GH GambleHub

میراث حقوق و سیاستها

1) چرا اکوسیستم به ارث نیاز دارد

اکوسیستم شبکه، اپراتورها، استودیوها/RGS، جمع کننده ها، PSP/APM، KYC/AML، وابستگان و خدمات تحلیلی را متحد می کند. بدون سلسله مراتب حقوق و سیاست های ارثی، دسترسی به نقطه «تنظیمات دستی» می شود، خطرات اطلاعات شخصی و حوادث افزایش می یابد. ارث فراهم می کند:
  • سرعت مقیاس بندی: گره ها/محصولات جدید سیاست های استاندارد را از جعبه دریافت می کنند.
  • یکنواختی و انطباق: گاردریل های سطح بالا به طور خودکار بر روی منابع کودک عمل می کنند.
  • شفافیت و حسابرسی: ترتیب قابل پیش بینی برنامه، به حداقل رساندن استثنائات.

2) هستی شناسی دسترسی عمومی

2. 1 سطوح سلسله مراتبی

1. سازمان/اکوسیستم → امنیت جهانی/داده ها/سیاست های RG.
2. مستاجر/شریک → سهمیه ها، حوزه های قضایی، مرزهای داده، محدودیت های SLO.
3. دامنه (محتوا، پرداخت، KYC، وابستگان، تجزیه و تحلیل، رویدادها) → دسترسی به پروفایل و محیط شبکه.
4. سرویس/برنامه → API/Topicals/Storage.
5. منبع → جدول/موضوع/نقطه پایانی/راز/جریان.

2. 2 مدل های مجوز

RBAC (نقش): سریع، شفاف، به خوبی به ارث برده (نقش → مجموعه مجوز).
ABAC (ویژگی ها): انعطاف پذیری (جغرافیایی، صلاحیت، میزان ریسک، زمان).
ReBAC (روابط): دسترسی به «منابع مرتبط با نهادهای من» (اپراتور ↔ کمپین ↔ داده ها).
تمرین: RBAC + ABAC ترکیبی، ReBAC - برای نمودارهای مالکیت/کمپین.

3) سیاست ها، حوزه ها و اولویت ها

3. 1 انواع سیاست ها

اجازه دادن/رد کردن: اجازه دادن/انکار صریح.
Guardrails: محدودیت های اجباری (PII خارج از محدوده، محدودیت صادرات، مبتنی بر زمان).
سهمیه/نرخ: محدودیت rps/txn/stream/event توسط مستاجر/کانال/منطقه.
زمینه: شرایط امتیاز دهی جغرافیایی/ASN/دستگاه/زمان/تأیید/خطر.
تفویض: تفویض بخشی از حقوق با دامنه محدود/TTL.

3. 2 ارث و سفارش برنامه

انکار اول: ممنوعیت قویتر از قطعنامه است.
اولویت: «Guardrails (ریشه)> انکار (پدر و مادر)> اجازه (پدر و مادر)> انکار (کودک)> اجازه (کودک)».
سایه: مجوز فرعی Guardrail/انکار والدین را لغو نمی کند.
نادیده گرفتن با استثنا: فقط «استثنائات موجه» با TTL و Autofit نوشته شده است.

3. 3 حوزه ها

ORG/مستاجر: قوانین و سهمیه های جهانی.
محیط زیست: prod/stage/sandbox - سفتی به prod افزایش می یابد.
صلاحیت: محلی سازی داده ها، محدودیت های RG.
کلاس داده: «عمومی/داخلی/محرمانه/حساس به PII/مالی».
عملیات: خواندن/نوشتن/مدیر/صادرات/جعل هویت.

4) درختان سیاست

4. 1 ساختار


/org
/tenants/{tenantId}
/domains/{payments    kyc    content    affiliates    analytics    events}
/services/{api    broker    db    storage    sfu}
/resources/{endpoint    topic    table    bucket    secret}

در هر گره: لیستی از سیاست ها (اجازه/انکار/guardrail/سهمیه/زمینه). ارث از بالا به پایین، سیاست های محلی محدودیت ها را اضافه می کنند، اما ممنوعیت های جهانی را حذف نمی کنند.

4. 2 مثال ها

Guardrail org-level: «PII نمی تواند به وب سایت های خارج از لیست سفید کشورها منتقل شود».
سطح مستاجر: "اپراتورهای KYC از کشورهای X ممنوع است ؛ گزارش صادرات فقط جمع می شود.
پرداخت دامنه: «فقط از طریق یک حساب سرویس با mTLS و یک کلید ≤ 24 ساعته بنویسید».
API سرویس: «POST/سپرده ها فقط با 'Idempotency-Key'».

موضوع منبع: "Read" kyc _ status "فقط برای سرویسهایی با نقش" KYC ". اعتدال 'и ABAC' تایید = درست '

5) نمایندگی و حقوق موقت

فقط در زمان (JIT) دسترسی به TTL (تک استفاده).
Break-Glass: دسترسی اضطراری با ممیزی فوری و تجزیه بعدی.
نشانه های محدوده: حداقل مجموعه ای از «حوزه ها» (بخوانید: موضوع/kyc ؛ نوشتن: API/سپرده) + مخاطب/صادر کننده.
Chain-of-Trust: توکنهای خدمات متقابل متصل به یک دستگاه/ASN/subnet.
جعل هویت: تنها از طریق یک سرویس پروکسی با ورود به سیستم و محدودیت.

6) ارث در حوزه

6. 1 پرداخت (PSP/APM)

گارد محافظ والدین: "تمام تماس ها - از طریق mTLS + JWS، timeout ≤ N، retras با jitter ؛ هک اجباری است"

سرویس کودک می تواند سهمیه/کلاه را به AWP/منطقه اضافه کند. رد تماس مستقیم با دور زدن ارکستر.

6. 2 KYC/AML

والدین انکار می کنند: «یک سند خام را نمی توان به تجزیه و تحلیل نوشت».
فرعی اجازه: «انتقال فقط هش/حکم/دسته خطر».

6. 3 محتوا/جریان

گارد محافظ Org: «حداقل میزان ارسال بیت و تاخیر SLO».
لغو مستاجر: «کاهش کیفیت در رومینگ، اما نه کمتر از SLO».
منبع: دسترسی به یک جدول زنده خاص - فقط بخش هایی با RG-OK.

6. 4 رویداد/EDA

ریشه: طرح/نسخه در رجیستری، دقیقا یک بار در حس کسب و کار.
دامنه: کلید حزب، سیاست dedup.
خدمات: چه کسی می تواند موضوع را بنویسد/بخواند ؟ سهمیه/عقب ماندگی بودجه.

7) حریم خصوصی و اعتماد صفر

به حداقل رساندن PII و tokenization به طور پیش فرض، سیاست «نمی تواند خارج از مناطق امن شود».
تقسیم بندی شبکه: فروشنده-VPC، اجازه خروج لیست، سیاست های مش بین منطقه ای.
mTLS/JWS/HMAC برای S2S و وب سایت ها، کلید های کوتاه مدت (JWKS/چرخش).
SoD (تفکیک وظایف): نقش ها ≠ نقش های اداری ≠ نقش های کلیدی را بخوانید.
حوزه های قضایی: قوانین به ارث برده از محلی سازی، ممنوعیت صادرات مرزی از اطلاعات شخصی بدون DPA/DPIA.

8) قابلیت مشاهده و حسابرسی ارث

ردیابی ارزیابی سیاست: مجله «چه سیاست که در آن کار می کرد» با «traceId».
گزارش تفاوت: چه کسی/چه زمانی درخت سیاست را تغییر داد ؛ ذخیره سازی WORM.

تست انطباق: اجرای منظم سناریوهای دسترسی (اجازه/رد ؛ صادرات ؛ جعل هویت)

هشدارها: انکار/گارد محافظ باعث، غلبه بر سهمیه، تلاش های دور زدن.

9) اختلافات و حل آنها

تعریف کلاس: اجازه/رد برخورد، نقض گارد محافظ، تقاطع ABAC.
ترتیب اولویت را اعمال کنید (§ 3 را ببینید. 2).
استثنا را طبقه بندی کنید: موقت (TTL)، دائمی (قانون)، اشتباه (بازگشت).
اضافه کردن مصنوعات: درخواست RFC/CR، لینک به ارزیابی ریسک، چک خودکار در CI.

10) ضد الگوهای

حقوق صادر شده دستی بدون TTL («برای همیشه»).

استثناهای Allow-by-default و silent

وراثت بدون محافظ قابل مشاهده - شاخه های کودک با قوانین امن همپوشانی دارند.
ترکیب نقش (مدیر = تحلیلگر = اپراتور) - بدون SoD.
صادرات اطلاعات شخصی خام به خدمات شخص ثالث، وب سایت های «موقت» بدون امضا.
ممیزی غیر فعال با شکستن شیشه.
نسخه های شناور طرح: سفر تجزیه و تحلیل/EDA، انکار در زمینه های جدید کار نمی کند.

11) چک لیست طراحی درخت سیاست

1. طبقه بندی داده ها (عمومی/داخلی/محرمانه/PII/مالی).
2. تعریف سطوح سلسله مراتب و صاحبان گره (RACI).
3. گارد محافظ را در ریشه قرار دهید (Zero Trust، PII، RG، حوزه های قضایی).
4. فرم RBAC نقش ها و ویژگی های ABAC ؛ SoD را فعال کنید.
5. محدوده (org/tenant/env/jurisdiction/data class/operation) را توصیف کنید.
6. نمایندگی/TTL و شیشه شیشه ای را با حلقه حسابرسی فعال کنید.
7. اولویت و تعارض را بنویسید (انکار اول، نادیده گرفتن فرآیند).
8. قابلیت مشاهده را تنظیم کنید: ارزیابی-ردیابی، diff-log، هشدارها.
9. اجرای شماره گیری انطباق و بررسی استثنا به طور منظم.
10. سند: پورتال سیاست، نمونه ها، sandboxes، شبیه سازی.

12) معیارهای بلوغ

پوشش: سهم منابع تحت پوشش سیاست های میراث و تست های انطباق.

رانش: تعداد استثنائات محلی/منابع 100 ؛ استثناء متوسط TTL

SoD Score: اشتراک گذاری مسئولیت های کاربران.
قرار گرفتن در معرض PII: تعداد صادرات خارج از مناطق امن (هدف = 0).
Auditability:٪ از درخواست ها با ارزیابی ردیابی ؛ MTTR توسط مشاجره دسترسی.
سرعت تغییر: زمان CR توسط سیاست با ارث در ذهن.

13) الگوهای نمونه (شماتیک)

گاردریل (ریشه):
  • انکار: "صادرات: PII" اگر "مقصد. کشور ∉ سفید "
  • مورد نیاز: 'mTLS & & JWS' برای 'webhook:'
  • سهمیه: 'خوانده شده: رویداد: ≤ X rps در هر ده'
مستاجر اجازه می دهد (پرداخت):
  • اجازه دهید: 'ارسال: API/سپرده' اگر 'تایید & & risk_score
  • انکار: 'مستقیم: PSP/'
سیاست منابع (موضوع: kyc_status):
  • اجازه دهید: "خواندن" برای نقش "KYC. اعتدال «که در آن» صلاحیت = = منابع. حوزه قضایی
  • انکار: «نوشتن» به جز سرویس «kyc-orchestrator»

14) نقشه راه تکامل

v1 (بنیاد): درخت سیاست، گارد محافظ در ریشه، RBAC، انکار اول، تغییرات حسابرسی.
v2 (ادغام): ABAC، هیئت/TTL، مجموعه انطباق، ارزیابی ردیابی.
v3 (اتوماسیون): محدوده خودکار توسط صلاحیت/داده ها، سیاست به عنوان کد، چک های خودکار در CI/CD، نقض قرنطینه خودکار.
v4 (حاکمیت شبکه): فدراسیون بین شرکای سیاست ها، نمایندگی متقابل مستاجر با امضای رمزنگاری، پیشنهادات پیش بینی شده (میزان ریسک) برای اعطای حقوق.

خلاصه ای کوتاه

میراث حقوق و سیاستها چارچوب یک اکوسیستم ایمن و سریع است. ایجاد یک درخت سیاست با گارد محافظ در ریشه، استفاده از انکار اول و اولویت، ترکیب RBAC + ABAC + ReBAC، استفاده از نمایندگی با TTL و حسابرسی دقیق. چک های خودکار و مدیریت استثنا - و شما یک مدل دسترسی مقیاس پذیر، سازگار و قابل پیش بینی برای کل شبکه خود را از شرکت کنندگان.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.