Chaindoc logoChaindoc

Turvalisuse parimad tavad

Turvalisus on tundlike dokumentide ja plokiahela tehingute käitlemisel ülimalt oluline. Käesolevas juhendis kirjeldatakse olulisi turvapraktikaid Chaindoc'i kasutuselevõtmiseks ja hooldamiseks tootmiskeskkonnas.

Autentimine ja autoriseerimine

Mitme teguri autentimine (MFA)

Luba alati MFA kõikide kasutajakontode jaoks, eriti administraatorite ja kõrgendatud õigustega kasutajate jaoks. Chaindoc toetab:

  • Ajal põhinevad ühekordsed paroolid (TOTP) autentimise rakenduste kaudu
  • SMS-põhine kinnitamine (vähem turvaline, kasutage ainult vajaduse korral)
  • Riistvaraline turvalisusvõti (FIDO2/WebAuthn)
  • Biomeetriline autentimine toetatud seadmetel

Tugevad paroolipoliitikad

Rakendage ranged paroolinõuded:

  • Minimaalselt 12 tähemärki koos keerukuse nõuetega
  • Salasõna aegub iga 90 päeva järel tundlike kontode puhul
  • Paroolide korduskasutamise vältimine (viimased 10 parooli)
  • Lukustamine pärast 5 ebaõnnestunud sisselogimiskatset
  • Parooli tugevuse mõõtur loomise ajal

Rollipõhine juurdepääsukontroll (RBAC)

Rakendage vähima õiguse põhimõtet, andes kasutajatele ainult neile vajalikud õigused:

  • Määrake selged rollid: vaataja, toimetaja, administraator, audiitor
  • Kasutage dokumendile juurdepääsu jaoks granulaarset õiguste haldamist
  • Kontrollige regulaarselt kasutajarolle ja eemaldage mittevajalikud juurdepääsuõigused
  • Rakendage ajapõhine juurdepääs ajutistele töövõtjatele
  • Eralda kriitiliste toimingute ülesanded (nt heakskiitmise töövood)

Andmete krüpteerimine

Krüpteerimine puhkeolekus

Kõik tundlikud andmed peavad olema salvestamisel krüpteeritud:

  • Kasutage dokumentide salvestamiseks AES-256 krüpteeringut.
  • Krüptige andmebaasi varukoopiad eraldi võtmetega
  • Säilitage krüpteerimisvõtmed spetsiaalses võtmete haldamise teenuses (KMS)
  • Vahetage krüpteerimisvõtmeid kord kvartalis
  • Luba kõigi serverite ja tööjaamade täielik ketta krüpteerimine

Krüpteerimine edastamise ajal

Kaitse andmeid edastamise ajal:

  • Rakendage TLS 1.3 kõigi ühenduste puhul
  • Kasutage tugevaid šifreerimiskomplekte (keelake nõrgad šifrid)
  • Rakendage mobiilirakenduste jaoks sertifikaadi kinnitamine
  • Luba HSTS (HTTP Strict Transport Security)
  • Kasutage krüpteeritud kanaleid plokiahela tehingute jaoks

Blockchaini turvalisus

Privaatvõtme haldamine

Blockchaini privaatsed võtmed on kõige olulisem turvaelement:

  • Ärge hoidke kunagi privaatvõtmeid tavalise tekstina või koodihoidlatena.
  • Kasutage tootmisklahvide jaoks riistvaralisi turvemooduleid (HSM).
  • Rakendage mitme allkirjaga rahakotte suure väärtusega tehingute jaoks
  • Looge võtmevarunduse protseduurid turvalise offline-salvestusega
  • Kasutage erinevate keskkondade jaoks (dev, staging, prod) eraldi võtmeid.

Arukate lepingute turvalisus

Kui kasutate kohandatud nutikaid lepinguid:

  • Enne kasutuselevõttu viige läbi põhjalikud turvaauditid.
  • Kasutage väljakujunenud mustreid ja vältige eksperimentaalset koodi
  • Rakendage hädaolukorra peatamiseks lülituskatkestid
  • Testige põhjalikult testvõrkudes enne peavõrgu kasutuselevõttu.
  • Jälgige ebatavalisi tehingumustreid

Blockchaini auditeerimisjäljed

Kasutage plokiahelat muutumatute auditeerimislogide jaoks:

  • Salvestage kõik dokumendi seisundi muutused ahelas
  • Hash-tundlikud operatsioonid kontrollimiseks
  • Rakendage vastavuse tagamiseks ajamärgete tõendid
  • Kontrollige regulaarselt ahelas olevate andmete terviklikkust
  • Arhiveerige plokiahela tehingute kviitungid

API turvalisus

API autentimine

Turvake kõik API-lõpppunktid:

  • Kasutage autentimiseks OAuth 2.0 või JWT tokenit
  • Rakendage tokenite aegumist (15–60 minutit juurdepääsutokenite puhul)
  • Vahetage API-võtmeid regulaarselt (vähemalt iga 90 päeva järel)
  • Kasutage erinevate teenuste jaoks eraldi API-võtmeid.
  • Ärge avaldage kunagi API-võtmeid kliendi poolel olevas koodis.

Kiiruse piiramine ja DDoS-kaitse

Vältige kuritarvitamist ja teenuse häireid:

  • Rakendage API-võtme ja IP-aadressi kaupa kiiruse piiramist
  • Kasutage eksponentsiaalset tagasilükkamist ebaõnnestunud päringute puhul
  • Kasutage veebirakenduste tulemüüri (WAF)
  • Lülitage DDoS-kaitse sisse CDN/pilvepakkuja tasandil
  • Jälgige ebanormaalset liiklusmustrit

Sisendi valideerimine ja puhastamine

Kaitse end süstimisrünnakute eest:

  • Kontrollige kõiki sisestatud andmeid rangete skeemide alusel
  • Puhastage kasutaja poolt esitatud sisu enne salvestamist/kuvamist
  • Kasutage parameetritega päringuid, et vältida SQL-süstimist.
  • Rakendage sisu turvapoliitika (CSP) päised
  • Kasutage väljundis kõikides kontekstides (HTML, JavaScript, URL-id) escape-märki.

Infrastruktuuri turvalisus

Võrgu segmentatsioon

Eralda kriitilised komponendid:

  • Eralda tootmis-, testimis- ja arenduskeskkond
  • Kasutage tundlike teenuste jaoks VPC-sid ja privaatseid alamvõrke.
  • Piirata andmebaasi juurdepääsu ainult rakendusserveritele
  • Rakendage tulemüüri reegleid vaikimisi keelava poliitikaga
  • Kasutage hüppemajutajaid/bastion-servereid haldusjuurdepääsuks

Patchide haldus

Hoidke süsteemid ajakohased:

  • Rakendage turvaparandusi 48 tunni jooksul pärast nende avaldamist.
  • Automatiseerige sõltuvuste uuendamine muutumatute muudatuste puhul
  • Uuendage regulaarselt konteineripilte ja baasoperatsioonisüsteemi
  • Tellige turvateated kõigi kasutatavate tehnoloogiate kohta
  • Testige lappe enne tootmisseadistamist

Konteinerite ja orkestreerimise turvalisus

Konteineriseeritud rakenduste kasutamisel:

  • Kasutage minimaalselt baaskujutisi (Alpine, Distroless)
  • Skannige pildid enne kasutuselevõttu haavatavuste suhtes
  • Käivitage konteinerid mitte-root-kasutajatena
  • Rakendage podi turvapoliitikaid/standardeid
  • Kasutage salajaste andmete haldamist (mitte keskkonnamuutujaid)
  • Luba võrgupoliitikad, et piirata pod-pod liiklust

Vastavus ja auditeerimine

Regulatiivne vastavus

Tagage vastavus asjakohastele eeskirjadele:

  • GDPR: rakendage õigust andmete kustutamisele ja andmete ülekantavusele
  • HIPAA: lubage auditeerimise logimine ja juurdepääsukontroll tervishoiualaste andmete puhul
  • SOC 2: Dokumenteerige turvakontrollid ja viige läbi iga-aastased auditid
  • ISO 27001: rakendage infoturbe haldussüsteemi
  • Tööstusharu-spetsiifilised eeskirjad (nt finantsteenused, õigus)

Auditi logimine

Hoidke turvalisuse ja nõuetele vastavuse tagamiseks põhjalikke logifaile:

  • Registreerige kõik autentimiskatsed (edu ja ebaedu)
  • Registreerige dokumendi juurdepääs, muudatused ja kustutamised
  • Jälgi haldusmeetmeid ja konfiguratsiooni muudatusi
  • Salvestage logid võltsimiskindlasse, tsentraliseeritud süsteemi
  • Säilitage logid vähemalt 1 aasta (või vastavalt regulatiivsetele nõuetele)
  • Rakendage logide jälgimine ja hoiatused kahtlase tegevuse korral

Regulaarsed turvaauditid

Viige läbi perioodilisi turvalisuse hindamisi:

  • Tehke kord kvartalis haavatavuse skannimist
  • Korraldage igal aastal kolmandate osapoolte poolt läbiviidavad penetratsioonitestid.
  • Vaadake igal kuul läbi juurdepääsuõigused ja kasutajate õigused
  • Kontrollige plokiahela tehinguid kõrvalekallete suhtes
  • Testige varundamise ja katastroofijärgse taastamise protseduure kord kvartalis.

Järelevalve ja intsidentidele reageerimine

Turvalisuse jälgimine

Rakendage reaalajas turvalisuse seiret:

  • Võtke kasutusele SIEM-süsteem (turvateabe ja sündmuste haldamine)
  • Seadista hoiatused ebaõnnestunud sisselogimiskatse ja õiguste laiendamise kohta
  • Jälgige ebatavalisi andmetele juurdepääsu mustreid
  • Jälgige API kasutamise kõrvalekaldeid
  • Kasutage sissetungide avastamise/ennetamise süsteeme (IDS/IPS)

Intsidentidele reageerimise kava

Valmistuge turvalisusega seotud intsidentideks:

  • Dokumenteerige intsidentidele reageerimise protseduurid
  • Määrake eskalatsiooniteed ja kontaktandmed
  • Looge juhendid tavaliste turvalisuse stsenaariumide jaoks
  • Korraldage kord kvartalis lauamängu harjutusi
  • Kehtestage rikkumiste puhul suhtlusprotokollid
  • Säilitage kohtuekspertiisi analüüsi võimekus

Varundamine ja katastroofijärgne taastamine

Tagage äritegevuse järjepidevus:

  • Rakendage automatiseeritud igapäevased varukoopiad
  • Säilitage varukoopiaid geograafiliselt hajutatud asukohtades
  • Krüptige kõik varundatud andmed
  • Testige taastamisprotseduure kord kuus.
  • Hoidke offline-varukoopiaid ransomware'i eest kaitsmiseks
  • Dokumendi taastamise aja eesmärk (RTO) ja taastamise punkti eesmärk (RPO)

Arenduse turvalisus

Turvaline arendusprotsess

Integreerige turvalisus arendusse:

  • Viige läbi koodiülevaatused, keskendudes turvalisusele
  • Kasutage staatilise rakenduse turvalisuse testimise (SAST) tööriistu.
  • Rakendage sõltuvuste skannimine CI/CD-torustikus
  • Nõua kõigilt arendajatelt turvakoolitust
  • Ärge kunagi salvestage salajasi andmeid versioonihaldusse
  • Kasutage pre-commit-konkse, et vältida tundlike andmete lekkimist.

Kolmandate osapoolte sõltuvused

Haldage väliste raamatukogude riske:

  • Uuendage sõltuvused regulaarselt viimaste turvaliste versioonidega
  • Kasutage selliseid tööriistu nagu Dependabot, Snyk või npm audit
  • Vaadake kasutatud pakettide turvalisuse hoiatusi
  • Minimeerige sõltuvuste arvu
  • Kontrollige paketi terviklikkust ja hooldaja mainet
  • Kaaluge kriitiliste sõltuvuste müügi võimalust

Kasutajate harimine ja teadlikkuse tõstmine

Turvalisus on igaühe vastutus:

  • Korraldage kõigile kasutajatele turvateadlikkuse koolitus
  • Pakkuge haridust phishing'i ja sotsiaalse inseneritöö kohta
  • Looge selged turvapoliitikad ja juhised
  • Kehtestage turvalisuse probleemide kohta aruandlusmehhanismid.
  • Hindage vastutustundlikku avalikustamist haavatavuste kohta
  • Hoidke turvalisuse dokumentatsioon ajakohasena

Turvalisuse kontrollnimekiri

Kasutage seda kontrollnimekirja enne tootmisse rakendamist:

  1. ✓ MFA on aktiveeritud kõikide kasutajakontode jaoks
  2. ✓ Rakendage tugevaid paroolipoliitikaid
  3. ✓ RBAC rakendatud minimaalse õigusega
  4. ✓ Kõik andmed on krüpteeritud nii salvestamisel kui ka edastamisel
  5. ✓ TLS 1.3 rakendatakse kõikides lõpppunktides
  6. ✓ HSM-is või turvalises hoidlas salvestatud privaatsed võtmed
  7. ✓ API kiiruse piiramine on konfigureeritud
  8. ✓ WAF ja DDoS kaitse on aktiveeritud
  9. ✓ Sisestuse valideerimine ja puhastamine rakendatud
  10. ✓ Võrgusegmentatsioon on õigesti konfigureeritud
  11. ✓ Kõik süsteemid on parandatud ja ajakohastatud
  12. ✓ Kõikide toimingute logimine on lubatud
  13. ✓ Turvalisuse seire ja hoiatused on aktiivsed
  14. ✓ Intsidentidele reageerimise kava on dokumenteeritud ja testitud
  15. ✓ Konfigureeritud ja testitud automaatsed varukoopiad
  16. ✓ Turvaskaneerimine CI/CD-torustikus
  17. ✓ Nõuetele vastavuse dokumenteerimine ja täitmine

Lisateave

Lisateave Chaindoc turvalisuse kohta:

  • OWASP 10 suurimat veebirakenduste turvariski
  • NISTi küberturvalisuse raamistik
  • CIS-i turvalisuse võrdlusalused
  • Blockchaini turvalisuse parimad tavad (Consensys)
  • Pilvetehnoloogia turvalisuse liidu suunised

Turvalisuse küsimuste või probleemide korral võtke ühendust meie turvateenistusega aadressil security@chaindoc.com või teatage turvaaukudest meie vastutustundliku avalikustamise programmi kaudu.