GH GambleHub

إدارة الهوية والوصول

موجز موجز

IAM هي مجموعة من العمليات والسياسات والأدوات التي توفر لمن يمكنه الوصول إلى ماذا وتحت أي ظروف وكيف يتم التحكم فيه. الأهداف: التقليل إلى أدنى حد من الحقوق الزائدة عن الحاجة، والحد من سطح الهجوم، وتسريع الصعود إلى الطائرة ومراجعة الحسابات، والامتثال (PCI DSS، و GDPR، وما إلى ذلك) وموثوقية الوصول القابلة للقياس.

المفاهيم الأساسية

الهوية: شخص (موظف، متعاقد)، خدمة/تطبيق، جهاز.
المصادقة (AuthN): من يتحقق (كلمة السر → MFA → مخططات FIDO2/passkeys الخالية من كلمة السر).
الإذن (AuthZ): قرار «ما هو مسموح به» (RBAC/ABAC/ReBAC، السياسات).
بيانات الاعتماد: كلمات المرور والمفاتيح والرموز والشهادات (mTLS).
الإدارة السرية: KMS/HSM/Vault، التناوب، TTL القصير، الأسرار الديناميكية.
دورة الحياة: Joiner-Mover-Leaver (JML) - إنشاء، تغيير الأدوار، استدعاء.

هندسة IAM المستهدفة

الطائرات والأدوار:
  • IdP (مقدم الهوية): SSO، MFA، الدليل، الاتحاد (OIDC/SAML)، سياسات المخاطر.
  • PDP/PEP: القرار/الإنفاذ - محرك السياسة (OPA/Cedar) + نقاط التطبيق (بوابات API، الوكلاء، شبكة الخدمة).
  • الكتالوجات/نظام الموارد البشرية: مصدر الحقيقة حسب الموظف والدور
  • التزويد: SCIM/Automation لإنشاء/تعديل/إلغاء الوصول.
  • مراجعة الحسابات: سجلات مركزية، وتقارير عن الأدوار والوصول.
تدفق الوصول (user→app):
  • SSO (+ MFA) → قضية رمزية (OIDC/JWT/SAML) → يتحقق PEP من الرمز/السياق → يقرر PDP بشأن السياسة (الدور/السمات/المخاطر) → قضايا الطلب/يمنع الوصول.

المصادقة: من كلمات المرور إلى مفاتيح المرور

كلمات المرور: فقط مع مديري كلمات المرور، ما لا يقل عن 12-14 حرفًا، دون تناوب «وفقًا للتقويم»، ولكن مع إلزامية في حالة وقوع حادث.
افتراضي MFA: TOTP/WebAuthn/Push ؛ تجنب الرسائل القصيرة كعامل رئيسي.
تسجيل الدخول بدون كلمة مرور: FIDO2/passkeys للمجالات الحرجة.
AuthN التكيفي: ضع في اعتبارك إشارة المخاطر (geo، ASN، الجهاز، الشذوذ) → تتطلب عاملاً/كتلة إضافية.

الإذن: RBAC، ABAC، ReBAC

المكتب الإقليمي لآسيا والمحيط الهادئ: الأدوار المقابلة للمهام (الدعم، الشؤون المالية، برامج العمليات الإنمائية). بسيطة ومفهومة، لكنها «تنمو».
ABAC: القواعد الخاصة بالسمات (الإدارة، مستوى المخاطر، الوقت، المنطقة، بطاقات الموارد). قابل للتطوير.
ReBAC: علاقات «من ينتمي إلى ماذا» (أصحاب المشاريع وأعضاء الفريق). مناسب لسيناريوهات المستأجرين المتعددين.

أفضل الممارسات:
  • دمج RBAC (الشبكة الأساسية) + ABAC/ReBAC (السياق/الحدود).
  • JIT (Just-In-Time): إصدار امتيازات مؤقتة عبر الطلب/التطبيق، الإلغاء التلقائي.
  • JEA (Just-Enough Access): الحد الأدنى من الحقوق الكافية للعملية.
  • PAM: عمليات الوصول «القوية» المعزولة (DB/cloud administrs) مع وسيط الجلسة، وتسجيل الشاشة/الأمر وإصدار اعتمادات قصيرة الأجل.

الاتحاد و SSO

البروتوكولات: OIDC (JWT tomens)، SAML 2. 0 (تأكيدات XML) - لمقدمي/شركاء خارجيين.
SSO: نقطة دخول واحدة مع MFA، والحد من التصيد الاحتيالي، والاستدعاء المركزي.
B2B/B2C: الاتحاد مع الشركاء، وتقييد المجال، والسياسات القائمة على المجال.
mTLS/m2m: للخدمات، استخدام x.509 قصير الأجل (SPIFFE/SVID) أو OAuth2 وثائق اعتماد العملاء.

دورة الحياة (JML) والتزويد

جوينر: تزويد SCIM التلقائي بالحسابات والأدوار الأساسية من الموارد البشرية/الدليل.
المحرك: تتغير الأدوار تلقائيًا حسب السمات (الإدارة والمشروع والموقع).
Leaver: الاستدعاء الفوري لـ SSOs والمفاتيح والرموز والمستودع/السحابة/CI/CD accesses.
العمليات: طلبات الوصول (ITSM)، مصفوفة SoD (تقسيم الواجبات)، الاستعراض الدوري للوصول.

الأسرار والمفاتيح والتناوب

KMS/HSM: تخزين الجذر/المفاتيح الحرجة، تمكين التدقيق التشغيلي.
مديرو الخزانة/الأسرار: الاعتمادات الديناميكية (DB، السحب)، التنقيح التلقائي عند اكتمال TTL.
التناوب: رموز OAuth ومفاتيح توقيع JWT وكلمات مرور الخدمة - في الموعد المحدد وفي حالة وقوع حوادث.
mTLS: شهادات قصيرة الأجل (ساعات/أيام)، إعادة إصدار تلقائية.

السياسات ومحرك الحلول

الإعلانات: سياسات التخزين بالجيت ؛ تحقق في CI (اختبارات السياسة).
السياق: الوقت/الموقع/ASN/مستوى المخاطر/حالة الجهاز (MDM/EDR).

مثال (ريغو، مبسط): 
rego package authz. payments default allow = false

allow {
input. user. role == "finance"
input. device. compliant == true input. action == "read"
input. resource. type == "report"
time. now_hh >= 8 time. now_hh <= 20
}

الرصد ومكتب المدعي العام ومراجعة الحسابات

المقاييس:
  • نجاح AuthN/AuthZ (٪)، p95 وقت الدخول/القرار، حصة مدخلات MFA/خالية من كلمة المرور.
  • عدد تصعيد JIT/PAM، متوسط مدة الامتياز.
  • تغطية الأجهزة المتوافقة، حصة من الأسرار قصيرة العمر.
SLO (أمثلة):
  • توافر SSO/IdP ≥ 99. 95٪ في الشهر.
  • p95 AuthZ decision ≤ 50 мс.
  • إغلاق الحساب بنسبة 100٪ ≤ بعد 15 دقيقة من الإقلاع عن الطائرة.
  • التدقيق و UEBA: السجلات المركزية الثابتة (الوصول، تغييرات الأدوار، المدخلات الفاشلة، حلول PDP)، التحليلات السلوكية، وأجهزة الإنذار الشاذة.

الاستجابة للحوادث في IAM

حل وسط للرموز/المفاتيح: الإلغاء الفوري، الإخراج القسري، تناوب مفاتيح التوقيع، إعادة إصدار الأسرار قصيرة العمر.
إساءة استخدام الحقوق: تعليق الحساب، وحظر JIT/JEA، وإجراء مراجعة للوصول للكيانات المجاورة.
لا يتوفر IdP: أوضاع غير متصلة بالإنترنت (التحقق المؤقت من ذاكرة التخزين المؤقت للرموز المميزة ذات TTL القصيرة)، وإجراءات الاسترداد ذات الأولوية.
التصيد الاحتيالي: إجباري في إطار المساعدة المالية المتعددة الأطراف، وفحص مخاطر الجلسات، وإخطارات المستخدمين، والتدريب.

السحب و Kubernetes (أنماط)

Public Cloud IAM: استخدم الأدوار المحلية بأقل امتياز ؛ بدلاً من المفاتيح «الأبدية» - أعباء العمل مع اتحاد OIDC إلى السحابة (IRSA/Workload Identity).
Kubernetes: RBAC by neimspaces/roles, remident 'cluster-admin'; والأسرار - عن طريق المديرين الخارجيين ؛ شبكة الخدمات + OPA لسياسات L7 ؛ مراقبو القبول (الصور الموقعة، الحظر «: الأحدث»).
بوابات واجهة برمجة التطبيقات: التحقق من JWT/mTLS، حدود الأسعار، توقيعات الطلب (HMAC) لنقاط النهاية الحساسة.

ممارسة iGaming/fintech

مجالات الوصول: المدفوعات، مكافحة الاحتيال، PII، مزودي المحتوى - معزولين بالأدوار وقطاعات الشبكة.
SoD: لا تجمع بين الأدوار المتضاربة (على سبيل المثال إنشاء مدفوعات ترويجية + موافقة).
PAM و JIT: للوصول إلى PSP/البنوك و prod-DB - فقط من خلال وسيط جلسة، مع التسجيل والاستدعاء التلقائي.
الامتثال: PCI DSS - MFA، الحد الأدنى من الامتيازات، تجزئة منطقة CHD ؛ اللائحة العامة لحماية البيانات - مبدأ تقليل البيانات إلى أدنى حد وسجلات النقاط للوصول إلى PII.
الشركاء ومقدمو المحتوى: سياسات الاتحاد وسياسات المستأجر الواحد ؛ الرموز القصيرة العمر وقائمة السماح IP/ASN.

أخطاء شائعة

المفاتيح والرموز «الأبدية»: لا توجد دورات و TTL → خطر كبير من التسريبات.
النقل اليدوي إلى الخارج: التأخير في إلغاء الحقوق → الوصول «الشبحي».
أدوار مونوليث: «دور فائق» واحد بدلاً من التكوين والسمات.
MFA فقط في لوحة الإدارة: يجب أن يكون MFA لجميع المدخلات والعمليات الحيوية.
السجلات «إلى أي مكان»: لا توجد مركزية و UEBA → اكتشاف الحوادث لاحقًا.

خارطة طريق تنفيذ IAM

1. حصر المستخدمين/الخدمات/الموارد ؛ وخريطة البيانات والحساسية.
2. تشمل SSO + MFA للجميع عوامل مقاومة التصيد الاحتيالي.
3. نموذج يحتذى به: الخصائص الأساسية للمكتب الإقليمي لآسيا والمحيط الهادئ + للسياق ؛ مصفوفة SoD.
4. توفير SCIM: إنشاء/تغيير/إلغاء الحقوق تلقائيًا من الموارد البشرية/الكتالوج ؛ التطبيقات والتحديثات في ITSM.
5. PAM و JIT/JEA: للوصول المتميز ؛ جلسات تسجيل، TTLs قصيرة.
6. الإدارة السرية: رفض المفاتيح الثابتة ؛ أسرار ديناميكية، تناوبات، mTLS بشهادات قصيرة.
7. السياسات في Git + CI: اختبارات القواعد، والتحكم في التغيير، ونشر سياسة الكناري.
8. قابلية الملاحظة و SLO: لوحات القيادة AuthN/AuthZ، التنبيهات، مراجعة الوصول المنتظمة.

أمثلة على القطع الأثرية

سياسة AWS IAM (الحد الأدنى لقراءة تقارير S3)

json
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "ReadOnlyReports",
"Effect": "Allow",
"Action": ["s3:GetObject","s3:ListBucket"],
"Resource": [
"arn:aws:s3:::reports-bucket",
"arn:aws:s3:::reports-bucket/"
],
"Condition": {
"IpAddress": { "aws:SourceIp": "203. 0. 113. 0/24" }
}
}]
}

Kubernetes RBAC (مطور نطاق الأسماء)

yaml apiVersion: rbac. authorization. k8s. io/v1 kind: Role metadata:
name: dev-read-write namespace: app-prod rules:
- apiGroups: ["","apps"]
resources: ["pods","deployments","services","configmaps"]
verbs: ["get","list","watch","create","update","patch","delete"]
apiVersion: rbac. authorization. k8s. io/v1 kind: RoleBinding metadata:
name: dev-bind namespace: app-prod subjects:
- kind: User name: alice@example. com roleRef:
kind: Role name: dev-read-write apiGroup: rbac. authorization. k8s. io

OIDC: الموافقات على ABAC (مثال)

json
{
"sub": "d81f0b5c-...",
"email": "bob@example. com",
"dept": "finance",
"role": "analyst",
"device_compliant": true,
"tenant": "casino-eu"
}

قد تتطلب السياسة «الجهاز _ المتوافق = الحقيقي» و «المستأجر» لمطابقة المورد.

قائمة التحقق

  • تم تمكين SSO لجميع التطبيقات ؛ MFA افتراضيًا، مفاتيح المرور في الأولوية.
  • يعرف المكتب الإقليمي لآسيا والمحيط الهادئ ؛ ABAC/ReBAC يضاف السياق ؛ التي ينفذها الفريق المشترك المعني بالتكنولوجيا/فريق التقييم المشترك.
  • PAM تحمي الوصول المتميز ؛ يجري تسجيلها.
  • توفير SCIM من الموارد البشرية ؛ الإقلاع آلي بالكامل.
  • الأسرار ديناميكية، مع TTL قصير ؛ آليا.
  • يتم نشر السياسات في Git، ويتم اختبارها في CI ؛ هناك حسابات الكناري.
  • لوحات القيادة و SLO وفقًا لـ AuthN/AuthZ ؛ السجلات المركزية و UEBA.
  • الاستعراض الدوري للوصول والتحقق من SoD ؛ من أجل الامتثال.

الأسئلة الشائعة

هل ReBAC بحاجة إلى الجميع ؟

لا ، ليس كذلك يكفي RBAC + ABAC للبيئات البسيطة. ReBAC مفيد في التسلسل الهرمي المعقد لملكية الموارد وتعدد الحيازات.

هل يمكنني ترك حسابات محلية ؟

فقط لسيناريوهات كسر الزجاج وغير متصلة بالإنترنت، مع قيود صارمة والتحقق الدوري.

كيف تقلل من «انفجار الأدوار» ؟

زيادة دقة الموارد، واستخدام قوالب ABAC/، وأتمتة المراجعات، والتخلص من الأدوار غير المستخدمة.

المجموع

بنية IAM الناضجة هي SSO + MFA، الحد الأدنى من الحقوق الضرورية، JML الآلي، السياسات المركزية وقابلية الملاحظة. من خلال الجمع بين RBAC ونماذج السمة والعلاقات، وتطبيق JIT/JEA و PAM، وأتمتة التزويد والتناوب السري، تحصل على وصول مُدار وقابل للتدقيق وقابل للتطوير يلبي متطلبات الأمن والأعمال.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

Telegram
@Gamble_GC
بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.