مراجعة الهوية
1) الغرض والنتيجة
الهدف: توفير امتثال يمكن إثباته لمبادئ Zero Trust وأقل الامتيازات من خلال التحقق المنتظم من الجهة التي يمكنها الوصول إلى أين ولماذا.
النتيجة: سجل كامل ومحدث للهويات والحقوق مع المالكين المؤكدين، وإلغاء الوصول «المجمد»، وقاعدة أدلة رسمية للرقابة الداخلية والجهات التنظيمية.
2) النطاق
المستخدمون الداخليون: موظفون، متدربون، مشرفون، أدوار مؤقتة.
المقاولون/الشركاء: استوديوهات الألعاب، مزودو PSP/KYC/AML، الشركات التابعة.
هويات الخدمة: الروبوتات، CI/CD، التكامل، المفاتيح ورموز API.
الأدوار المميزة: مديرو البنية التحتية/قاعدة البيانات، المدفوعات، المخاطر، التجارة.
اللاعبون (في سياق KYC): صحة حزمة الحساب ↔ ملف تعريف KYC ↔ حالات RG/AML (عمليات التحقق، وليس محتوى المستند).
3) المصطلحات والمبادئ
الهوية: كيان فريد (شخص/خدمة) له سمات.
الاستحقاق: حق/دور محدد للمورد.
JML: Joiner → Mover → Leaver - دورة حياة الهوية.
SoD: الفصل بين الواجبات للعمليات عالية الخطورة.
Lest Privilege & Just-in-Time (JIT): الحد الأدنى من مجموعة الحقوق الممنوحة لفترة محدودة.
المساءلة: لكل هوية مالك، ولكل حق دراسة جدوى ومصطلح.
4) مصادر الحقيقة ونموذج البيانات
نظام HRIS/HR: المصدر الرئيسي لوضع الموظف (التوظيف/الانتقال/الخروج).
IdP/SSO: نقطة توثيق واحدة (MFA/FIDO2)، الاتحاد.
IAM/IGA: فهرس أدوار وسياسات وعمليات إعادة التصديق.
CMDB/قائمة الخدمات: ملكية النظم وحلقات الوصول.
منصات المزود: PSP/KYC/CDN/WAF/مزودي الألعاب - بوابات الوصول الخارجية.
: الهوية (ينتمي إلى) وحدة Org/فريق (لديه) الأدوار (توسيع عن طريق ABAC) الاستحقاقات (تطبيق) الموارد .
5) مراجعة الضوابط
1. SSO و MFA في كل مكان (بدون حسابات محلية وحسابات مشتركة).
2. RBAC/ABAC/PBAC: الحقوق التي تصفها السياسات (السياسة كرمز)، الأدوار - نموذجية ومتسقة.
3. SoD: يتم إضفاء الطابع الرسمي على الأدوار والاستثناءات غير المتوافقة.
4. JIT/PAM: عروض ترويجية مؤقتة مع التذاكر وتسجيل الجلسات والاستدعاء التلقائي.
5. الأسرار/المفاتيح: مخزنة في مدير الأسرار، مع التناوب والعمر.
6. السجلات وقابلية الإثبات: أدلة العبث، تتبع متماسك لمن/ماذا/أين/متى/لماذا.
7. الوصول إلى البيانات: إخفاء PII والتصدير - فقط عن طريق سير العمل مع التشفير و TTL.
6) عملية مراجعة الحسابات (من البداية إلى النهاية)
1. الإعداد: تجميد لمحة عن الحقوق (لمحة عن الاستحقاقات) حسب النظام ؛ تنزيل من IdP/IAM/مزودي
2. التطبيع: رسم خرائط الأدوار إلى دليل، والتفريغ، والتجميع حسب أصحاب الموارد.
3. تصنيف المخاطر: P1/P2 (متميز وحساس) → التحقق من الأولوية.
4. إعادة التصديق على الحقوق: يؤكد أصحاب النظم/يرفضون الحقوق (حملات مراجعة الوصول).
5. التحقق من عدم التوافق والاستثناءات المؤقتة (مع تاريخ انتهاء الصلاحية).
6. تسوية JML: تحديد الاستئجار/الانتقال/الخروج إلى الحقوق الفعلية (بما في ذلك البوابات الخارجية).
7. حسابات الخدمة: توفر المالك، الرموز القصيرة الأجل، لا «نطاق الله».
8. قاعدة الأدلة: تشكيل مجموعة من القطع الأثرية (تقارير، تحميلات، أفعال).
9. خطة الإصلاح: تذاكر الاستدعاء/التصحيح، والمواعيد النهائية والأشخاص المسؤولين.
10. التقرير النهائي: حالة المخاطر، ومؤشرات الأداء الرئيسية للدورة، والدروس المستفادة، وتحسين السياسات.
7) خطوط JML (التي نتحقق منها بشكل أعمق)
Joiner: التعيين التلقائي للأدوار الأساسية، وحظر «الإضافات» اليدوية خارج الدليل.
المحرك: تغيير القيادة/الموقع → الاستبدال التلقائي للأدوار، وإلغاء الامتيازات القديمة.
Leaver: إلغاء جميع الحقوق في غضون X دقيقة/ساعة، وإغلاق بوابات البريد/VPN/المزود، وتعطيل المفاتيح والرموز.
8) التبعيات الخارجية والبوابات
PSP/KYC/AML/CDN/WAF/مزودي الألعاب: لكل حساب مالك، هدف، موعد نهائي، MFA، حظر على الحسابات المشتركة.
التحكم التعاقدي/جيش تحرير السودان: توافر التحكم المزدوج لعمليات الرتبة ف-1 (تغيير مسار الدفع، وحدود المكافآت، وما إلى ذلك).
التسوية المنتظمة: تسجيل البوابات الخارجية ↔ قائمة المستخدمين الحاليين ↔ نتائج إعادة التصديق.
9) ميزات مجال iGaming
المدفوعات والمخاطر: اختر فروع SoD ؛ ومعلومات مستكملة عن التغييرات في الحدود/المسارات ؛ مراجعة التعديلات اليدوية.
التداول/العوامل: صناديق الرمل للنمذجة، وأدوار النشر الفردية، والتراجع السريع ؛ سجل التغيير.
الألعاب المسؤولة/KYC/PII: مراقبة صارمة للصادرات، وإخفاء في BI، ومعالجة SLA لطلبات المنظمين.
الشركات التابعة والبث المباشر: بوابات محدودة ذات قدرات إبلاغ دون الوصول إلى PII.
10) السياسات كمدونة (PaC)
السياسات في المستودع (Rego/YAML)، مراجعة العلاقات العامة، الاختبارات.
السياق الديناميكي في حلول السماح/الرفض: البيئة (prod)، والوقت، والموقع، وحرجية العملية، وإشارات KRI (على سبيل المثال، زيادة الإجراءات الحساسة).
إلزامي ملزم للتذكرة وهدف ترقيات JIT.
11) المجلات وقابلية الإثبات
سلسلة الأحداث: وحدة التحكم الإدارية/IdP → API → قواعد بيانات → مقدمي الخدمات الخارجيين.
العبث واضح: WORM/مخازن غير قابلة للتغيير، توقيع السجلات، TTL الصارمة.
البحث والاستجابة: اتساق الاستجابة للطلبات الداخلية/الخارجية (مراجعة الحسابات، المنظم، المصرف/الشريك).
12) المقاييس و KPI/KRI
KPI:- حصة الحقوق المؤكدة في الوقت المحدد (إعادة التصديق)،٪ من الحملات المتأخرة.
- الوقت من الفصل إلى الإلغاء الكامل للحقوق (MTTR-leaver).
- حصة زيادات JIT مقابل الامتيازات المستمرة.
- عدد النزاعات التي تم حلها في SoD لكل دورة.
- اكتمال النظم المغطاة والبوابات الخارجية.
- التصاقات العمل الحساسة (تصدير PII، تغييرات PSP).
- الحقوق غير المستخدمة> N أيام.
- كسر الزجاج بدون مراجعة لاحقة
- حسابات بدون مالك/غرض/مصطلح.
13) خارطة طريق التنفيذ (8-12 أسبوعًا)
نيد. 1-2: جرد الهويات والنظم (بما في ذلك البوابات الخارجية)، وكتالوج الأدوار ومصفوفة SoD.
نيد. 3-4: اتصال مكتب الإحصاء/وزارة الخارجية في كل مكان، ومجموعة واحدة من الاستحقاقات، والتقارير السريعة الأولى.
نيد. 5-6: إطلاق حملات إعادة اعتماد IGA (أولوية P1/P2)، الاستدعاء التلقائي لـ Leaver.
نيد. 7-8: JIT/PAM لدوائر الإنتاج، وجلسات التسجيل، وحظر الحسابات المشتركة من مقدمي الخدمة.
نيد. 9-10: PaC: إضفاء الطابع الرسمي على السياسات الرئيسية (PII التصدير، توجيه PSP، الإصدارات)، اختبارات الوحدات للسياسات.
نيد. 11-12: لوحات معلومات KPI/KRI، ولوائح الدورة الفصلية، وتقديم التقارير للامتثال/المنظمين.
14) أنماط القطع الأثرية
فهرس الأدوار: الدور، الوصف، الحد الأدنى من الامتيازات، المالك، قابلية الطلب (المستأجر/المنطقة/البيئة).
SoD Matrix - أدوار/عمليات غير متوافقة، واستثناءات، ومصطلح استثناء، ومالك استثناء.
حزمة مراجعة الوصول: ورقة تأكيد الحقوق، التعليقات، النتيجة (الموافقة/الإلغاء/التخفيف).
سجل حساب الخدمة: الغرض، المالك، العمر، النطاقات، موقع تخزين الأسرار، جدول التناوب.
مخزون البوابات الخارجية: النظام، جهات الاتصال، قائمة المستخدمين، MFA، تاريخ إعادة التصديق الأخير.
قائمة مرجعية للأدلة: ما هي التحميلات/السجلات وبأي شكل يمكن تخزينه للتدقيق.
15) أنتيباترن
حسابات عامة و «إدارة إلى الأبد».
الإصدار اليدوي للحقوق المتجاوزة لـ IdP/IGA.
لا يوجد تحمل لـ SoD أو «استثناءات مؤقتة» بدون تاريخ انتهاء.
رموز الخدمة بدون تناوب/مالك.
قم بتصدير PII «بالحرف» بدون سير العمل والتشفير.
لا تدقيق للبوابات الخارجية (PSP/KYC/مزودي الألعاب).
16) تكرار اكتشافات مراجعة الحسابات والتصحيح السريع
الوصول المجمد من المفصولين/المقاولين: تمكين التعليقات التلقائية على أحداث الموارد البشرية (Leaver).
الأدوار الزائدة: تتحلل إلى أدوار أصغر وتربط سمات ABAC.
الحسابات المشتركة مع مقدمي الخدمات: الانتقال إلى الشخصية + MFA، وإصدار أدوار مؤقتة للمهام النادرة.
الأسرار طويلة العمر: التحول إلى الرموز/الشهادات قصيرة العمر والتناوب المخطط له.
17) مجموعة إدارة الحوادث
أي حادث يتعلق بعنصر الوصول → التحديث الإلزامي لسجل المخاطر والسياسات، وإعادة التصديق على الأدوار المتأثرة، وتشريح الجثة مع بنود العمل (والمواعيد النهائية).
المجموع
مراجعة الهوية هي دورة آلية قابلة للتكرار: سجل كامل للهويات والحقوق → إعادة التصديق الموجه نحو المخاطر → JML الصعبة وسياسات → JIT/PAM كرمز ومراجعة يمكن إثباتها → تحسين نتائج الدورة. تقلل هذه الحلقة من احتمالية الإساءة والأخطاء، وتسرع التحقيقات، وتعزز الامتثال وتحمي العمليات التجارية الرئيسية لمنصات iGaming.