GH GambleHub

RBAC: Rolların və icazələrin idarə edilməsi

1) RBAC məqsədləri və prinsipləri

Məqsəd: Pul/PII-ni qorumaq və tələblərə (GDPR/AML/PCI/ISO) riayət etmək üçün idarəolunan, yoxlanıla bilən və minimal həcmdə giriş etmək.
Prinsiplər: Least Privilege· Need-to-Know· Duties Separation (SoD)· Zero Trust· Revocability (sürətli geri çağırış)· Auditability (sübut oluna bilər).

2) Hüquq və rolların taksonomiyası

Hüquq növləri (permissions):
  • Məlumat: 'READ', 'WRITE', 'EXPORT', 'DELETE', 'MASKED _ READ' (PII üçün default).
  • Операции: `APPROVE_WITHDRAWAL`, `CHANGE_FRM_RULE`, `KYC_DECISION`, `SANCTIONS_OVERRIDE`.
  • Админ: `ROLE_UPDATE`, `USER_PROVISION`, `SECRET_ROTATE`, `BREAK_GLASS`.
  • İnteqrasiya: 'API _ CALL:', 'WEBHOOK _ SIGN', 'SERVICE _ CONFIG _ UPDATE'.
Rol sinifləri:
  • Core (сквозные): `employee_basic`, `viewer_internal`, `auditor_privacy`.
  • Доменные: `support_agent`, `vip_manager`, `payments_ops`, `aml_officer`, `kyc_operator`, `fraud_analyst`, `rg_specialist`, `bi_analyst`.
  • Sistem/tech: 'devops _ admin', 'dba _ admin', 'service _ account _', 'read _ only _ prod'.
  • Imtiyazlı (PAM/JIT vasitəsilə): 'break _ glass _ admin', 'prod _ db _ jit _ editor'.

3) Rolların dizaynı (role engineering)

1. Resursların inventarlaşdırılması: sistemlər/cədvəllər/end nöqtələri, məlumat sinifləri (Public/Internal/Confidential/Restricted/Highly Restricted).
2. User stories funksiyalarına görə: kim nə edir və niyə (purpose).
3. Mapping tapşırıqları → permissions: hər funksiya üçün minimum dəsti.
4. Rolda qruplaşdırma: bir rol = bir məsuliyyət domeni; «superrollardan» qaçın.
5. SoD testi: uyğunsuzluqların yoxlanılması (məsələn, 'payments _ ops' ≠ 'fraud _ rule _ admin').
6. Pilot və ölçü: Müvəqqəti məhdud qrupa veririk, audit izini toplayırıq.
7. Version: hər rol dəyişikliyi - changelog ilə CAB vasitəsilə.

4) RBAC, ABAC, SoD

RBAC «prinsipcə kim edə bilər», ABAC - «hansı şəraitdə» (mühit, geo, cihaz/MDM, vaxt, KYC səviyyəsi, 'purpose') cavab verir.
SoD təhlükəli rol kombinasiyasını qadağan edir və kritik hərəkətlər üçün 4 gözlər tələb edir.
Təcrübə: default rolları PII MASKED_READ verir; maskalanmamış giriş üçün 'purpose' + JIT atributu və ABAC siyasətinin müsbət həlli tələb olunur.

5) Çoxtərəflilik və geo kontekst

Tenant-scope: rollar icarə/marka/yurisdiksiyaya bağlanır ('role: payments _ ops @EEA').
Geo-keys: ayrı şifrələmə açarları və per region giriş seqmentləri (EC/UK/...).
Qranularity: 'region _ code' (RLS) sütununa və oyunçunun yurisdiksiyasına görə filtrasiya.

6) Row/Column-Level Təhlükəsizlik və Maskalama

Strategiya:
  • RLS (sətirlər): yalnız ölkənizin/brendinizin/komandanızın qeydlərinə giriş.
  • CLS (sütunlar): həssas sahələr gizli mövcuddur; maskasız - yalnız 'pii _ unmask' + 'purpose' imtiyazı ilə.
Mini-nümunə (SQL-ideya): 
sql
CREATE POLICY rls_tx
ON dwh. transactions
USING (region_code = current_setting('app. region'));

SELECT
CASE WHEN has_priv('pii_unmask') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

7) JIT, break-glass и PAM в RBAC

JIT: bilet altında müvəqqəti imtiyazlı rol (15-120 dəq); avtomatik geri çağırma; tam audit.
Break-glass: MFA + ikinci təsdiq və sessiya qeydləri ilə təcili giriş; Security + DPO ilə post-review.
PAM: gizli saxlama, sessiya proxy, şifrələrin/açarların rotasiyası.

8) Rol həyat dövrü (SOP)

SOP-1: Rolun yaradılması/dəyişdirilməsi

1. Domain sahibinin sorğusu → tapşırıqlar siyahısı → mapping permissions → SoD-çek → pilot → CAB → release + sənədlər.

SOP-2: Sorğu və çıxış

1. Müraciət (IDM/ITSM) ilə 'purpose' və son tarix → auto-yoxlama SoD/yurisdiksiya → məlumat sahibinin təsdiqi + Təhlükəsizlik (Restricted + üçün) → ekstradisiya (tez-tez JIT) → qeydiyyat.

SOP-3: Baxış/Offboard

Tetikləyicilər: boşalma, rol dəyişikliyi, fəaliyyət olmaması> 30/60 gün, JIT müddəti bitdi.
Avtomatik baxış və jurnal.

SOP-4: Yenidən sertifikatlaşdırma

Rüblük sahiblər hələ də istifadəçi rollarına ehtiyac olduğunu təsdiqləyirlər; sistem «asılı» hüquqları aradan qaldırır.

9) Rol matrisi nümunəsi (fraqment)

RolIcazə bazasıMaskalanmaKritik hərəkətlərSoD münaqişəsi
`support_agent`READ profillər, biletlərBəli (PII masked)с `kyc_operator`
`vip_manager`READ VIP, bonuslarBəlic 'payments _ ops' (təsdiq)
`payments_ops`APPROVE_WITHDRAWAL, VIEW_TXPII masked`PAYMENT_APPROVE` (4-eyes)с `fraud_rule_admin`
`fraud_analyst`VIEW_RULES, HOLD_TXPII masked`CHANGE_FRM_RULE`с `payments_ops`
`kyc_operator`KYC_DECISIONMasked sənədləri (view-once via JIT)`KYC_APPROVE`с `support_agent`
`bi_analyst`READ aqreqatlarıHəmişə maskedVitrinlər vasitəsilə 'EXPORT'с `dba_admin`
`devops_admin`infra admin`BREAK_GLASS`biznes rolları ilə

10) Alətlər və satış (nümunələr)

Rol kataloqu kimi kod: Depoda YAML/JSON + CI-validatorlar, changelog.
Mərkəzi IdP/SSO: SCIM-provizinq, qrup mappinqləri 'group → role'.
Policy decision point: Kontekstin atributları olan siyasət mühərriki (ABAC).
Secrets/KMS: per mühit/region/tenant açarları izolyasiya.
Data gateway: DWH/BI/ixrac üçün vahid maska/audit təbəqəsi.
SIEM/SOAR: korrelyasiya 'ROLE _ UPDATE '/' READ _ PII '/' EXPORT _ DATA', avto-biletlər.

11) Audit və jurnallaşdırma

Обязательные события: `ROLE_ASSIGN`, `ROLE_REVOKE`, `ROLE_UPDATE`, `BREAK_GLASS`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `KYC_DECISION`.
Tələblər: WORM nüsxəsi, hash zəncirləri, paket imzası, hər bir hadisədə 'purpose '/' ticket _ id', vaxt sinxronizasiyası.

12) Metrika və KPI/KRI

Coverage: RBAC altında sistemlərin% ≥ 95%.
SoD violations: = 0; uyğunsuz rolları mənimsəmək cəhdləri - avto-blok.
JIT rate: ≥ 80% artımlar JIT kimi gedir.
Offboarding TTR: hüquqların geri çağırılması ≤ 15 dəq.
Masked reads ratio: ≥ 95% PII müraciətləri - maskalı.
Recertification: 100% rolları rüblük təsdiq.
Exports signed: 100% imza/jurnal ilə ixrac.

13) RACI (böyük)

AktivlikCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owner
RBAC/SoD SiyasətiA/RCCCCCC
Rolların/hüquqların dizaynıCCA/RRRRR
ABAC/JIT/PAMIIA/RRICI
Yenidən sertifikatlaşdırmaCCARRRR
İxrac/maskalanmaCARRRCC

14) Çek vərəqləri

Rol yaratmadan əvvəl

  • user-stories və 'purpose' təsvir
  • Resursların və məlumat siniflərinin siyahısı
  • Mapping minimum permissions
  • SoD-yoxlama/münaqişələr
  • Maskalama Siyasəti və RLS/CLS
  • Yenidən sertifikatlaşdırma planı və sahibləri

Giriş verilməzdən əvvəl

  • Sabit 'purpose' və son tarix
  • SoD/yurisdiksiya/MDM/MFA icra
  • Default Maskalama, JIT artan zaman
  • Jurnal və baxış tarixi daxil edilmişdir

15) Tez-tez səhvlər və anti-nümunələr

Kiçik domen əvəzinə geniş hüquqlarla «Superroll».
Maskasız PII-yə birbaşa giriş və 'purpose'.
'PAYMENT _ APPROVE '/' KYC _ APPROVE' üçün SoD/dördüncü gözün olmaması.
Müvəqqəti hüquqların «əbədi» uzadılması.
dev/stage prod-data kopyalama.
İmza və jurnal olmadan qeyri-şəffaf ixrac.

16) Tətbiqi yol xəritəsi

1-2 həftələr: resursların inventarlaşdırılması/məlumatların təsnifatı; rol matrisi; SoD cədvəli.
Həftələr 3-4: RBAC kod (anbar), IdP qrupları/SCIM, ABAC mühərriki (əsas atributlar: mühit/geo/MDM/vaxt), JIT/PAM, DWH/BI üçün maskalama təbəqəsi.
Ay 2: yenidən sertifikatlaşdırma, offboarding avtomatlaşdırma, RBAC/SoD/ABAC, ixrac jurnalları/WORM pozuntularına qarşı SOAR riskləri.
Ay 3 +: atributların genişləndirilməsi (cihaz riski, KYC səviyyəsi), bias-giriş auditləri, dəyər optimizasiyası və müntəzəm tabletop təlimləri.

TL; DR

Güclü RBAC = kiçik domen rolları + atribut şərtləri (ABAC) + SoD və JIT/PAM + maskalama və RLS/CLS + sərt audit və yenidən sertifikatlaşdırma. Bu sızma/sui-istifadə riskini azaldır, auditi sürətləndirir və platformanı gizlilik və uyğunluq tələbləri çərçivəsində saxlayır.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.