特权细分

1）为什么需要细分

特权分割是减少"爆炸无线电"错误和内部滥用的关键。它允许您精确地限制谁以及在何处可以对哪些数据执行哪些操作，同时保持操作速度并满足监管机构的要求。

• 由于"多余权利"而发生的事件较少；
• 加快调查：查询是透明和可以理解的；
• 符合SoD/合规性，可证明的审计；
• 安全的实验和快速的发布，对原核没有风险。

2）原则

零信托：每个动作都经过上下文验证；没有"信任区域"。
Least Privilege：授予最低限度的权利（理想情况下为JIT）。
Context over Role：权限不仅取决于角色,还取决于属性（tenant、区域、环境、风险）。
Segregation of Duties （SoD）：共享启动、批准、执行和审计。
Policy-as-Code：具有验证，测试和咆哮的代码中的策略。

3）访问成熟度模型

1.RBAC （roles）：起步-固定角色（支持、风险、付款、交易、操作、SRE、合规）。
2.ABAC （attributes）：添加属性：tenant、区域、管辖权、产品、通道、环境（prod/stage/dev）,时间、操作风险类、KRI信号。
3.PBAC（基于策略）：集中式策略"谁/什么/何时/何时/为什么"+条件（例如，"仅通过JIT和滴答作响"）。

4）分割域（轴对轴）

4.1 Tenant/客户

访问和运营仅限于特定的品牌/运营商/关联公司。
除非严格定义了没有PII的聚集，否则禁止进行跨阴影活动。

4.2区域/管辖权

政策考虑了本地许可和KYC/AML规则。
玩家数据的操作受到存储和处理地理位置的限制。

4.3环境（dev/stage/prod）

Prod是隔离的：个别信条，网络，Bastion/PAM，"默认只读"。
只有JIT才能访问prod，带有滴答声和更改窗口。

4.4类数据

PII/财务/游戏遥测/技术记录仪是不同的访问和掩盖级别。
PII导出仅通过经批准的workflow加密和TTL。

4.5操作的临界性

P1/P2/P3类：系数的发布，手动排序，结论，PSP漫游的变化-需要双重控制。
低风险操作可能会受到政策的自动推动。

5）特权级别（tiers）

查看器：仅读取聚合和蒙版数据。
操作员：在不更改配置的情况下执行随机程序。
贡献者：更改非关键域中的配置。
Approver：申请批准和高风险操作（不与执行-SoD结合使用）。
Admin （JIT）：双重控制下罕见任务的短期升级和会话记录。

6）SoD和不兼容的角色

• 启动结论≠批准≠最终进行。
• 创建奖励活动≠激活销售≠更改限制。
• 开发ficha ≠应用释放≠释放到插件中。
• 请求卸载PII ≠批准≠解密。

每对夫妇都有正式的禁止和豁免政策，并有修订日期。

7） JIT访问和PAM

根据请求提供的服务：指明目的/截止日期；到期后-自动召回。
双重控制：P1/P2动作-两个来自不同功能的应用程序。
会话控制：记录关键会话，异常异常，禁用PII时共付。
破玻璃：具有严格限制和强制性后期审核的紧急访问。

8）服务帐户和API漏洞

最小的漏洞；按任务/微服务划分；短寿命令牌/证书。
轮换秘密，禁止共享秘密；禁止"god-scope"。
限制rate/quotas，idempotency键，webhook签名（HMAC）。

9）基础设施层面的细分

网络：分段隔离（per-domain/per-tenant）,默认禁止使用egress, mTLS。
Kubernetes/Cloud：用于禁止危险模式的Gatekeeper/OPA的内幕/环境和域项目。
DB/缓存：访问代理（DB proxy/IAM）,默认只读,DDL禁令在窗口外销售。
存储：具有用于审核的TTL和WORM策略的不同按键/按类数据。

10）策略作为代码（PaC）

存储库中的策略（Rego/YAML），PR review，自动测试（unit/e2e），diff审核。
动态环境：白天时间，位置，KRI级别，风险评分操作。
allow/Deny解决方案的可解释性以及审计中的策略引用。

11）日志和审计

完整性：谁/什么/何时/为什么，前/后值，ID字幕。
不可换用：集中收集，WORM/immutable，记录签名。
连通性：来自管理控制台的链条→ API → DB →外部提供商。
审计SLA：对控制/监管请求的响应速度。

12）Dashbords和指标（KPI/KRI）

KPI访问：JIT vs永久权利份额，特权平均持续时间，SoD覆盖率百分比，申请处理时间，再认证覆盖率。
KRI滥用：敏感操作激增，大量卸载，非典型位置/时钟，"zayavka→deystviye→otkat"序列。
Exec-dashbord：高风险角色地位的轨道，破玻璃事件，趋势。

13）策略示例（草图）

Prod-операции: `allow if role in {Operator, Admin} AND env=prod AND jit=true AND ticket!=null AND sod_ok AND time in ChangeWindow`.

Экспорт PII: `allow if data_class=PII AND purpose in ApprovedPurposes AND ttl<=7d AND encryption=ON AND approvers>=2`.

PSP-роутинг: `allow if action=UpdateRouting AND dual_control AND risk_assessment_passed AND rollback_plan_attached`.

14）实施路线图（8至12周）

奈德。1-2：操作/角色/数据清单、SoD矩阵、数据分类和分割域。
奈德。3-4：RBAC基础，角色目录，prod控制台的JIT，PaC开始（OPA/Gatekeeper）。
奈德。5-6： ABAC： tenant属性/区域/环境/数据类；Neymspace/项目分离。
奈德。7-8：PAM（JIT-elevation，会议记录，断玻璃），DDL禁令和DB经纪人，PII出口政策。
奈德。9-10：用于高风险操作（结论，奖金，PSP），双重控制，KRI-alerta的PBAC。
奈德。11-12：季度再认证，100%高风险的PaC运营覆盖，报告和培训。

15）文物

角色目录：角色，最低特权，所有者。
SoD Matrix：不兼容的角色/操作，例外，超越过程。
Policy Pack：一组PaC策略,其中包含测试和deny/allow示例。
Access Request Form：目标、期限、对象（tenant/地区/环境）、风险评估、应用程序。
感官操作注册：操作P1/P2列表，窗口，双重控制标准。
审计剧本：收集和提供期刊，SLA回应，角色。

16）反模式

永久管理权和一般会计。
为了方便起见，可以进行交叉访问。
缺少prod/stage/dev隔离。
在纸上没有代码/控制台中的强制策略。
通过手动安排导出PII而无需加密和TTL。
缺乏重新认证和"悬而未决"的权利。

17）结果

特权分割不仅仅是"正确的角色"。它是多维隔离（tenant，区域，环境，数据，临界值）+动态上下文（ABAC/PBAC）+过程（SoD，JIT，重新认证）+技术胁迫（PaC，PAM，网络/DB）。这样的回路大大降低了错误和滥用的风险，加快了安全的变化，并使平台能够满足规模和监管机构的要求。