Chaindoc logoChaindoc

Кращі практики безпеки

Безпека має першочергове значення при роботі з конфіденційними документами та транзакціями в блокчейні. Цей посібник описує основні заходи безпеки для розгортання та обслуговування Chaindoc у виробничих середовищах.

Аутентифікація та авторизація

Багатофакторна автентифікація (MFA)

Завжди вмикайте MFA для всіх облікових записів користувачів, особливо адміністраторів та користувачів з підвищеними правами. Chaindoc підтримує:

  • Одноразові паролі на основі часу (TOTP) через додатки-аутентифікатори
  • Перевірка за допомогою SMS (менш безпечна, використовуйте тільки в разі необхідності)
  • Апаратні ключі безпеки (FIDO2/WebAuthn)
  • Біометрична автентифікація на підтримуваних пристроях

Політика щодо надійних паролів

Застосовуйте суворі вимоги до паролів:

  • Мінімум 12 символів із вимогами до складності
  • Строк дії пароля для конфіденційних облікових записів закінчується кожні 90 днів
  • Запобігання повторному використанню паролів (останні 10 паролів)
  • Блокування після 5 невдалих спроб входу
  • Індикатор надійності пароля під час створення

Контроль доступу на основі ролей (RBAC)

Впроваджуйте принцип мінімальних привілеїв, надаючи користувачам лише ті дозволи, які їм необхідні:

  • Визначте чіткі ролі: переглядач, редактор, адміністратор, аудитор
  • Використовуйте детальні дозволи для доступу до документів
  • Регулярно перевіряйте ролі користувачів і видаляйте непотрібний доступ
  • Впровадьте доступ на основі часу для тимчасових підрядників
  • Роздільні обов'язки для критичних операцій (наприклад, робочі процеси затвердження)

Шифрування даних

Шифрування в стані спокою

Усі конфіденційні дані під час зберігання повинні бути зашифровані:

  • Використовуйте шифрування AES-256 для зберігання документів
  • Шифруйте резервні копії бази даних за допомогою окремих ключів
  • Зберігайте ключі шифрування в спеціальному сервісі управління ключами (KMS)
  • Щоквартально змінюйте ключі шифрування
  • Увімкніть повне шифрування диска на всіх серверах і робочих станціях

Шифрування під час передачі

Захищайте дані під час передачі:

  • Застосовуйте TLS 1.3 для всіх з'єднань
  • Використовуйте надійні набори шифрів (відключіть слабкі шифри)
  • Впровадьте фіксацію сертифікатів для мобільних додатків
  • Увімкніть HSTS (HTTP Strict Transport Security)
  • Використовуйте зашифровані канали для транзакцій у блокчейні

Безпека блокчейну

Управління приватними ключами

Приватні ключі блокчейну є найважливішим активом безпеки:

  • Ніколи не зберігайте приватні ключі у вигляді звичайного тексту або в репозиторіях коду
  • Використовуйте апаратні модулі безпеки (HSM) для виробничих ключів
  • Впровадьте гаманці з багаторазовим підписом для операцій з великими сумами
  • Створіть процедури резервного копіювання ключів із безпечним офлайн-зберіганням
  • Використовуйте окремі ключі для різних середовищ (dev, staging, prod)

Безпека смарт-контрактів

Якщо використовуєте власні смарт-контракти:

  • Перед розгортанням проведіть ретельні аудити безпеки
  • Використовуйте встановлені шаблони та уникайте експериментального коду
  • Впровадьте автоматичні вимикачі для аварійного зупинення
  • Проведіть ретельне тестування в тестових мережах перед розгортанням в основній мережі
  • Слідкуйте за незвичайними моделями транзакцій

Аудиторські сліди блокчейну

Використовуйте блокчейн для незмінного аудиторського логування:

  • Записуйте всі зміни стану документа в ланцюжку
  • Операції з хеш-чутливими даними для перевірки
  • Впровадьте перевірку часових міток для забезпечення відповідності
  • Регулярно перевіряйте цілісність даних в ланцюжку
  • Архівуйте квитанції про транзакції в блокчейні

Безпека API

Аутентифікація API

Захистіть усі кінцеві точки API:

  • Використовуйте токени OAuth 2.0 або JWT для автентифікації
  • Впровадьте термін дії токенів (15-60 хвилин для токенів доступу)
  • Регулярно змінюйте API-ключі (мінімум кожні 90 днів)
  • Використовуйте окремі API-ключі для різних служб
  • Ніколи не розкривайте API-ключі в коді на стороні клієнта

Обмеження швидкості та захист від DDoS-атак

Запобігайте зловживанням та перебоям у роботі сервісу:

  • Впровадьте обмеження швидкості для кожного API-ключа та IP-адреси
  • Використовуйте експоненціальне відновлення для невдалих запитів
  • Впровадьте веб-застосунок-брандмауер (WAF)
  • Увімкніть захист від DDoS-атак на рівні CDN/хмарного провайдера
  • Слідкуйте за ненормальними моделями трафіку

Перевірка та очищення вхідних даних

Захист від атак ін'єкцією:

  • Перевіряйте всі вхідні дані на відповідність суворим схемам
  • Очищайте наданий користувачем контент перед збереженням/відображенням
  • Використовуйте параметризовані запити, щоб запобігти SQL-ін'єкції
  • Впровадьте заголовки політики безпеки вмісту (CSP)
  • Використовуйте екранування виводу у всіх контекстах (HTML, JavaScript, URL-адреси)

Безпека інфраструктури

Сегментація мережі

Виділіть критичні компоненти:

  • Розділяйте середовища виробництва, тестування та розробки
  • Використовуйте VPC та приватні підмережі для конфіденційних послуг
  • Обмежте доступ до бази даних тільки серверами додатків
  • Впровадьте правила брандмауера з політикою заборони за замовчуванням
  • Використовуйте проміжні хости/бастіонні сервери для адміністративного доступу

Управління виправленнями

Підтримуйте системи в актуальному стані:

  • Застосовуйте патчі безпеки протягом 48 годин після випуску
  • Автоматизуйте оновлення залежностей для змін, що не порушують цілісність
  • Регулярно оновлюйте образи контейнерів та базову ОС
  • Підпишіться на повідомлення про безпеку для всіх використовуваних технологій
  • Тестуйте патчі в тестовому середовищі перед впровадженням у виробництво

Безпека контейнерів та оркестрування

Якщо використовуєте контейнерні розгортання:

  • Використовуйте мінімальні базові зображення (Alpine, Distroless)
  • Перед розгортанням скануйте зображення на наявність вразливостей
  • Запускайте контейнери як користувачі, що не є root
  • Впроваджуйте політики/стандарти безпеки подів
  • Використовуйте управління секретами (а не змінні середовища)
  • Увімкніть мережеві політики, щоб обмежити трафік між підсистемами

Відповідність та аудит

Дотримання нормативних вимог

Забезпечте дотримання відповідних нормативних вимог:

  • GDPR: реалізуйте право на видалення та перенесення даних
  • HIPAA: увімкніть журнал аудиту та контроль доступу для даних про охорону здоров'я
  • SOC 2: Документуйте заходи безпеки та проводьте щорічні аудити
  • ISO 27001: Впровадити систему управління інформаційною безпекою
  • Галузеві норми (наприклад, фінансові послуги, юридичні послуги)

Журнал аудиту

Ведіть вичерпні журнали для забезпечення безпеки та відповідності вимогам:

  • Реєструйте всі спроби аутентифікації (успішні та невдалі)
  • Реєструйте доступ до документів, їхні зміни та видалення
  • Відстежуйте адміністративні дії та зміни конфігурації
  • Зберігайте журнали в захищеній від несанкціонованого доступу централізованій системі
  • Зберігайте журнали щонайменше 1 рік (або відповідно до нормативних вимог)
  • Впровадьте моніторинг журналів та оповіщення про підозрілу активність

Регулярні аудити безпеки

Проводьте періодичні оцінки безпеки:

  • Проводьте щоквартальне сканування вразливостей
  • Проводьте щорічні тестування на проникнення силами третіх сторін
  • Щомісяця перевіряйте контроль доступу та права користувачів
  • Перевіряйте транзакції в блокчейні на наявність аномалій
  • Щоквартально перевіряйте процедури резервного копіювання та відновлення після аварій

Моніторинг та реагування на інциденти

Моніторинг безпеки

Впровадьте моніторинг безпеки в режимі реального часу:

  • Впровадити систему SIEM (управління інформацією та подіями безпеки)
  • Налаштуйте сповіщення про невдалі спроби входу, підвищення привілеїв
  • Слідкуйте за незвичайними моделями доступу до даних
  • Відстежуйте аномалії використання API
  • Використовуйте системи виявлення/запобігання вторгненням (IDS/IPS)

План реагування на інциденти

Підготуйтеся до інцидентів безпеки:

  • Документуйте процедури реагування на інциденти
  • Визначте шляхи ескалації та контактну інформацію
  • Створіть посібники для типових сценаріїв безпеки
  • Проводьте настільні вправи щоквартально
  • Встановіть протоколи комунікації для випадків порушення
  • Збережіть можливості криміналістичного аналізу

Резервне копіювання та відновлення після аварій

Забезпечте безперервність бізнесу:

  • Впровадьте автоматичне щоденне резервне копіювання
  • Зберігайте резервні копії в географічно розподілених місцях
  • Шифруйте всі резервні дані
  • Щомісяця перевіряйте процедури відновлення
  • Зберігайте офлайн-резервні копії для захисту від програм-вимагачів
  • Цільовий час відновлення документів (RTO) та цільова точка відновлення (RPO)

Безпека розробки

Безпечний цикл розробки

Інтегруйте безпеку в процес розробки:

  • Проводьте перевірку коду з акцентом на безпеку
  • Використовуйте інструменти статичного тестування безпеки додатків (SAST)
  • Впровадити сканування залежностей у конвеєрі CI/CD
  • Вимагайте проходження навчання з питань безпеки для всіх розробників
  • Ніколи не передавайте секрети в систему контролю версій
  • Використовуйте пре-комміт-хуки, щоб запобігти витоку конфіденційних даних

Залежності від сторонніх ресурсів

Управління ризиками зовнішніх бібліотек:

  • Регулярно оновлюйте залежності до останніх безпечних версій
  • Використовуйте такі інструменти, як Dependabot, Snyk або npm audit
  • Перегляньте рекомендації з безпеки для використовуваних пакетів
  • Мінімізуйте кількість залежностей
  • Перевіряйте цілісність пакета та репутацію розробника
  • Розгляньте можливість використання критичних залежностей

Освіта та інформування користувачів

Безпека — це відповідальність кожного:

  • Проведіть навчання з питань безпеки для всіх користувачів
  • Надайте інформацію про фішинг та соціальну інженерію
  • Створіть чіткі політики та керівні принципи безпеки
  • Створіть механізми повідомлення про проблеми безпеки
  • Винагороджуйте відповідальне розкриття вразливостей
  • Підтримуйте актуальність документації з безпеки

Перелік заходів безпеки

Використовуйте цей контрольний список перед розгортанням у виробництво:

  1. ✓ MFA увімкнено для всіх облікових записів користувачів
  2. ✓ Застосовуються суворі правила щодо паролів
  3. ✓ RBAC реалізовано з мінімальними привілеями
  4. ✓ Всі дані шифруються під час зберігання та передачі
  5. ✓ TLS 1.3 застосовується на всіх кінцевих точках
  6. ✓ Приватні ключі зберігаються в HSM або безпечному сховищі
  7. ✓ Налаштовано обмеження швидкості API
  8. ✓ Увімкнено захист WAF та DDoS
  9. ✓ Впроваджено перевірку та очищення вхідних даних
  10. ✓ Правильно налаштована сегментація мережі
  11. ✓ Всі системи оновлені та актуальні
  12. ✓ Увімкнено комплексне аудиторське логування
  13. ✓ Активний моніторинг безпеки та оповіщення
  14. ✓ План реагування на інциденти задокументований та перевірений
  15. ✓ Налаштовані та перевірені автоматичні резервні копії
  16. ✓ Сканування безпеки в конвеєрі CI/CD
  17. ✓ Вимоги щодо відповідності задокументовані та виконані

Додаткові ресурси

Для отримання додаткової інформації про безпеку Chaindoc:

  • 10 основних ризиків безпеки веб-додатків за версією OWASP
  • Рамка кібербезпеки NIST
  • Стандарти безпеки CIS
  • Кращі практики безпеки блокчейну (Consensys)
  • Керівні принципи Альянсу з безпеки хмарних технологій

З питань безпеки або запитань звертайтеся до нашої служби безпеки за адресою security@chaindoc.com або повідомляйте про вразливості через нашу програму відповідального розкриття інформації.