Xavfsizlik

1. Umumiy ko'rinish

CloudAPI xavfsizlikni eng yuqori prioritet sifatida ko'radi. Biz ko'p qatlamli himoya (defense in depth) yondashuvini qo'llaymiz — har bir tahdid uchun bir nechta himoya qatlami mavjud.

2. Shifrlash

2.1 Yo'lda shifrlash (in transit)

• TLS 1.3 barcha HTTP aloqalarda
• HSTS (HTTP Strict Transport Security) — faqat HTTPS
• Sertifikat: Let's Encrypt / Cloudflare avtomatik yangilanish
• Forward secrecy kalitlari

2.2 Saqlashda shifrlash (at rest)

• Parollar: bcrypt (cost factor 12) hash bilan
• API kalitlar: SHA-256 hash (plain text hech qachon DB da emas)
• Encrypted backup: AES-256 (kerak bo'lsa admin uchun ko'rish imkoniyati)
• Sessiya cookie'lari: shifrlangan
• Database: shifrlangan disk

3. API kalitlar xavfsizligi

3.1 Yaratish

• 128-bit entropy — random_bytes(16) kriptografik random
• Format: cap-{32 hex chars}
• Plain text faqat BIR MARTAGINA ko'rsatiladi

3.2 Saqlash

• SHA-256 hash DB ga yoziladi
• Encrypted backup (admin ko'rishi mumkin, lekin shifrlangan)
• Plain text hech qachon log fayllarda emas

3.3 Verifikatsiya

• Constant-time comparison (hash_equals) — timing attack himoyasi
• Cache: 5 daqiqa (DB load kamaytirish uchun)
• Brute-force protection: 20 noto'g'ri urinish → 10 daqiqa IP block

3.4 Boshqaruv

• Har qanday paytda revoke qilish mumkin
• Per-key rate limit sozlash
• Per-key allowed models ro'yxati
• Expiry date qo'yish imkoniyati

4. Autentifikatsiya

4.1 Parollar

• Minimal 8 belgi
• Katta harf, kichik harf va raqam majburiy
• bcrypt cost factor 12
• Parol tarixi tekshirilmaydi (lekin siz qayta o'zgartirishingiz mumkin)

4.2 Login himoyasi

• 5 noto'g'ri urinish → 15 daqiqa block (per IP + email)
• Session fixation himoyasi (login da regenerate)
• Bloklangan akkauntlar darhol log out qilinadi
• Barcha urinishlar log qilinadi

4.3 Sessiyalar

• HttpOnly cookie (JavaScript dan o'qib bo'lmaydi)
• Secure flag (faqat HTTPS)
• SameSite=Strict (CSRF himoyasi)
• Shifrlangan cookie
• 120 daqiqa idle timeout

5. Tarmoq xavfsizligi

5.1 Rate limiting (3 darajali)

• Per API key: 60 so'rov/daqiqa (sozlanadi)
• Per IP: 300 so'rov/daqiqa (DDoS himoyasi)
• Per user: 500 so'rov/daqiqa (multi-key abuse)

5.2 HTTP Security Headers

• X-Frame-Options: SAMEORIGIN — clickjacking himoyasi
• X-Content-Type-Options: nosniff — MIME sniffing himoyasi
• X-XSS-Protection: 1; mode=block
• Referrer-Policy: strict-origin-when-cross-origin
• Content-Security-Policy — XSS asosiy himoyasi
• Strict-Transport-Security — HTTPS majburiy
• Permissions-Policy — kamera, mikrofon o'chirilgan

5.3 DDoS himoyasi

• Cloudflare proxy (production'da)
• IP-level rate limiting
• Geo-blocking imkoniyati
• Bot tahlil qilish

6. Ma'lumotlar xavfsizligi

6.1 SQL Injection himoyasi

• Faqat parametrlangan so'rovlar (Eloquent ORM)
• Hech qachon raw SQL user input bilan birga emas
• Input validatsiya har bir maydon uchun

6.2 XSS (Cross-Site Scripting)

• Barcha output Blade {{ }} avtomatik escape
• Ism kabi maydonlar uchun regex validatsiya (faqat harflar)
• strip_tags() qo'shimcha himoya
• CSP header

6.3 CSRF (Cross-Site Request Forgery)

• Laravel CSRF token barcha POST so'rovlarda
• SameSite=Strict cookie
• API'lar uchun Bearer token (CSRF kerak emas)

6.4 Mass Assignment

• Qattiq $fillable ro'yxat
• role, status, balance user input'dan kelmaydi
• Validatsiya har bir maydon uchun

6.5 File Upload

• Real MIME tekshirish (extension emas, file content)
• Faqat ruxsat etilgan formatlar (JPG, PNG)
• 5MB hajm cheklov
• Random filename (path traversal himoyasi)
• Dimensions cheklov (max 4000×4000)

7. Monitoring va audit

7.1 Loglash

• Security log — barcha shubhali harakatlar (90 kun)
• Payment log — barcha to'lov harakatlari (365 kun)
• API log — har bir API so'rovi (30 kun)
• Audit log — har bir admin harakati

7.2 Real-time monitoring

• Anomal trafik aniqlash
• Brute-force urinishlar haqida darhol xabar
• Server resurslari (CPU, RAM, disk)
• Database performance

8. Hodisalar bo'yicha javob

Xavfsizlik hodisasi sodir bo'lganda:

1. 1 soat ichida — hodisa aniqlanadi va to'xtatiladi
2. 24 soat ichida — affected userlarga xabar yuboriladi
3. 7 kun ichida — to'liq tahlil va incident report
4. Kerak bo'lsa — qonun ijro etuvchi organlarga xabar

9. Zaifliklar haqida xabar (Responsible Disclosure)

Agar siz xavfsizlik zaifligini topgan bo'lsangiz, biz sizdan responsible disclosure printsiplariga rioya qilishingizni so'raymiz:

1. Zaiflikni omma oldida e'lon qilmang
2. Bizga xususiy ravishda yozing: security@cloudapi.uz
3. Bizga zaiflikni tuzatish uchun vaqt bering (odatda 90 kun)
4. Boshqa foydalanuvchilarga zarar yetkazmang

10. Foydalanuvchilar uchun maslahatlar

O'z xavfsizligingizni ta'minlash uchun:

Parol

• Kuchli parol ishlating (kamida 12 belgi, har xil belgilar)
• Boshqa saytlardagi parolingizni qayta ishlatmang
• Password manager ishlating (1Password, Bitwarden)

API kalitlar

• Hech qachon public repository (GitHub) ga qo'ymang
• Environment variables (.env) da saqlang
• Har bir loyiha uchun alohida kalit yarating
• Rate limit va allowed models sozlang
• Mavjud emas keldarsiz revoke qiling

Akkaunt

• Email ga kirish imkoniyatini himoya qiling (Gmail 2FA yoqing)
• Shubhali harakatlarni darhol bizga xabar bering
• Public Wi-Fi'da login qilmang (yoki VPN ishlating)