اصل حداقل حقوق مورد نیاز
1) هدف و تعریف
هدف: اجازه دادن به کاربر/سرویس تنها به آن دسته از منابع که به شدت برای انجام یک کار خاص لازم است، برای حداقل دوره کافی و در حداقل حجم.
تعریف: «حداقل در عرض جغرافیایی (منابع)، عمق (عملیات)، زمان (TTL)، زمینه (جغرافیایی/دستگاه/تغییر)، حساسیت (PII/امور مالی)».
2) اصول اساسی پیاده سازی
1. نیاز به دانستن: هر حق با یک هدف خاص (پایه) مرتبط است.
2. زمان محدود: حقوق بالا با TTL (JIT) ؛ حقوق دائمی - فقط بخوانید/ماسک بزنید.
3. محدوده محدوده: دسترسی توسط اجاره/منطقه/نام تجاری/پروژه (محدوده مستاجر/منطقه) محدود شده است.
4. به حداقل رساندن داده ها: PII به طور پیش فرض ماسک; ماسک - فقط در زمینه صریح.
5. قابلیت ردیابی: هر گونه دسترسی → + 'هدف '/' بلیط _ id' ورود به سیستم.
6. Revocability: بازخورد سریع (offboarding ≤ 15 دقیقه، JIT - بازخورد خودکار).
3) ارتباط با کنترل های دیگر
RBAC: مجموعه هایی که در اصل می توانند (نقش اساسی).
ABAC: مشخص می کند که تحت چه شرایطی (جغرافیایی، دستگاه/MDM، زمان، سطح KYC، خطر).
SoD: ترکیب نقش های خطرناک را ممنوع می کند، نیاز به 4 چشم برای اقدامات حساس دارد.
تقسیم بندی: محدوده های شبکه/منطقی (پرداخت، KYC، DWH، اسرار).
PAM/JIT/break-glass: صدور مجوز موقت و ضبط آنها.
4) طبقه بندی منابع و عملیات
عملیات: "خواندن"، "MASKED _ READ" (به طور پیش فرض برای PII)، "نوشتن" (محدوده)، "تایید _' (4 چشم)،" صادرات "(فقط از طریق فروشگاه ها، امضا/مجله).
5) مهندسی حقوق کار برای دسترسی
1. هدف: تحلیلگر باید یک گزارش تبدیل اتحادیه اروپا بدون PII ایجاد کند.
2. فهرست منابع: showcase 'agg _ conversions _ eu'.
3. عملیات: 'READ' (بدون PII)، ممنوعیت 'EXPORT _ RAW'.
4. زمینه ABAC: ساعات کاری، corp VPN/MDM، منطقه = اتحادیه اروپا.
5. TTL: مداوم ماسک خواندن ؛ JIT برای یک بار باز کردن ماسک (در صورت لزوم).
6. سیاهههای مربوط: «خواندن »/« صادرات» با «هدف» و «زمینه _ دامنه».
6) ماسک و ماسک انتخابی
پوشش ایمیل/تلفن/IBAN/PAN به طور پیش فرض ؛
دسترسی بدون پوشش ('pii _ unmask') - فقط JIT + 'هدف' + تایید مالک دامنه/انطباق ؛
در گزارش ها - aggregates/k-anonymity، ممنوعیت «نمونه های کوچک» (آستانه حریم خصوصی).
7) امتیازات موقت: JIT و شیشه شیشه ای
JIT: 15-120 دقیقه، بلیط، خودکار، حسابرسی کامل.
شکستن شیشه: دسترسی اضطراری (MFA + تایید دوم، ضبط جلسه، امنیت + DPO پس از بررسی).
PAM: امن مخفی، پروکسی جلسه، چرخش امتیاز.
8) فرآیندها (SOP)
8. 1 دسترسی گرانت (IDM/ITSM)
1. ادعا با «هدف»، منابع، TTL/پایداری.
2. SoD/صلاحیت/کلاس داده/تأیید خودکار زمینه.
3. تأیید مالک دامنه ؛ для محدود + - امنیت/انطباق.
4. صدور حداقل دامنه (اغلب ماسک خواندن).
5. ورود به ثبت حقوق: تاریخ تجدید نظر، فراخوان SLA.
8. 2 صدور گواهینامه مجدد (سه ماهه)
صاحب دامنه هر نقش/گروه را تایید می کند ؛ حقوق استفاده نشده (> 30/60 روز) - خودکار.
8. 3 صادرات داده ها
فقط از طریق فروشگاه های تایید شده ؛ لیست های سفید قالب ؛ امضا/هش ؛ دانلود PII ورود - شخصی به طور پیش فرض.
9) کنترل فروشنده/زیر پردازنده
حداقل دامنه API، کلید های فردی در هر ادغام، اجازه لیست IP، پنجره های زمان.
DPA/SLA: نقش ها، سیاهههای مربوط به دسترسی، نگهداری، جغرافیا، حوادث، زیر پردازنده ها.
Offboarding: فراخوان کلیدی، تایید حذف، بسته شدن عمل.
10) ممیزی و نظارت
Журналы: 'ROLE _ ASSIGN/REVOKE'، 'JIT _ GRANT'، 'READ _ PII'، 'EXPORT _ DATA'، 'پرداخت _ تایید'، 'BREAK _ GLASS'.
SIEM/SOAR: هشدارهای دسترسی بدون هدف، حجم غیر طبیعی، زمان بندی/جغرافیایی، نقض SoD.
WORM: کپی اصلاح نشده از سیاهههای مربوط + زنجیره هش/امضا.
11) معیارهای بلوغ (KPI/KRI)
پوشش:٪ از سیستم های بحرانی برای RBAC/ABAC ≥ 95٪.
Masked Reads Ratio: ≥ 95% تماسها با PII با ماسک انجام میشود.
نرخ JIT: ≥ 80٪ از ارتفاعات JIT است.
TTR Offboarding: لغو حقوق ≤ 15 دقیقه.
صادرات امضا شده: 100٪ صادرات امضا شده و وارد شده است.
نقض حقوق بشر: = 0 ؛ تلاش - خودکار بلوک/بلیط.
پاکسازی دسترسی خاموش: ≥ 98٪ از حقوق حلق آویز در عرض 24 ساعت حذف می شود.
12) سناریوهای معمول
الف) نمایش KYC یک بار برای مشتری VIP
پایه: ماسک زده در مدیر VIP خوانده شده است.
اقدام: دسترسی JIT 'pii _ unmask' برای 30 دقیقه در بلیط، ضبط فیلد/ورود به سیستم، پس از بررسی.
B) مهندس نیاز به دسترسی به prod-DB دارد
فقط پس از PAM + JIT ≤ 60 دقیقه، جلسه ضبط شده، ممنوعیت 'SELECT' توسط PII، پس از بررسی و CAPA برای نقض.
گزارش BI بر اساس کشور
دسترسی به واحدهای بدون PII فیلتر ABAC: «منطقه در [EEA]»، corp VPN/MDM، زمان 08: 00-21: 00.
13) ضد الگوهای و چگونگی اجتناب از آنها
«نقش های فوق العاده «/وراثت بدون مرز - تقسیم به نقش های دامنه، شامل ABAC.
امتیازات دائمی «فقط در مورد» → JIT + خودکار.
کپی کردن داده های تولید به dev/stage → aliasing/synthetics.
صادرات PII خارج از فروشگاه → لیست سفید، امضا، مجله، ماسک.
عدم وجود «هدف» → بلوک سخت و خودکار بلیط.
14) RACI (بزرگ شده)
15) چک لیست
15. 1 قبل از اعطای دسترسی
- مشخص شده «هدفمند» و TTL
- SoD/حوزه های قضایی تایید شده است
- پوشش پیش فرض، حداقل دامنه
- شرایط ABAC شبکه/دستگاه/زمان/منطقه
- تاریخ ثبت و بازبینی پیکربندی شده است
15. 2 فصلنامه
- بازنگری نقش ها/گروه ها، حقوق خودکار «حلق آویز»
- صادرات غیر طبیعی و شیشه ای را بررسی کنید
- تایید حریم خصوصی/آموزش امنیت
16) نقشه راه پیاده سازی
هفته 1-2: داده ها/موجودی سیستم، طبقه بندی، ماتریس نقش اساسی، قادر می سازد ماسک پیش فرض.
هفته 3-4: ABAC (چهارشنبه/جغرافیایی/MDM/زمان)، JIT و PAM، لیست سفید صادرات، «هدف» سیاهههای مربوط
ماه 2: خروج از اتوماسیون، هشدار SOAR (بدون هدف/ناهنجاری)، صدور گواهینامه مجدد سه ماهه.
ماه 3 +: گسترش ویژگی ها (خطر سطح/دستگاه CUS)، آستانه حفظ حریم خصوصی، تمرین های معمولی تبلت.
TL ؛ دکتر متخصص
حداقل امتیاز = محدوده حداقل + پوشش PII + زمینه ABAC + JIT/PAM + ممیزی سخت و یادآوری سریع. دسترسی را قابل کنترل می کند، خطر نشت/تقلب را کاهش می دهد و ممیزی ها را سرعت می بخشد.