TubeVai'deki her mimari karar, bir güvenlik gereksinimi ile başlar. Uçtan uca şifreli bağlantılardan dağıtık altyapı korumasına kadar güvenlik, sonradan eklenmez — en baştan tasarlanır.
TubeVai, sıfırdan güvenlik öncelikli bir platform olarak tasarlanmıştır. Her hizmet, her veri hattı ve her kullanıcıya yönelik arayüz; tehdit modellemesi temel bir tasarım girdisi olarak göz önünde bulundurularak oluşturulmuştur — dağıtım sonrası bir düşünce olarak değil.
Güvenlik mimarimiz, her aşamada en az ayrıcalık ilkesini izler. Her sistem bileşeni, işlevini yerine getirmek için gereken minimum izinlerle çalışır. Hizmetler arasındaki yanal hareket varsayılan olarak kısıtlanmıştır ve tüm hizmetler arası iletişim, aktarım katmanında kimlik doğrulamalı ve şifreli olarak gerçekleştirilir.
Düzenli dahili güvenlik incelemeleri, otomatik güvenlik açığı taraması ve sürekli bağımlılık izleme; saldırı yüzeyinin minimal kalmasını ve bilinen güvenlik açıklarının hızlandırılmış bir düzeltme takviminde giderilmesini sağlar.
Her hizmet ve kullanıcı rolü yalnızca gerekli minimum izinlerle çalışır. Hiçbir bileşen, tanımlı kapsamı dışındaki kaynaklara erişemez.
Ağ, uygulama ve veri katmanlarında birden fazla bağımsız güvenlik katmanı uygulanır. Tek bir kontrol arızası tam bir ihlale yol açmaz.
Otomatik tarayıcılar; bilinen CVE'ler ve yanlış yapılandırmalar için bağımlılıkları, yapılandırmaları ve kodları sürekli olarak denetler — yüksek önem dereceli bulgular anında düzeltme iş akışlarını tetikler.
Tüm yeni özellikler ve sistem değişiklikleri, dağıtımdan önce yapılandırılmış tehdit modellemesine tabi tutulur; saldırı vektörleri tasarım aşamasında belirlenerek azaltılır.
Altyapımız, hacimsel ağ saldırılarından uygulama katmanı istismarına ve içeriden gelen tehditlere kadar modern saldırı vektörlerinin tamamına karşı korunmaktadır.
Çok katmanlı DDoS koruması, hacimsel saldırıları uygulama altyapısına ulaşmadan ağ kenarında emer ve filtreler; sürekli saldırı koşullarında platform kullanılabilirliğini korur.
Sürekli güncellenen bir WAF, tüm gelen HTTP/S trafiğini inceler; SQL enjeksiyonu, siteler arası komut dosyası çalıştırma, yol geçişi ve diğer OWASP İlk 10 saldırı kalıplarını gerçek zamanlı olarak engeller.
Katı ağ segmentasyonu; üretim, hazırlık ve veri altyapısını ayrı güvenlik bölgelerine ayırır. Bölgeler arasındaki yanal hareket için açık, kimlik doğrulamalı yetkilendirme gereklidir.
Otomatik saldırı tespit sistemleri, ağ trafiğini ve sistem davranışını 7/24 izler; anormal kalıplar tespit edildiğinde otomatik olay müdahale iş akışlarını tetikler.
Tüm yönetim işlemleri, erişim olayları ve yapılandırma değişiklikleri; üretim sistemlerinden ayrı, izole edilmiş altyapıda saklanan yalnızca ekleme yapılabilen, kurcalamaya karşı korunan denetim günlüklerine yazılır.
Test edilmiş kurtarma prosedürleriyle coğrafi olarak dağıtılmış yedeklemeler; herhangi bir aksaklık olayının ardından verilerin geri yüklenmesini ve hizmetlerin tanımlanan RTO ve RPO hedefleri dahilinde yeniden başlatılmasını sağlar.
Hiçbir kullanıcı verisi asla düz metin olarak depolanmaz, iletilmez veya işlenmez. Şifreleme, platformdaki her veri yolunda zorunlu ve tartışmasızdır.
İstemciler ile TubeVai sunucuları arasındaki tüm bağlantılar, aktarım güvenliği için günümüzün sektör altın standardı olan TLS 1.3 ile korunmaktadır. Eski protokol sürümleri devre dışı bırakılmıştır. HTTP bağlantıları otomatik olarak HTTPS'e yönlendirilir. HSTS, ön yükleme ile zorunlu kılınmıştır.
TubeVai altyapısında depolanan tüm veriler AES-256 ile bekleme halinde şifrelenir. Veritabanı birimleri, yedekleme arşivleri ve günlük depolama, birim başına benzersiz anahtarlarla şifrelenir. Anahtar yönetimi, donanım destekli anahtar depolarıyla sektörün en iyi uygulamalarını izler.
TubeVai altyapısı içindeki hizmetler arası iletişim, karşılıklı TLS kimlik doğrulaması kullanır. Her dahili bağlantı hem şifrelenir hem de kimliği doğrulanır; böylece hiçbir hizmet başka bir hizmeti taklit edemez veya dahili trafiği ele geçiremez.
WebSocket bağlantıları aracılığıyla kullanıcılara iletilen tüm gerçek zamanlı piyasa veri akışları, standart HTTPS bağlantılarıyla aynı TLS 1.3 korumasını sağlayan WSS (Güvenli WebSocket) üzerinden iletilir.
TubeVai; kullanıcılar, API istemcileri ve dahili sistemler dahil olmak üzere her erişim noktasında sıkı kimlik doğrulama ve yetkilendirme uygular.
Tüm kullanıcı hesapları çok faktörlü kimlik doğrulamayı destekler. Hassas hesap işlemleri, oturum durumundan bağımsız olarak yeniden kimlik doğrulama gerektirir.
Oturumlar, otomatik süre sonu, cihaz parmak izi ve anomali tespiti ile kısa ömürlüdür. Eşzamanlı oturum izleme, alışılmadık erişim kalıplarını anında inceleme için işaretler.
Tüm kimlik doğrulama uç noktaları ve API yüzeyleri; kaba kuvvet girişimlerini, kimlik bilgisi doldurma saldırılarını ve otomatik kötüye kullanımı gerçek zamanlı olarak tespit eden ve engelleyen akıllı hız sınırlama ile korunur.
Parolalar asla düz metin veya geri döndürülebilir biçimde saklanmaz. Kullanıcı başına tuzlama ile sektör standardı uyarlanabilir karma algoritmaları kullanıyoruz. Kimlik bilgisi ihlal izleme, ele geçirilen kimlik bilgilerini proaktif olarak tespit eder.
Beklenmedik coğrafyalardan şüpheli giriş girişimleri ek doğrulama adımlarını tetikler. Kısa zaman dilimlerinde önemli konum değişiklikleri, erişim verilmeden önce işaretlenerek doğrulanır.
Tekrar eden başarısız kimlik doğrulama girişimleri, üstel geri çekilmeli otomatik geçici kilitlemeleri tetikler. Yönetici hesapları, daha sıkı kilitleme eşikleri ve zorunlu manuel inceleme uygular.
TubeVai, araştırma topluluğundan güvenlik açıklarının sorumlu biçimde ifşa edilmesini memnuniyetle karşılar. Bağımsız güvenlik araştırmacılarıyla iş birliğinin platformumuzu tüm kullanıcılar için daha güçlü kıldığına inanıyoruz.
TubeVai'nin platformunda, altyapısında veya ilgili sistemlerinde bir güvenlik açığı tespit ettiğinizi düşünüyorsanız, güvenlik ekibimizle doğrudan iletişime geçmenizi teşvik ediyoruz. Tüm geçerli raporları zamanında kabul etmeye, araştırma süreci boyunca şeffaf biçimde iletişim kurmaya ve gecikmeksizin uygun düzeltici önlemleri almaya kararlıyız.
Araştırmacıların iyi niyetle hareket etmelerini — kullanıcı verilerine erişmekten, platform hizmetlerini aksatmaktan veya raporlanan sorunu araştırıp gidermek için makul bir fırsat bulunmadan önce kamuoyuna ifşa etmekten kaçınmalarını — talep ediyoruz.
Şu an için resmi bir hata ödül programı yürütmüyoruz; ancak geçerli güvenlik bulgularını sorumlu biçimde ifşa eden araştırmacıların katkılarını takdir ediyoruz.
Güvenlik ekibimiz, soruları yanıtlamak, endişeleri gözden geçirmek veya güvenlik uygulamalarımızı kurumsal kullanıcılar ve araştırmacılarla tartışmak için hazırdır.
