit/quotas, idempotency-keys to’lovlar/to’lovlar uchun.
Ficheflaglar: xavfli funksiyalar uchun tezkor kill-switch.

NGINX security headers (parcha): 
nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; img-src 'self' data: https:;" always;
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options DENY;

8) Ma’lumotlar, PII va komplayens (shu jumladan PCI)

Maqsad: minimal yig’im, minimal kirish, maksimal shaffoflik.

Data-zones/классы: `public/internal/confidential/pii/pci`. Saqlash va loglardagi teglar.
PII ni minimallashtirish: «player _ id» taxallusini, to’lov rekvizitlarini tokenlashtirishni.
Saqlash siyosati: issiq/sovuq, audit uchun WORM; TTL boʻyicha avtomatik oʻchirish.
Kirish: faqat kelishilgan rol va atributlar orqali (mintaqa/maqsad).
PCI segmentatsiyasi: izolyatsiya qilingan segment, kirish jurnallari, muntazam skanerlar/ASV.

9) Edge qatlami: CDN/WAF/DDoS/bot himoyasi

Maqsad: «axlat» ni platforma yadrosigacha ekish.

CDN: geo-bloklar, kesh-strategiyalar, layer-7 dan himoya qilish.
WAF: API (JSON-sxemalar, nostandart usullarni taqiqlash) uchun asosiy belgilar + kastom qoidalari.
Botlar: xulq-atvor tahlili, device fingerprint, rate-limit/anomaliyalarda kapchi.
TLS/ALPN: Eski shifrlarni oʻchirish, OCSP stapling dasturini yoqish.

10) Monitoring, telemetriya va SecOps

Maqsad: hujumlarni ko’rish va hodisadan oldin javob berish.

Kuzatish darajasi: metriklar/loglar/treyslar’trace _ id’va audit-maydonlari bilan.
SIEM/SOAR: voqealarning korrelyatsiyasi (autentifikatsiya, IAM, WAF ishlashini o’zgartirish, sirlarga kirish).
Aniqlash qoidalari: portlashlar 401/403, role-escalation, ommaviy to’lovlar, geo anomaliyalari.
Skanerlash: SAST/DAST/IAST, CSPM/KSPM, muntazam pene-testlar va bug-bountilar.
Anti-frod: tranzaksiya/xulq-atvor skoring, velocity-filtrlar, sanksiya ro’yxatlari.

11) Ishonchlilik, zaxira va biznes-kontinuitet

Maqsad: maʼlumotlarni va SLAni yoʻqotmasdan omon qolish.

DB uchun replikatsiya va PITR, testlarni tiklash bilan tez-tez snapshotlar.
DR-reja: RTO/RPO, region failover stsenariylari, almashtirish testlari.
DR sirlari: mustaqil kalitlar/KMS nusxasi, favqulodda rotatsiya jarayoni.
Rasmiy gaydlar: tiklash chek varaqalari va game-day mashqlari.

12) Operatsion jarayonlar va madaniyat

Maqsad: xavfsizlik «andoza» boʻlishi.

Security by PR: sezgir oʻzgarishlar uchun majburiy security-review.
Reliz siyosati: tungi/eng yuqori oynalar yopiq; pre-flight chek varaqalari.
Secure Runbooks: xavfsiz koʻrsatmalar, harakatlar auditi.
O’qitish: fishing-simulyatsiyalar, hodisalar bo’yicha mashg’ulotlar, «jonli» tabletop-sessiyalar.

13) Nazorat ro’yxatlari (qisqacha)

Tarmoq va perimetr

  • WAF/CDN uchun barcha ingress; DDoS yoqilgan
  • xizmatlar o’rtasida mTLS; deny-all tarmoq siyosati
  • Egress-allowlist tashqi provayderlarga

Identifikatsiya

  • SSO+MFA; JIT va break-glass audit bilan
  • RBAC/ABAC, SCIM-ishdan bo’shatish deaktivatsiyasi
  • Qisqa tokenli Service Accounts

K8s/konteynerlar

  • Rasmlar imzosi + SBOM; taqiqlash’: latest ’
  • Seccomp/AppArmor, read-only FS, drop caps
  • Gatekeeper/Kyverno siyosati va deny-roʻyxatlari

Sirlar/kalitlar

  • Vault/KMS, rotatsiyalar, kalitlarni ajratish
  • Shifrlash at rest/in transit
  • To’lovlar uchun Tokenization

CI/CD и supply-chain

  • Efemer rannerlari; sirlar faqat himoyalangan joblarda
  • SAST/DAST/litsenziyalar; artefaktlar imzolari
  • GitOps-reklama, sifat geytlari

Maʼlumotlar/PII/PCI

  • Maʼlumotlarni tasniflash va saqlash teglari
  • Retention/WORM siyosati; rollar boʻyicha kirish
  • PCI segmentini izolyatsiya qilish, ASV skanerlar

SecOps

  • SIEM/SOAR qoidalari, eskalatsiyalar bo’yicha alertlar
  • Anti-frod va velocity filtrlari
  • DR rejasi, RTO/RPO testlari

14) «Qattiq» siyosat misollari

Kyverno: imtiyozli konteynerlarni taqiqlash

yaml apiVersion: kyverno.io/v1 kind: ClusterPolicy metadata: { name: disallow-privileged }
spec:
rules:
- name: no-priv match: { resources: { kinds: ["Pod"] } }
validate:
message: "Privileged containers are not allowed"
pattern:
spec:
containers:
- securityContext:
privileged: "false"

OPA (Rego): taqiqlangan’hostNetwork ’

rego package kubernetes.admission

violation[msg] {
input.request.kind.kind == "Pod"
input.request.object.spec.hostNetwork == true msg:= "hostNetwork is not allowed"
}

15) Anti-patternlar

«Perimetrni himoya qilish» ichki mTLS/segmentation → yonma-yon harakatsiz.
Env-o’zgaruvchan CI sirlari, loglarga tushirish.
Rasmlar’latest’, imzolar va SBOM yo’qligi.
Klasterda allow-all siyosati; hamma narsa uchun umumiy nomlar.
Kalitlar va tiklash testlarini haqiqiy rotatsiyasiz «qogʻozda» shifrlash.
Mantiqni tuzatish va maʼlumotlarni validatsiya qilish oʻrniga WAFga tayanish.
Hech qanday DR/jadval stsenariylari yo’q - reja «chang».

16) Qanday boshlash kerak (90 kunlik reja)

1. 1-2 hafta: assetalar/ma’lumotlarni xatlovdan o’tkazish, tasniflash, oqim xaritasi.
2. 3-4 hafta: mTLS/deny-all tarmoq siyosati, WAF/DDoS/bot-filtrlarni o’z ichiga oladi.
3. Hafta 5-6: Vault/KMS, kalitlarni almashtirish, to’lovlarni tokenlashtirish.
4. 7-8 hafta: Gatekeeper/Kyverno, Seccomp/AppArmor, taqiqlar’privileged ’/’ hostPath’.
5. Hafta 9-10: tasvir imzolari, SBOM, CI/CD geytalari, GitOps-reklama.
6. Hafta 11-12: SIEM/SOAR qoidalari, eskalatsiya alertlari, anti-frod.
7. Hafta 13: DR-mashqlar, runabuklarni yangilash va muvofiqlik maqomi (PII/PCI).

Yakunlar

Xavfsizlik qatlamlari - bu yechimlar arxitekturasi, «belgilar» to’plami emas. Tarmoq segmentatsiyasi va Zero Trust, qatʼiy IAM, xavfsiz konteynerlar/K8s, boshqariladigan sirlar va kripto, himoyalangan payplaynlar, edge-mudofaa va SecOps kuzatuvchanligini birlashtiring. Shunda, hatto hujumlar va nosozliklar sodir bo’lganda ham, platforma ma ma’lumotlarning yaxlitligini, PII/PCI maxfiyligini va har qanday eng yuqori soatlarda asosiy oqimlar - depozitlar, stavkalar va natijalarning mavjudligini saqlab qoladi.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.