GH GambleHub

RBAC: ניהול תפקידים והרשאות

1) מטרות ועקרונות RBAC

המטרה: להפוך את הגישה לניהולית, ניתנת לאימות, ומינימלית בנפח כדי להגן על כסף/PII ותאימות (GDPR/AML/PCI/ISO).
עקרונות: חיסיון מינימלי - יש צורך - הפרדת חובות (SoD) -Zero Trust Revocability (recond record - Ouditability (Probability).

2) טקסונומיה של זכויות ותפקידים

סוגי הרשאות:
  • נתונים: ”קרא”, ”כתוב”, ”ייצוא”, ”מחק”, ”מסכה _ READ” (ברירת מחדל עבור PII).
  • = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
  • "תפקיד _ עדכון", "USER _ Convention", "Secret _ ROTATE", "BREAK _ GLASs'.
  • אינטגרציות: API _ call: "", WEBHOOK _ SIGE "," Service _ CONFIG _ UPDATE ".
שיעורי תפקידים:
  • Core (ראשי תיבות של: ”worker _ basic”): ”overer _ internal”, ”auditor _ privacy”.
  • ”תמיכה _ סוכן”, ”vip _ manager”, ”תשלומים _ ops”, ”aml _ operation”, ”kyc _ operator”, ”honey _ analysis”, ”rg _ experiment”, ”bi _ analysis”.
  • מערכת/אלה: ”devops _ admin”, ”dba _ admin”, ”service _ account _',” read _ only _ prod'.
  • חסוי (באמצעות PAM/JIT): ”break _ glass _ admin”, ”prod _ db _ jit _ editor”.

3) הנדסת תפקידים

1. מלאי של משאבים: מערכות/טבלאות/נקודות קצה, שיעורי נתונים (Public/Internal/Security/Restricted/Herbly Restricted).
2. סיפורי משתמש באמצעות פונקציות: מי עושה מה ולמה (מטרה).
3. הרשאות מיפוי משימות - מינימום סט לכל פונקציה.
4. קיבוצים בתפקיד: תפקיד אחד = תחום אחריות אחד; להימנע מ ”תפקידים על”.
5. בדיקת SoD: בדיקת אי התאמה (לדוגמה: 'payms _ ops' ups' image _ rule _ admin').
6. פיילוט ומדידה: אנחנו מוציאים קבוצה מוגבלת זמנית, אוספים עקבות ביקורת.
7. כל שינוי תפקידים הוא באמצעות CAB עם changelog.

4) RBAC ↔ ABAC ↔ אינטראקציה SoD

RBAC עונה ”מי בעקרון יכול,” ABAC - ”באילו תנאים” (סביבה, גיאו, התקן/MDM, זמן, רמת KYC, 'מטרה').
SoD אוסר שילובי תפקידים מסוכנים ודורש 4 עיניים לפעולות קריטיות.
תרגול: כברירת מחדל, התפקידים נותנים MASKED_READ ל ־ PII; גישה מסומנת דורשת 'תכונה' + JIT והחלטת מדיניות חיובית של ABAC.

5) עמידות מרובה וגיאו ־ קונטקסט

Ternant-scape: התפקידים קשורים לסמכות חכירה/מותג/שיפוט (”תפקיד: תשלומים _ ops @ EEA”).
Geo-keys: מפתחות הצפנה בודדים ומקטעי גישה לאזור (EC/UK/...).
גרנולריות: סינון על ידי ”region _ code” tore (RLS) ועל ידי תחום השיפוט של השחקן.

6) שורה/עמודה ברמת אבטחה ומסכות

אסטרטגיה:
  • גישה רק לרשומות הקאנטרי/מותג/צוות שלך.
  • שדות רגישים זמינים במסכות; רק עם הזכות 'pii _ unmask' + 'מטרה'.
מיני-דוגמה (רעיון SQL): 
sql
CREATE POLICY rls_tx
ON dwh. transactions
USING (region_code = current_setting('app. region'));

SELECT
CASE WHEN has_priv('pii_unmask') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

7) JIT, Break-BRBAC

JIT: תפקיד חסוי זמני (15-120 דקות) תחת כרטיס; משוב אוטומטי; ביקורת מלאה.
פריצת זכוכית: גישת חירום עם MFA + אישור שני והקלטת הפעלה; לאחר בדיקה עם אבטחה + DPO.
פאם: חנות סודית, פרוקסי הפעלה, סיבוב סיסמה/מפתח.

8) אופן חיים תפקיד (SOP)

SOP-1: צור/שנה תפקיד

1. חקירת הבעלים של רשימת המטלות * מיפוי ההרשאות * SoD-check ac.pilot * CAB * שחרור + תיעוד.

SOP-2: בקשה וגישה למענק

1. Application (IDM/ITSM) עם ”מטרה” ומועד אחרון לאפס SoD/שיפוט אימות אוטומטי * אישור בעל נתונים + אבטחה (עבור Restricted +) # essuance (לעתים קרובות JIT) escription registry.

SOP-3: משוב/עלייה לאוויר

טריגרים: סיום, שינוי תפקידים, חוסר פעילות> 30/60 ימים, JIT פג תוקף.
זיכרון ורישום אוטומטיים.

SOP-4: הסמכה מחדש

רבעון, בעלים לאשר כי תפקידי משתמש עדיין נחוצים; המערכת מסירה זכויות ”תלייה”.

9) דוגמה למטריצת תפקידים (שבר)

תפקידבסיס הרשאהמיסוךפעולות קריטיותקונפליקט SoD-conflict
'support _ agent&posלקרוא פרופילים, כרטיסיםכן (פיל רעול פנים)kic _ operatore &fost
'vip _ manager &fostקרא VIP, בונוסיםכן, עשיתי את זהעם ”תשלומים _ אופס” (אישורים)
'payms _ ops&ftAPPROVE_WITHDRAWAL, VIEW_TXמח "ש רעולי פנים”תשלום _ לאשר” (4-עיניים)fonsit _ rule _ design &pos
'fraud _ analystone &posVIEW_RULES, HOLD_TXמח "ש רעולי פנים'CHANGE _ FRM _ RULE&POSתשלומים _ ops&ps
"kyc _ operatore &fostKYC_DECISIONמסמכים רעולי פנים (מבט-פעם דרך JIT)"KYC _ EMPLEVE &POSSתמיכה _ agent &fost
"bi _ analyst &posקרא יחידותתמיד רעול פנים'Export' via תצוגה מקריםFinset 'dba _ edveryment &pos
'devops _ edment &posאינפרא מנהל"BREAK _ GLASSOPOSעם תפקידים עסקיים

10) כלים ויישום (תבניות)

קטלוג תפקידים כקוד: YAML/JSON במאגר + מאשרים CI, changelog.
מרכז IDP/SSO: SCIM provisioning, group mapping 'group action'.
נקודת החלטה מדיניות: מנוע מדיניות (ABAC) עם תכונות הקשר.
סודות/KMS: בידוד מפתח לסביבה/אזור/דייר.
שער נתונים: שכבה אחת של מיסוך/ביקורת עבור DWH/BI/יצוא.
SIEM/SOAR: Correlation 'Action _ Update '/' Read _ PII '/' Export _ DATA', כרטיסים אוטומטיים.

11) ביקורת וכריתת עצים

ראשי תיבות של: ”FACE _ Associate”, ”FACE _ UPDATA”, ”BREAK _ GLASs',” JIT _ GRANt', ”READ _ PII”, ”EXPORT _ DATA ATA ATA A ATA ATA ER A ION ER ER ER H O O O O O ER,”, ”,”, ” C _ החלטה”.
דרישות: העתק תולעת, שרשראות חשיש, חתימת חבילה, ”מטרה ”/” כרטיס _ id” בכל אירוע, סנכרון זמן.

12) מדדים ו ־ KPI/KRI

כיסוי:% מהמערכות תחת RBAC - 95%.
הפרות Sod: = 0; ניסיונות להקצות תפקידים לא מתאימים - חסימה אוטומטית.
שיעור JIT: 80% מהעליות הן JIT.
ביטול זכויות על 15 דקות.
יחס קריאה במסכה: 95% מהשיחות למח "ש רעולות פנים.
אישור מחדש: 100% תפקידים אושרו רבעונית.
היצוא נחתם: 100% מהיצוא עם חתימה/רישום.

13) RACI (מוגדל)

פעילותציות/חוקיDPOאבטחהSRE/ITנתונים/BIמוצר/Engבעל דומיין
מדיניות RBAC/SoDA/RCCCCCC
עיצוב תפקידים/זכויותCCA/RRRRR
ABAC/JIT/PAMאניאניA/RRאניCאני
איתור מחדשCCARRRR
ייצוא/מסכהCARRRCC

14) רשימות בדיקה

לפני יצירת תפקיד

[ ] תיארה סיפורי משתמש ו "תכלית &fost
[ רשימת המשאבים ושיעורי הנתונים ]
[ ] מיפוי הרשאות מינימום
[ ] SoD לבדוק/קונפליקטים
[ ] מסכות ומדיניות RLS/CLS
[ ] מחדש אישור תכנית ובעלים

לפני מתן גישה

[ ] ”מטרה” קבועה ותאריך
[ ] SoD/תחום שיפוט/MDM/MFA הושלם
[ מיסוך ברירת מחדל ] JIT בקידום
[ ] יומן ותאריך שינוי

15) שגיאות תכופות ותבניות אנטי

”תפקידים על-טבעיים” עם זכויות רחבות במקום תפקידים קטנים.
גישה ישירה למפקדה בלי הסוואה ו ”מטרה”.
אין עיניים SOD/4 עבור ”PAYMENT _ ESUPLATE ”/” KYC _ EVALY”.
הארכת הזכויות הזמניות ”לנצח”.
העתק נתוני פרוד לדב/במה.
יצוא אטום ללא חתימה ויומן.

16) מימוש מפת דרכים

שבועות 1-2: מלאי נכסים/סיווג נתונים; מטריצת טיוטה של תפקידים; שולחן לעזאזל.
שבועות 3-4: RBAC כקוד (מאגר), קבוצות IDP/SCIM, מנוע ABAC (תכונות בסיסיות: סביבה/geo/MDM/time), JIT/PAM, שכבת מיסוך עבור DWH/BI.
חודש 2: הסמכה מחדש, אוטומציה ללא תשלום, התראות SOAR להפרות RBAC/SOD/ABAC, רישומי ייצוא/WORM.
חודש 3 +: סיומת תכונה (סיכון התקן, רמת KYC), ביקורת הטיית גישה, אופטימיזציה עלויות ותרגילי שולחן רגילים.

TL; DR

Strong RBAC = תפקידי דומיין קטנים + מאפיינים תנאים (ABAC) + SOD ו-JIT/PAM + מיסוך ו-RLS/CLS + ביקורת קשה ואישור מחדש. זה מפחית את הסיכון של דליפות/ניצול, מאיץ את הביקורת ושומר על הפלטפורמה בגבולות הפרטיות ודרישות הציות.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

Telegram
@Gamble_GC
התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.