카지노가 API 요청의 보안을 모니터링하는 방법

iGaming에서 API 보안이 중요한 이유

API-카지노 신경계: 베팅, 지갑, 현금 책상, 게임 제공 업체, KYC/KYT, 원격 측정. 모든 구멍 = 돈, PII, 라이센스, 평판. 일반 전자 상거래와 달리 카지노에는 실시간 자금, 규제, 공격자의 높은 동기 부여 및 복잡한 통합 매트릭스 기능이 있습니다.

건축 원칙 (보호 골격)

1. 제로 트러스트 및 최소 특권. 우리는 네트워크 나 고객을 신뢰하지 않습니다. 각 통화를 확인하고 액세스가 필요한 최소 (RBAC/ABAC) 입니다.

2. 도메인 분리. 돈/PII/현금/게임 게이트웨이-다른 주변 및 네트워크, 다른 키 및 정책.

3. 단일 API 게이트웨이. 요점: mSL, WAF/봇 관리, OAuth2/JWT, 요율 제한, 위협 피드, 로깅.

4. 기본 관찰 가능성. 추적, 상관 'traceID', 이상에 대한 경고 (SLO/SIEM).

5. 안전한 기본값입니다. "와이드" CORS를 금지하는 짧은 TTL 토큰은 NetworkPolicy에서 기본적으로 거부됩니다.

인증 및 인증

서비스 간 통화: 'aud/iss/kid' 및 키 회전을 사용한 mSL + 단기 JWT (5-10 분); 선택적 HMAC 본문 서명.

클라이언트 통화: OAuth2 (휴대 전화 PKCE), 'HttpOnly' 로 쿠키 세션, SameSite = Lax	엄격한 ',' 안전한 '.
관리/지원 API: SSO + MFA, IP 허용량, 권한-역할별로 만 가능합니다.
지불/중요 작업: 4 눈 원리 및 확인 단계.

통화 무결성-서명, 시간, 이념성

정식 제출 요청의 HMAC 서명: 매개 변수 정렬, 안정적인 JSON 직렬화 (불필요한 공간 없음, 동일한 키 순서), 헤더:


X-Request-Timestamp: 2025-10-17T14: 22: 05Z
X-Request-Nonce: 8c1c... fa
X-Request-Signature: v1 = HMAC-ș256: base64 (...)
X-Idempotency-Key: c0a4-77f...

재생 보호: 캐시에서 'nonce' 를 확인하는 유효한 시간 창 (λ300 초).

돈/웹 후크를위한 Idempotency-Key: 요청을 반복하면 두 번째 직불/크레딧이 생성되지 않습니다.

지갑/현금 데스크/공급자에게 mTLS: 당사자의 암호화 + 상호 검증 전송.

보안 POST의 예:


POST/지갑/직불
콘텐츠 유형: 응용 프로그램/json
X-Request-Timestamp: 2025-10-17T14: 22: 05Z
X-Request-Nonce: 8c1c0cfa
X 이데올로기 키: 9a7f-2b1c
X-Request-Signature: v1 = HMAC-ș256: Z2V... = =
{
"플레이어": "p _ 123", "양": "10. 00, "" 통화 ":" EUR "," 이유 ":" 내기. 장소 "," 원문 ":" R-2025-10-17-PRAGM-12 "
}

입력 검증: 회로도 및 정식

계약으로 JSON Schema/OpenAPI. 유형, 범위 및 화이트리스트 (통화/국가의 ISO 코드, enum 상태) 의 검증을 통한 모든 문자열.

크기 제한: 신체 및 배열의 크기를 제한하고 "깊은" 둥지를 금지하십시오.

서명/로그 전에 JSON의 정식 화, 특수 문자 상영, 엄격한 '콘텐츠 유형'.

대량 할당 잠금-명시 적 필드 목록.

표면 보호: WAF, 봇, 속도

WAF/봇 관리: 서명 및 행동 감지 (속도, 지리, 장치 지문).

요율 제한/할당량: IP/토큰/클라이언트/방법별; 돈과 비 돈에 대한 별도의 제한.

DoS/남용 제어: 회로 차단기, 타임 아웃, 역압, "회색 목록".

CORS: 브라우저 교차 원점에서 '액세스 제어 허용 원산지', 와일드 카드 금지 및 '승인' 을 불필요하게 지적합니다.

OWASP API Top-10 → 특정 측정

BOLA/BFLA (Broken Object/Function Level Auth): 리소스 소유자의 ABAC, 'playerID' 의 필터, "외국인" 식별자 금지.

주입/SSRF: 매개 변수화 된 요청, 서버 호출에서 외부 탭 금지, 호스트 허용량 목록.

과도한 데이터 노출: 부분 누출없이 응답 형성 (필드 마스크), 페이지 매김, 오류 정규화.

보안 오류: SL/암호 버전 통합, CSP/권한 정책/참조 자 정책 헤더.

안전하지 않은 AP 소비: 타임 아웃, 배상, 중복 제거가있는 공급자 API를 통한 포장지.

PII 및 개인 정보

PII 토큰 화 및 암호화 (플레이어 속성, KYC 문서): KMS/HSM, 필드-AES-GCM.

데이터 최소화: 이벤트/로그에서-별칭 만 ('플레이어') - 문서/카드 번호.

보존: TTL은 관할 구역의 요구 사항에 따라 도메인 (지갑/게임/금전 등록기) 에 따라 다릅니다.

역할 액세스: 데이터베이스 및 서비스 수준 (행 수준 보안/정책) 에서 PII 읽기의 차별화.

안전한 웹 후크 및 박스 오피스

2 단계 검증: mTLS에서 웹 후크 + 공급자의 HMAC 서명.

재생 방지: 'X-Idempotency-Key', 'X-Timestamp', 시간 창.

알로우리스트 IP/ASN 공급자, 우리와 함께 정적 출구 IP.

"유독 한" 페이로드: 크기 제한, 미사용 필드 무시, 엄격한 체계.

감사 및 테스트 종점: 공급자 샌드 박스 + 계약 테스트.

비밀과 열쇠

스토리지: KMS/HSM/Secrets-manager는 암호화없이 git/environment 변수를 사용하지 않습니다.

회전: 헤더/메타 데이터의 자동 'kid', 손상된 키를 취소합니다.

액세스: 브레이크 글래스 절차, 비밀에 대한 모든 액세스 기록.

통나무, 산책로, 경고

상관 관계: 각 레이어의 'traceID/requestID/playerID/roundID' (intress → API → 지갑 → 공급자 → 웹 후크).

Anomalies: 서지 '401/403/429', 성장 'VOID', 지역별 '거부', HMAC/mSL 실패.

공격 신호: 많은 'nonce' 재생, 오래된 '타임 스탬프' 시도, 긴 몸, 알려지지 않은 'kid'.

로그 스토리지: 불변의 (WORM), 별도의 액세스 영역, PII 마스킹.

테스트 계획 및 품질 관리

정적/동적 AppSec: 각 CI의 SAST/DAST, 비밀 서명, 종속성-SCA.

Pentests 및 ed-tim: 스크립트 재생, 잘못된 채널의 서명, 속도 제한 우회, BOLA, SSRF.

계약 테스트: OpenAPI/JSON-Schema의 경우 "음성 사례" 입니다.

혼돈/대기 시간 훈련: 공급자/현금 데스크의 타임 아웃, demmpotency의 정확성.

버그 현상금: 별도의 경계 및보고 규칙이있는 프로그램.

유용한 제목과 설정

'엄격한 운송 보안: max-age = 63072000; 포함 서브 도메인; 미리로드 '

'콘텐츠 보안 정책: 기본-src' none '; 프레임 조상 없음 "(API 도메인 용)

'추천 정책: 추천 없음'

'권한 정책: 지리 위치 = (), 마이크 = (), 카메라 = ()'

'X- 콘텐츠 유형 옵션: nosniff'

'캐시 제어: 매장 없음' 개인 엔드 포인트

오류 응답 - 단일 형식

json
{"오류": "INVALID _ SIGNATURE", "코드": "SEC _ 401", "traceID": "tr _ 5f1", "ts": "2025-10-17T14: 22: 06Z"}

패턴 방지 (보안 중단)

장기 회전 및 장치 바인딩없이 수명이 긴 JWT/새로 고침 토큰.

JSON의 정식화없이 "있는대로" 서명 → 수표 통과.

돈/웹 후크에 'Idempotency-Key' 부족 → 이중 쓰기.

와일드 카드-CORS 및 '승인' 이있는 엔드 포인트에 대한 '액세스 제어 허용 원산지'.

PII/비밀이있는 로그, "모든 사람을위한" 로그에 대한 액세스 공유.

모든 통합에 대한 단일 HMAC 공유 키.

JSON 크기/깊이 제한, 타임 아웃 및 회로 차단기가 없습니다.

내부 부분을 나타내는 오류 (스택 추적, SQL, 라이브러리 버전).

카지노 API 보안 점검표

주변 및 운송

서비스 간 및 공급자 채널의 mTLS; TLS 1. 어디에서나 3.
WAF/봇 관리, 속도 제한, 위협 피드가있는 API 게이트웨이.
CORS-주소 지정 가능, 와일드 카드 없음.

인증/인증

클라이언트의 경우 OAuth2/OpenID, TTL이 10 분 인 JWT, 키 회전 ('kid').
도메인 별 RBAC/ABAC; 관리자 - SSO + MFA + IP 허용리스트.

무결성 및 재 요청

HMAC 서명, 'X-Request-Timestamp', 'X-Request-Nonce' 및 시간 창
돈, 웹 후크, 체크 아웃에 관한 'X-Idempotency-Key'; 캐시에 키를 저장합니다.

검증

OpenAPI/JSON-Schema, JSON canonicalization, 크기/깊이 제한.
필드에 대한 마스킹 및 화이트리스트; 대량 배정 금지.

PII 및 데이터

PII 토큰 화/암호화 (KMS/HSM), 최소화, 별도의 보존 정책.
PII/원격 측정/화폐를위한 분할 스토리지.

통합

웹 후크: mSL + HMAC, 허용리스트 IP, 재생 방지, 계약 테스트.
현금/암호화: 두 공급자와 다른 키/네트워크, 입력/출력을위한 demempotency.

관찰 가능

트레이스/플레이 에르/라운드 '를 사용하여 추적하고 신호를 공격하도록 경고하십시오.
불변의 통나무 (WORM), PII/비밀이 없습니다.

프로세스

CI의 SAST/DAST/SCA, 정기적으로 펜 테스트/ed-tim, 버그 현상금.
런북 사건: 키 철회, 롤백, 통신.

iGaming의 API 보안은 "WAF를 넣지 않습니다. "이것은 시스템입니다: mSL + 서명 + demempotency, 엄격한 검증 및 정식 화, 경계 및 속도 보호, PII 격리, 보안 금전 등록기 웹 후크, 관찰 가능성 및 정기적 인 점검. 엔지니어링 문화의이 부분을 만들면 제품 속도를 유지하고 안정성을 유지하면서 돈, 플레이어 및 라이센스를 보호합니다.