GH GambleHub

משלחת תפקידים ונגישות

(סעיף: מבצעים וניהול)

1) מדוע משלחת מבוססת תפקידים

המטרה היא לתת לכל משתתף (עובד, שותף, שירות) בדיוק זכויות רבות ככל שיידרש ובדיוק כמה זמן שצריך, עם איתור מלא של פעולות. זה מפחית את הסיכונים של דליפות והתעללות, מאיץ את העלייה למטוס ואת מעבר הביקורת.

2) מודל גישה: רמות ותחומים

תחומי גישה: אנשים (קונסולות/פאנלים), שירותים (מכונות אסימונים), נתונים (טבלאות/אובייקטים), תשתיות (ענן/K8s), מקבילות (אינטגרציות חיצוניות), אזורים/דיירים.

רמות אמון: public # internal # protected (PII/financy) = = = PII/finance = = = critical

אזורי פעולה: פרוד/היערכות/ארגז חול; כלל "מלמטה" "מלמעלה" - רק דרך צינורות מאושרים. "

3) מודלי הרשאה

RBAC: תפקידים קשורים למשימות (עורך תוכן, מפעיל תשלום). התחלה פשוטה, קל לבדוק.
ABAC: מדיניות לפי מאפיינים של נושא/משאב/הקשר (אזור, דייר, שינוי, התקן, ניקוד סיכונים).
RBAC (מבוסס מערכת יחסים): הזכויות מגיעות ממערכות יחסים (בעל פרויקט, חבר צוות).
היבריד: RBAC עבור מטריצת בסיס, ABAC עבור אילוצי הקשר, ReBAC עבור בעלות.

💡 בפועל: לשמור על גרף של זכויות (אשר = מה = למה) לזהות נתיבי הסלמה ו ”צמתים סופר” של סיכון.

4) גישה מינימלית נדרשת (חיסיון מינימלי)

התחלה - מינימום תפקידים לפי ברירת מחדל (קריאה בלבד, ללא PII).
קידום - רק באמצעות בקשה עם הצדקה, מונח ובעלים.
הגבלת זמן (TTL): זכויות ”להמיס” באופן אוטומטי; הארכה - במודע.
מעקות שמירה: אזור/דייר, שעות פתיחה, התקן, גיאו.

5) הפרדה גזעית של חובות (ממזר)

מטריצת SoD שוללת שילובים מסוכנים:
  • ”קובע גבולות” אם ”מאשר גבולות”.
  • ”מכין את התשלום לחתום על התשלום”.
  • ”כותב קוד” אם ”משחרר בדרבן”.
  • "מנהל DB" עונה PII באנליטיקה ".
  • יישום SoD במדיניות ובתהליכים עצמם (שתי חתימות, M-of-N).

6) תהליכי JML (Joiner/Mover/Lever)

זורם: הקצאה אוטומטית של תפקידים בסיסיים לפי מיקום/צוות/אזור, רשימת גישה ל-24 שעות.
מובר: סקירת תפקידים בעת שינוי צוות/פרויקט; הסרה אוטומטית של זכויות ”ישנות”.
Lever: ביטול הפעלות, מפתחות, אסימונים; גילוי מחדש של סודות, העברת אחזקת חפצים.

7) הרשאות זמניות: JIT/PAM

Just-in-Time (JIT): העלאת זכויות על בקשה למשך 15-240 דקות עם MFA והצדקת כרטיס.
PAM (ניהול גישה חסויה): יישום proxy/shell, הפעלות הקלטה, רישום פקודות.
פריצה: גישת חירום עם התראה מיידית, TTL קצר ו חובה לאחר המוות.

8) זהויות שירות ומפתחות

חשבונות שירות: בנפרד לכל שירות וסביבה, אין סודות משותפים.
Pokload Identity: קשירת אסימונים לתא/vir/function; קרדיטים לטווח קצר.
סודות: KMS/Vault, סיבוב, הצפנת שתי לולאות, איסור על כניסה ליומנים.
מפתחות חתימה/תשלום: סף/MPC, HSMS חומרה, מגוון על פני תחומי אמון.

9) SSO/MFA/SCIM ואופן החיים של החשבון

SSO: IDP (ראשי תיבות של SAML/OIDC), מדיניות סיסמה/התקן.
MFA: חובה לניהול/מימון/PII; עדיף FIDO2.
SCIM: יצירה אוטומטית/מחיקה/שינוי של חשבונות וקבוצות.
תנוחת התקן: גישה מותנית לפי מצב התקן (הצפנת דיסק, EDR, טלאים נוכחיים).

10) מדיניות-כקוד ואימות

שירות אופ "א/הרשאה: מדיניות בצורת קוד (Rego/JSON), סקירה באמצעות יחסי ציבור, בדיקות.
בקרת סחיפה: השוואות קבועות ”הכריזו נגד למעשה”.
בדיקת טרום טיסה: ”האם המדיניות תאפשר פעולה זו?” -תיקי מבחן לפני השחרור.

11) גישה לנתונים

סיווג: ציבורי/פנימי/מוגבל/PII/פיננסי.
לחץ מינימלי: אגרגטים/מסכות במקום נתונים ”גולמיים”; בקשות מח "ש - באמצעות דקירות מאושרות בלבד.
Tokenization/DE-ID - החלף מזהים, בקשות ביקורת.
שכבות: Food # acclas # showcases = אגרגטים; גישה ישירה למסד נתוני הייצור - רק JIT/PAM.

12) ענן, K8s, רשתות

ענן IAM: תפקידים לכל חשבון/פרויקט; איסור ”מנהלה” כברירת מחדל; מגביל פעולות על תגיות/תיקיות.
קוברנטס: RBAC על חלל נימי, PSP/מדיניות דומה ללא ”חסוי”, תמונת allowlist, סודות באמצעות CSI, חשבונות שירות לכל פוד.
Network: Zero-Trust (MTLS, מודע לזהות), גישה למארח קפיצות - JIT בלבד, הקלטת הפעלות SSH.

13) שותפים חיצוניים ואינטגרציות

דיירים/מפתחות מבודדים, מינימום סקופים של OAuth2, אסימוני TTL קצרים.
Webhooks: חתימה (HMAC/EDSA), ”nonce + timestamp”, חלון קליטה צר.
סיבוב של מפתחות על לוח זמנים, החזרה על פשרה, מצביע על מצב של ”בריאות”.

14) ביקורת, אישור מחדש, דיווח

יומני תולעת, חתימות שחרור מדיניות, פרוסות מרקל.
אישור מחדש: בדיקה רבעונית של תפקידים קריטיים, זכויות ניהול חודשיות.
זכויות הסגר: ”60 יום לא בשימוש” = הסרה אוטומטית.
חבילת ראיות: העלאה של מטריצת התפקידים, הפעלת SoD, בקשות JIT, הקלטת מפגשי PAM.

15) מדדים ו ־ SLO

TTG (Time-to-Grant): זמן חציוני להענקת גישה ליישום סטנדרטי (יעד 4h).
הנתח של גישת JIT בקרב ”חסויים” (80%).
הפרות סדר: 0 בדרבן, זמן חיסול 24 שעות ביממה.
זכויות יתומים:% מהמשתמשים בעלי זכויות עודפות (יעד = 0. 0x%).
סבב של סודות: גיל ממוצע של הסוד (יעד על גבי 30 יום לרגיש).
כיסוי ביקורת: 100% פעולות חסויות עם חפצים (רשומות, קבלות).

16) לוחות מחוונים

גישה לבריאות: תפקידים פעילים, זכויות יתומים, JIT נגד קבע.
PAM & Sessions: מספר הפעלות חסויות, משך זמן, הצלחה של MFA.
תקריות: סטטיסטיקות נעילה, סיבות, MTTR.
סודות ומפתחות: גיל, סיבוב קרוב, מפתחות אדומים.
JML: SLA של עליה למטוס/עלייה למטוס, יישומים באיחור.
ביקורת ראיות: מצב רבעוני תיקון, שלמות 100%.

17) חוברות משחק תקריות

פשרת טוקן/מפתח: חזרה מיידית, חיפוש שימוש גלובלי, סיבוב תלות, ביקורת רטרו בימים N.
הפרת חוק: חסימת פעילות, ניתוק זמני של התפקיד, לאחר המוות ושינוי מדיניות.
גישה לא מאושרת למח ”ש: בידוד, הודעה למח” ש, דליפת מלאי, הליכים משפטיים.
ניצול הסלמה: הקפאת JIT עבור הנושא/צוות, ניתוח יישומים/הצדקות, התאמת גבולות TTL.

18) פרקטיקות מבצעיות

ארבע עיניים על הנפקת/שינוי זכויות קריטיות.
קטלוג תפקידים עם תיאור של משימות, סיכונים ופעולות אפשריות.
בדיקת סביבות עם נתונים אנונימיים ותפקידים אחרים.
מדיניות יבש-ריצה: הדמיה של ההשפעות של שינויים לפני היישום.
GameDays by access: ”אובדן IDP”, ”כשל PAM”, ”דליפה סודית”.

19) רשימת מימושים

[ ] ליצור טקסונומיה תפקידים ומטריצת SoD לתהליכי מפתח.
[ ] לאפשר SSO + MFA עבור כולם, זרמי SCIM עבור JML.
[ ] PAM/JIT, הגדרת זכוכית פריצה עם התראות ו-TTL קצר.
[ ] הזן מדיניות-כקוד (OPA), תיקונים באמצעות יחסי ציבור, ואוטוטציות.
[ ] חשבונות שירות נפרדים וזהות עמוסה; איסור על סודות משותפים.
[ ] כספת/KMS, סיבוב רגיל של סודות ומפתחות, איסור על סודות בקוד/יומנים.
[ ] סביבות ואזורים נפרדים, לאחד כללי גישה חוצה-אזוריים.
[ ] הפעלת לוחות מחוונים ו SLOs, דוחות חידוש חודשי.
[ ] לבצע סריקת SoD של גרף הזכויות ולחסל נתיבי הסלמה.
[ ] תרגילים קבועים ותרגילים שלאחר המוות עם פריטי פעולה.

20) FAQ

RBAC או ABAC?
RBAC - שכבת קריאה בסיסית, ABAC - הקשר ודינמיקה. השתמש היברידי.

האם יש צורך בפאם אם יש ג 'יי-טי?
פאם נותנת הקלטה וניהלה ערוצי גישה חסויים.

איך להפחית את ”דבק” הזכויות?
TTL לתפקידים, הסרה אוטומטית ללא שימוש, תיקון חודשי והתראות SoD.

מה לעשות עם קבלנים חיצוניים?
דיירים/קבוצות ייעודיים, סקופים מוגבלים, טי-טי-אל קצר, דוחות חובה, ואישור מחדש.

סיכום: משלחת תפקידים ונגישות אינם ”תיבת קרציות”, אלא מעגל חיים של זכויות: תפקידים דרושים מינימום, SOD, JIT/PAM, מדיניות-כקוד, יכולת תצפית ושיקום רגיל. מתווה זה נותן עבודה מהירה לצוותים וביטחון צפוי לעסקים ולביקורת.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.