ביקורת זהות
1) מטרה ותוצאה
המטרה: לספק ציות מספק לעקרונות אפס אמון ופחות הרשאות באמצעות אימות קבוע למי יש גישה לאן ולמה.
תוצאה: רישום מלא ומעודכן של זהויות וזכויות עם בעלים מאושרים, ביטול גישה ”קפואה”, בסיס ראיות פורמלי לבקרה פנימית ורגולטורים.
2) היקף
משתמשים פנימיים: צוות, מתמחים, מפקחים, תפקידים זמניים.
קבלנים/שותפים: אולפני משחקים, ספקי PSP/KYC/AML, משתייכים.
זהויות שירות: בוטים, CI/CD, אינטגרציות, מפתחות ואסימוני API.
תפקידים חסויים: תשתית/מסד נתונים מנהל, תשלומים, סיכון, מסחר.
נגנים (בהקשר KYC): תקינות צרור החשבון ↔ פרופיל KYC ↔ RG/AML statuses (בדיקות תהליכים, לא תיעוד תוכן).
3) מונחים ועקרונות
זהות: ישות ייחודית (אדם/שירות) בעלת תכונות.
זכאות: זכות/תפקיד ספציפי עבור משאב.
JML: Joiner # Mover # Lever - מחזור חיים של זהות.
הפרדה גזעית של חובות לפעולות בסיכון גבוה.
חיסיון מינימלי & just-in-time (JIT): מינימום זכויות המוענקות לזמן מוגבל.
דין וחשבון: לכל זהות יש בעלים, לכל זכות יש תיק עסקי ומונח.
4) מקורות אמת ומודל נתונים
מערכת HRIS/HR: מקור עיקרי של מעמד העובד (שכר/תנועה/יציאה).
IDP/SSO: נקודת אימות יחידה (MFA/FidO2), פדרציה.
קטלוג של תפקידי חידוש, מדיניות ותהליכים.
קטלוג CMDB/שירות: בעלות על מערכות ולולאות גישה.
פלטפורמות ספקיות: PSP/KYC/CDN/WAF/game speckers - פורטלי גישה חיצוניים.
= = = Identity ac (שייך ל) # Org Unit/Team # (יש לו) # Actionship (להתרחב באמצעות ABAC) * Actifications Act (ליישם) Access Access.
5) ביקורת בקרה
1. SSO ו-MFA בכל מקום (ללא חשבונות מקומיים וחשבונות משותפים).
2. RBAC/ABAC: זכויות המתוארות על ידי מדיניות (policy-as-code), תפקידים - טיפוסיים ועקביים.
3. תפקידים לא מתאימים וחריגים הם פורמליים.
4. קידום זמני עם כרטיס, הקלטה ושיקום אוטומטי.
5. סודות/מפתחות: מאוחסנים במנהל הסודות, עם סיבוב ותקופות חיים.
6. יומנים ופרובוקציה: התעסקות בראיות, איתור עקבי של מי/מה/איפה/מתי/למה.
7. גישה לנתונים: מיסוך PII, יצוא - רק באמצעות זרם עבודה עם הצפנה וTTL.
6) תהליך ביקורת (מקצה לקצה)
1. הכנה: הקפאת תמונת זכויות (תמונת זכאות) על ידי מערכת; הורד מספקי IDP/IAM
2. נורמליזציה: מיפוי תפקידים לספרייה, שכפול, מקבץ על ידי בעלי משאבים.
3. סיווג סיכונים: P1/P2 (חסוי ורגיש) אימות עדיפות.
4. חידוש זכויות: בעלי מערכות מאשרים/דוחים זכויות (נגישות לקמפיין ביקורת).
5. בדיקת SoD עבור אי התאמה וחריגות זמניות (עם תאריך תפוגה).
6. פיוס JML: מיפוי שכיר/תנועה/יציאה לזכויות בפועל (כולל פורטלים חיצוניים).
7. חשבונות שירות: זמינות בעלים, אסימונים קצרי ימים, ללא ”אל-היקף”.
8. בסיס הראיות: יצירת חבילת חפצים (דיווחים, העלאות, פעולות).
9. תכנית תיקון: כרטיסים עבור חזרה/תיקון, מועדים ואנשים אחראים.
10. דו "ח סופי: מצב סיכון, מחזור KPIs, לקחים נלמדים ושיפורי מדיניות.
7) קווי JML (שאנו בודקים לעומק)
ג 'וינר: משימה אוטומטית של תפקידים בסיסיים, איסור על ”תוספות” ידניות מחוץ לספרייה.
Mover: שינוי פקודה/מיקום * החלפה אוטומטית של תפקידים, שלילת הרשאות ישנות.
Lever: שלילת כל הזכויות בתוך X דקות/שעות, סגירה של פורטלי דואר/VPN/ספק, ביטול מפתחות ואסימונים.
8) תלות חיצונית ושערים
PSP/KYC/AML/CDN/WAF/game speckers: לכל חשבון יש בעלים, מטרה, תאריך יעד, MFA, איסור על חשבונות משותפים.
SOD/SLA: זמינות של דו-בקרה לפעולות P1 (שינוי ניתוב תשלומים, מגבלות בונוס וכו ').
פיוס רגיל: רשום פורטלים חיצוניים ↔ רשימת המשתמשים הנוכחיים ↔ תוצאות חידוש.
9) מאפיינים של תחום ה ־ iGaming
& סיכון תשלומים: בחר סניפי SoD; עדכונים על שינויים במגבלות/ניתוב; ביקורת של התאמות ידניות.
סחר/גורמים: ארגזי חול לדוגמנות, תפקידי הוצאה לאור אישיים, גלגול מהיר; להחליף יומן.
גיימינג אחראי/KYC/PII: בקרת ייצוא קפדנית, מיסוך ב-BI, עיבוד SLA של בקשות רגולטור.
סייענים וסטראמפים: שערים מוגבלים עם יכולות דיווח ללא גישה למח "ש.
10) מדיניות כקוד (PaC)
מדיניות במאגר (Rego/YAML), סקירת יחסי ציבור, בדיקות.
הקשר דינמי בפתרונות מאפשרים/מכחישים: סביבה (פרוד), זמן, מיקום, ביקורתיות של הפעולה, אותות KRI (למשל, נחשול של פעולות רגישות).
מחייב לכרטיס ומטרה לקידום JIT.
11) כתבי עת והוכחה
שרשרת אירועים: admin console/IDP = API = = מסדי נתונים לאפיק חיצוני.
ברור לעין: תולעת/חסימות בלתי ניתנות לשינוי, חתימת רשומות, TTL קפדני.
חיפוש ותגובה: SLA של תגובה לבקשות פנימיות/חיצוניות (ביקורת, רגולטור, בנק/שותף).
12) מדדים ו ־ KPI/KRI
KPI:- חלק מהזכויות שאושרו בזמן (חידוש),% מהקמפיינים באיחור.
- זמן מפיטורים לשלילת זכויות מוחלטת (MTTR-lever).
- שיתוף של הגדלות JIT נגד הרשאות מתמשכות.
- מספר סכסוכי SoD פתורים בכל מחזור.
- שלמות של מערכות מכוסות ושערים חיצוניים.
- הידבקויות פעולה רגישות (יצוא PII, שינויי PSP).
- זכויות לא בשימוש> ימים.
- פריצת זכוכית בלי פוסט-ביקורת.
- חשבונות ללא בעלים/מטרה/מונח.
13) מימוש מפת דרכים (8-12 שבועות)
נד. 1-2: מלאי של זהויות ומערכות (כולל פורטלים חיצוניים), קטלוג תפקידים ומטריצת SoD.
נד. 3-4: חיבור SSO/MFA בכל מקום, אוסף יחיד של זכאות,
נד. 5-6: השקת מסעות איתור מחדש של IGA (עדיפות P1/P2), החזרה אוטומטית של לאוור.
נד. 7-8: JIT/PAM עבור מעגלי הפקה, מפגשי הקלטה, איסור על חשבונות משותפים מספקים.
נד. 9-10: PaC: פורמליזציה של מדיניות מפתח (ייצוא PII, ניתוב PSP, שחרור), בדיקות יחידה של מדיניות.
נד. 11-12: KPI/KRI לוחות מחוונים, תקנות מחזור רבעוניות, דיווח לציות/רגולטורים.
14) תבניות חפץ
קטלוג תפקידים: תפקיד, תיאור, הרשאות מינימום, בעלים, יישום (דייר/אזור/סביבה).
מטריקס SoD - תפקידים/מבצעים בלתי תואמים, יוצאים מן הכלל, מונח יוצא מן הכלל, ובעלים יוצא מן הכלל.
חבילת ביקורת גישה: גיליון אישור זכויות, הערות, תוצאות (אישור/ביטול/מיתון).
רשימת חשבונות שירות: מטרה, בעלים, חיים שלמים, סקופים, מקום אחסון של סודות, לוח זמנים סיבוב.
מלאי פורטלים חיצוני: מערכת, אנשי קשר, רשימת משתמשים, MFA, תאריך חידוש אחרון.
רשימת ראיות: מה מעלה/יומנים ובאיזה תבנית לאחסן לביקורת.
15) תרופות אנטי ־ פטריות
חשבונות כלליים ו ”מנהל לנצח”.
סוגיית זכויות ידנית עוקפת את IDP/IGA.
אין סולד או ”חריגים זמניים” סובלנות ללא תאריך תפוגה.
אסימוני שירות ללא סיבוב/בעלים.
ייצוא PII ”באות” ללא עבודה והצפנה.
אין ביקורת של פורטלים חיצוניים (PSP/KYC/game speckers).
16) ממצאי ביקורת תכופות ותיקון מהיר
גישה מוקפאת מקבלנים/משוחררים: אפשר משוב אוטומטי באירועי "אייץ '
תפקידים מיותרים: להתפרק לתפקידים קטנים יותר ולקשור תכונות ABAC.
חשבונות משותפים עם ספקים: הגירה ל-MFA אישי +, הוצאה של תפקידים זמניים למשימות נדירות.
סודות ארוכי ימים: החלפת אסימונים/תעודות קצרות חיים וסבב מתוכנן.
17) חבורה ניהול אירוע
כל תקרית עם רכיב הגישה = עדכון חובה של רישום סיכונים ומדיניות, חידוש נקודות של תפקידים מושפעים, לאחר המוות עם פריטי פעולה (ומועדים).
סך הכל
ביקורת זהות היא מחזור אוטומטי שניתן לחזור עליו: רישום מלא של זהויות וזכויות * רישום מחדש מונחה סיכונים * hard JML ו-JIT/PAM. מדיניות ה-JIT/PAM כ-code ו-processible adviate propertization. לולאה זו מפחיתה את הסבירות להתעללות ולשגיאות, מאיצה את החקירות, מחזקת את הציות ומגנה על פעולות עסקיות מרכזיות של פלטפורמות iGaming.