GH GambleHub

Rol təmsilçiliyi və çıxışlar

(Bölmə: Əməliyyatlar və İdarəetmə)

1) Niyə rol nümayəndəliyi

Məqsəd - hər bir iştirakçıya (əməkdaşa, partnyora, xidmətə) tam olaraq lazım olduğu qədər və tam olaraq lazım olduğu qədər hüquqlar verməkdir. Bu sızma və sui-istifadə risklərini azaldır, auditlərin bağlanmasını və keçidini sürətləndirir.

2) Giriş modeli: səviyyələr və domenlər

Giriş domenləri: insanlar (konsol/panel), xidmətlər (maşın tokenləri), məlumatlar (cədvəllər/obyektlər), infrastruktur (bulud/K8s), kontragentlər (xarici inteqrasiya), regionlar/tenantlar.
Etimad səviyyələri: açıq → daxili → qorunan (PII/maliyyə) → xüsusilə kritik (açarlar/ödənişlər).
Əməliyyat zonaları: prod/staging/sandbox; «aşağıdan» «yuxarıya» qayda - yalnız təsdiq edilmiş pipeline 's vasitəsilə.

3) Avtorizasiya modelləri

RBAC: rollar vəzifələrə bağlıdır («Məzmun redaktoru», «Ödəniş operatoru»). Sadə başlanğıc, yoxlamaq asandır.
ABAC: subyekt/resurs/kontekst atributları üzrə siyasət (region, tenant, növbə, cihaz, risk-skorinq).
ReBAC (relationship-based): hüquqlar əlaqələrdən (layihə sahibi, komanda üzvü) izləyir.
Hibrid: əsas matris üçün RBAC, kontekst məhdudiyyətləri üçün ABAC, sahiblik üçün ReBAC.

💡 Təcrübə: eskalasiya yollarını və risk «super-düyünlərini» müəyyən etmək üçün hüquq qrafikini (kim → nə → niyə) saxlayın.

4) Minimum tələb olunan giriş (Least Privilege)

Başlanğıc - minimal default rollar (read-only, PII olmadan).
Artım - yalnız əsaslandırma, müddət və sahibi ilə ərizə vasitəsilə.
Vaxt limiti (TTL): hüquqlar avtomatik olaraq «əriyir»; uzadılması - şüurlu.
Kontekst qvard relslər: region/tenant, iş saatları, cihaz, geo.

5) Vəzifə bölgüsü (SoD)

SoD matrisi təhlükəli birləşmələri istisna edir:
  • «Limitlər başlayır» ≠ «limitləri təsdiq edir».
  • «Ödəniş hazırlayır» ≠ «ödənişi imzalayır».
  • «Kodu yazır» ≠ «prodda».
  • «Admin DD» ≠ «PII-ni analitikada oxuyur».
  • SoD-ni siyasətlərdə və proseslərin özündə həyata keçirin (ikiqat imza, M-of-N).

6) JML prosesləri (Joiner/Mover/Leaver)

Joiner: vəzifə/komanda/region üzrə əsas rolların avtomatik təyinatı, 24h üçün giriş çek siyahısı.
Mover: komanda/layihə dəyişikliyi zamanı rollara yenidən baxılması; «köhnə» hüquqların avtomatik çıxarılması.
Leaver: sessiyaların, açarların, tokenlərin geri çağırılması; sirlərin yenidən buraxılması, artefaktlara sahib olmaq.

7) Müvəqqəti imtiyazlar: JIT/PAM

Just-In-Time (JIT): MFA və biletin əsaslandırılması ilə 15-240 dəqiqəlik müraciət haqqının qaldırılması.
PAM (Privileged Access Management): proxy/giriş «mühasibat altında», sessiyaların qeydiyyatı, komanda jurnalı.
Break-glass: ani alert, qısa TTL və məcburi post-mortem ilə təcili giriş.

8) Xidmət kimliyi və açarları

Service Accounts: Hər xidmət və mühit üçün ayrıdır, paylaşılan sirr yoxdur.
Workload Identity: tokenləri pod/vir/funksiyalara bağlamaq; qısamüddətli kremlər.
Secrets: KMS/Vault, rotasiya, iki konturlu şifrələmə, girişi qadağan.
İmza/ödəniş açarları: threshold/MPC, hardware HSM, etimad domenləri.

9) SSO/MFA/SCIM və hesab həyat dövrü

SSO: IdP (SAML/OIDC), vahid giriş, mərkəzləşdirilmiş parol/cihaz siyasəti.
MFA: administratorlar/maliyyə/PII üçün məcburidir; üstünlük FIDO2.
SCIM: hesablar və qrupların avtomatik yaradılması/silinməsi/dəyişdirilməsi.
Device Posture: cihaz vəziyyətinə görə şərti giriş (disk şifrələmə, EDR, aktual yamalar).

10) Kod kimi siyasət və yoxlama

OPA/Authorization service: kod şəklində siyasət (Rego/JSON), PR vasitəsilə review, testlər.
Drift-control: müntəzəm müqayisə «faktiki olaraq elan vs».
Ön uçuş yoxlaması: «siyasət belə bir əməliyyata icazə verəcəkmi?» - buraxılışdan əvvəl cases test edin.

11) Məlumatlara giriş

Təsnifat: ictimai/daxili/məhdud/PII/maliyyə.
«Minimum» təzyiq: «xam» məlumat əvəzinə aqreqatlar/maskalar; PII sorğuları - yalnız təsdiq edilmiş joblar vasitəsilə.
Tokenization/DE-ID: identifikatorların dəyişdirilməsi, sorğuların auditi.
Laylar: prod → replikalar → vitrinlər → aqreqatlar; Prod-DB-yə birbaşa giriş - yalnız JIT/PAM.

12) Bulud, K8s, şəbəkə

Cloud IAM: per-hesab/layihə rolları; default «Admin» qadağan; tag/qovluqlarda hərəkətlərin məhdudlaşdırılması.
Kubernetes: Namespace RBAC, PSP/« privileged »olmadan oxşar siyasətlər, image-allowlist, CSI vasitəsilə sirləri, per-alt xidmət hesabları.
Şəbəkə: Zero-Trust (mTLS, identity-aware), jump-host - yalnız JIT, SSH sessiyalarının qeydləri.

13) Xarici tərəfdaşlar və inteqrasiya

İzolyasiya edilmiş tenantlar/açarlar, minimum OAuth2 alıcıları, qısa TTL tokenləri.
Vebhuki: imza (HMAC/EdDSA), 'nonce + timestamp', dar qəbul pəncərəsi.
Qrafik açarlarının rotasiyası, güzəşt zamanı geri çağırış, «sağlamlıq» üçün status-end nöqtələri.

14) Audit, resertifikasiya, hesabat

Immutability: WORM-jurnallar, imzalar azad siyasətçilər, Merkle-sites.
Resertifikasiya: rüblük kritik rolların yoxlanılması, aylıq - inzibati hüquqlar.
Karantin hüquqları: «istifadə olunmayan 60 gün» → avtomatik çıxarılması.
Evidence pack: matris rolları boşaltma, SoD, JIT applications, PAM sessiyaları qeyd.

15) Metrika və SLO

TTG (Time-to-Grant): Standart ərizə üzrə giriş medianı (hədəf ≤ 4h).
«imtiyazlı» arasında JIT giriş payı (hədəf ≥ 80%).
SoD-violations: 0 in prod, aradan qaldırılması vaxt ≤ 24h.
Yetim hüquqlar: artıq hüquqlara malik istifadəçilərin% -i (hədəf → 0. 0x%).
Sirlərin rotasiyası: sirrin orta yaşı (məqsəd həssas insanlar üçün 30 gün ≤).
Audit-əhatə: 100% artefaktlarla imtiyazlı fəaliyyət (qeydlər, qəbzlər).

16) Daşbordlar

Access Health: aktiv rollar, yetim hüquqlar, JIT vs daimi.
PAM & Sessions: imtiyazlı sessiyaların sayı, müddəti, MFA-nın uğuru.
SoD & Incidents: bloklama statistikası, səbəblər, MTTR.
Secrets & Keys: yaş, qarşıdan gələn rotasiya, «qırmızı» açarlar.
JML: SLA onbording/offbording, vaxtı keçmiş müraciətlər.
Audit Evidence: rüblük resertifikasiya statusu, completeness 100%.

17) Hadisə pleybukları

Token/açarın güzəşti: dərhal geri çağırma, qlobal istifadə axtarışı, asılılıq rotasiyası, N gün ərzində retro audit.
SoD pozulması: əməliyyat bloku, rolun müvəqqəti dayandırılması, post-mortem və siyasət dəyişikliyi.
PII-yə icazəsiz giriş: təcrid, DPO bildirişi, sızma inventarizasiyası, hüquqi prosedurlar.
Escalation abuse: subyekt/komanda üçün JIT dondurma, ərizə/əsaslandırma təhlili, TTL limitləri düzəliş.

18) Əməliyyat təcrübələri

Kritik hüquqların verilməsi/dəyişdirilməsi üçün dörd göz.
Vəzifələrin, risklərin və icazə verilən əməliyyatların təsviri olan rollar kataloqu.
Anonim məlumatlar və digər rollarla test mühitləri.
Policy dry-run: tətbiq edilməzdən əvvəl dəyişikliklərin nəticələrini simulyasiya.
Giriş GameDays: «IdP itkisi», «PAM iflası», «sirr sızması».

19) Giriş çek siyahısı

  • Əsas proseslər üzrə rolların taksonomiyasını və SoD matrisini formalaşdırın.
  • Hər kəs üçün SSO + MFA daxil, JML üçün SCIM axını.
  • PAM/JIT yerləşdirmək, alerts və qısa TTL ilə break-glass konfiqurasiya.
  • PR və Auto-Texts vasitəsilə Code (OPA), Reviews siyasəti daxil edin.
  • Fərdi xidmət hesabları və workload-identity; shared-secrets qadağan.
  • Vault/KMS, sirlərin və açarların müntəzəm rotasiyası, kodlarda/loqlarda sirlərin qadağan edilməsi.
  • Mühitləri və bölgələri bölmək, xaç-regional giriş qaydalarını möhkəmləndirmək.
  • Dashboard və SLO, aylıq resertifikasiya hesabatlarını işə salın.
  • SoD-skan hüquq və eskalasiya yolları aradan qaldırılması.
  • action items ilə müntəzəm təlimlər və post-mortemlər.

20) FAQ

RBAC və ya ABAC?
RBAC - əsas oxuculuq təbəqəsi, ABAC - kontekst və dinamika. Hibrid istifadə edin.

JIT varsa PAM lazımdır?
Bəli: PAM seans qeydlərini və idarə olunan imtiyazlı giriş kanallarını verir.

Hüquqların «yapışmasını» necə azaltmaq olar?
TTL rolları, auto-çıxarılması, aylıq resertifikasiya və SoD-alertlər.

Xarici podratçılarla nə etmək lazımdır?
Xüsusi tenantlar/qruplar, məhdud alıcılar, qısa TTL, məcburi hesabatlar və resertifikasiya.

Xülasə: Rol təqdimatı və giriş «işarələr» deyil, hüquqların həyat dövrüdür: minimal lazımi rollar, SoD, JIT/PAM, kod kimi siyasət, müşahidə və müntəzəm resertifikasiya. Bu kontur komandalara sürətli iş və biznes və audit üçün proqnozlaşdırıla bilən təhlükəsizlik verir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.