Политика безопасности операционных процедур
Валидатор «Konomic» | Версия 1.1 | Последнее обновление - 2025-06-16
1. Цель и область действия
Этот документ описывает организацию защиты, эксплуатации и мониторинга валидатора Konomic, работающего в сети Solana Mainnet-Beta.
Политика распространяется на:
- Основной валидатор-узел (vote account) и резервные узлы
- Вспомогательные сервисы (RPC-relay, мониторинг, off-chain storage)
- Сотрудников и автоматизированные процессы, имеющие доступ к ключам и конфигурации
2. Управление ключами
Доступ к HSM - только у двух старших операторов. Никакие ключи не размещаются на онлайн-инстансах; авторизация происходит через офлайн-подписанные транзакции.
| Вид ключа | Метод хранения | Резервирование | Ротация |
|---|---|---|---|
| Vote & Identity | FIPS-140-3 HSM в офлайн-сегменте | Air-gapped ноутбук (LUKS, TPM) | Плановая: каждые 18 мес. Экстренная: при подозрении на компрометацию |
| Authorized Voter | FIPS-140-3 HSM в офлайн-сегменте | Air-gapped ноутбук (LUKS, TPM) | При каждом апгрейде протокола |
| Authorized Withdrawer | FIPS-140-3 HSM в офлайн-сегменте | Шифрованная microSD-карта, хранящаяся в сейфе и шифрованный образ, хранящийся в Cloud Secure Store | Плановая: каждые 18 мес. Экстренная: при подозрении на компрометацию |
3. Инфраструктура и сеть
- Дата-центр: площадка уровня Tier III Франкфурт; резервная - Iron Mountain AMS-1.
- Сегментация: валидатор размещен на выделенном кластере из 3 серверов в стойке 46U; публичные RPC разнесены в отдельную подсеть без исходящих правил к валидатору.
- Защита периметра: многоуровневый stateful-файрвол, фильтрация по GeoIP и rate-limit.
- DDoS-миграция: автоматическая смена внешнего Anycast-адреса при аномальном трафике.
- Железо: Каждый сервер 64 vCPU AMD EPYC 9555, 1024GB RAM DDR5 6000, 8x NVMe SSD Enterprise 1.92 TB RAID-1 + ZFS mirrors (16x всего); все накопители с аппаратным шифрованием.
- Резервирование: 2N даёт реальную стойкость к одновременным отказам и плановым работам.
4. Жизненный цикл ПО
| Этап | Процесс |
|---|---|
| Тестирование | Каждый релиз клиента проверяется на приватном DevNet-кластере минимум 6 ч. |
| Обновление | До версии N.N.x - в течение 24 ч после релиза Foundation. Критические CVE - максимум 4 ч. |
| Rollback | Поддерживается горячий слотовой снимок; отказ ≤ 5 мин. |
| Модификации | Патчи ядра или нестандартные сборки не применяются. |
5. Мониторинг и алертинг
- Метрики: skip-rate, vote-credit, ping-latency, CPU/IO-wait, ledger size.
- Система: Prometheus → Alertmanager → Telegram/SMS; резерв - e-mail-шлюз.
- Пороговые значения:
- skip-rate > 5% за 5 мин - критический алерт;
- пропуск 32 слотов подряд - аварийный перезапуск узла;
- CPU > 85% или IO-wait > 30% - превентивный failover.
6. Реагирование на инциденты
- Обнаружение (T₀): автоматический алерт.
- Классификация (T₀ + 5 мин): оператор назначает уровень (P1/P2).
- Локализация: активация резервного валидатора; основной переводится в read-only.
- Устранение: патч/перезапуск/изменение конфигурации.
- Восстановление: синхронизация слотов, валидация ledger-консистентности.
- Пост-мортем (≤ 48 ч): анализ первопричины, публикация внутреннего отчёта.
Согласно RTO ≤ 30 мин, RPO ≈ 0 слотов.
7. Соответствие и аудит
- Внутренний аудит: ежеквартально по чек-листу CIS Benchmark + NIST 800-53 (выборка 42 пунктов).
- Пентест: 1 раз в год независимой группой; отчёт доступен делегаторам после подписания NDA.
- Сертификаты: дата-центр сертифицирован ISO 27001/9001/14001/50001, PCI-DSS, SOC 2/3, что подтверждено контрактом.