RBAC 'դերերի և լուծումների կառավարում

1) RBAC նպատակներն ու սկզբունքները

Նպատակը 'դարձնել կառավարվող, ստուգված և նվազագույն գումար պաշտպանելու համար/PII և համապատասխան պահանջներ (GDPR/AML/PCI/III)։

Սկզբունքներ ՝ Least Privilege Need-to-Know to Separation of Duties (SoD) - Zero Trust Nevococability (արագ արձագանք) - Auditability (ապացուցում)։

2) Իրավունքների և դերի տաքսոնոմիա

Իրավունքների տեսակները (permissions)

Տվյալները ՝ «READ», «WRITE», «EXMS», «MSETE», «DRKED _ READ» (լռելյայն PII-ի համար)։

Операции: `APPROVE_WITHDRAWAL`, `CHANGE_FRM_RULE`, `KYC_DECISION`, `SANCTIONS_OVERRIDE`.
Админ: `ROLE_UPDATE`, `USER_PROVISION`, `SECRET_ROTATE`, `BREAK_GLASS`.

Տե՛ ս ՝ «API _ CALL: », «WEBHOOK _ SOM», «ISO _ III VIII _ CORATE»։

Դերերի դասարանները

Core (сквозные): `employee_basic`, `viewer_internal`, `auditor_privacy`.
Доменные: `support_agent`, `vip_manager`, `payments_ops`, `aml_officer`, `kyc_operator`, `fraud_analyst`, `rg_specialist`, `bi_analyst`.

Devops _ admin "," dba _ admin "," բանաձև _ account _ "," read _ only _ 112 "։

Արտոնյալ (PAM/JIT): «break _ glass _ admin», «բանաձև _ db _ jit _ editor»։

3) Դերերի նախագծումը (role engineering)

1. Ռեսուրսների բուլգարիզացիան 'համակարգեր/սեղաններ/endpoints, տվյալների դասարաններ (Public/Engidential/Restricted/Highly Resricted)։

2. User stories ֆունկցիաներով 'ով է անում և ինչու (purpose)։

3. Առաջադրանքների Mapping-ը permissions-ն է 'յուրաքանչյուր ֆունկցիայի նվազագույն հավաքածու։

4. Խմբավորումը դերում 'մեկ դեր = մեկ պատասխանատվության տիրույթ։ խուսափել «գերռոլերից»։

5. SoD-ի փորձարկումը 'անհամատեղելիության ստուգում (օրինակ ՝ «payments _ ops _ 24'fraud _ rule _ admin»)։

6. Օդաչուն և չափումը 'տալիս ենք ժամանակավորապես սահմանափակ խմբին, հավաքում ենք լսարանի հետք։

7. Տարբերակումը 'դերի յուրաքանչյուր փոփոխություն CAB-ի միջոցով changelog-ով է։

4) RBAC-ի փոխազդեցությունը ABAC no SoD

RBAC-ը պատասխանում է «Ով կարող է», ABAC-ը '«ինչ պայմաններում» (միջավայր, գեո, սարք/MDM, ժամանակը, KYC մակարդակը, «purpose»)։

SoD-ը արգելում է դերերի վտանգավոր համադրությունները և պահանջում է 4-eyes քննադատական գործողությունների համար։

Պրակտիկա 'լռելյայն դերն են տալիս SNKED _ READ-ին PII-ին։ չբացահայտված հասանելիության համար պահանջվում է «purpose» + JIT և ABAC քաղաքականության դրական լուծումը։

5) Բազմաբնույթ և գեո կոնտեքստ

Tenault-scope: դերերը կապված են վարձույթի/բրենդի/իրավասության («role: payments _ ops @ EFC»)։

Geo-keys: առանձին բանալիներ և per տարածաշրջանի հասանելիության հատվածներ (EC/UK/...)։

Granularity: ֆիլտրը '«region _ code» (RTS) և խաղացողի իրավասության վրա։

6) Row/Column-Level System և դիմակավորում

Ռազմավարություն

RFC (տողեր) 'հասանելիությունը միայն իր երկրի/բրենդի/թիմի ձայնագրություններին։

CLS (սյունակներ) 'զգայուն դաշտերը հասանելի են դիմակավորված; անսովոր է միայն «pii _ unmask» + «purpose» արտոնությամբ։

Մինի-օրինակ (SQL-գաղափար)

sql
CREATE POLICY rls_tx
ON dwh. transactions
USING (region_code = current_setting('app. region'));

SELECT
CASE WHEN has_priv('pii_unmask') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

7) JIT, break-glass и PAM в RBAC

JIT 'ժամանակավոր արտոնյալ դեր (15-120 րոպե) տիկետի տակ։ ինքնավստահություն; ամբողջական աուդիտ։

Break-glass: MFA + -ի հետ վթարային հասանելիությունը երկրորդ ապացույցը և նստաշրջանի ձայնագրությունը։ Post-revew Live + DPO-ի հետ։

PAM 'գաղտնիքների պահեստ, նստաշրջան, գաղտնաբառերի տարհանում/2019։

8) Դերերի կյանքի ցիկլը (SOP)

SOP-1 'դերի ստեղծում/փոփոխություն

1. Տիրույթի սեփականատիրոջ հարցումը բացատրում է mapping permissions www.SoD-chek-ի առաջադրանքների ցանկը, որը նկարագրում է CAB-ը + 108։

SOP-2 'Հարցումը և մուտքի թողարկումը

1. Դիմումը (IDM/ITSM) '«purpose» -ից և SoD/իրավասությունների վերջնական ստուգման ժամանակահատվածը հաստատեց տվյալների սեփականատիրոջ + Lenta.ru (Resrotricted +) համար։

SOP-3 'Հղում/օֆբորդինգ

Ձգումներ 'հեռացում, դերի փոփոխություն, գործունեության բացակայություն> 30/60 օր, JIT-ի սուլիչը։

Ավտոմատ ակնարկ և ամսագիր։

SOP-4: Re-հավաստագրում

Այսպիսով, սեփականատերերը ապացուցում են, որ օգտագործողների դերերը դեռ անհրաժեշտ են։ համակարգը նկարագրում է «կախված» իրավունքները։

9) Դերերի մատրիցի օրինակ (հատված)

Դերը	Տերմինալի հիմքը	Դիմակավորում	Քննադատական գործողություններ	SoD հակամարտություն
`support_agent`	READ Express, ticets	Այո (PII noked)	—	с `kyc_operator`
`vip_manager`	READ VIP, բոնուսներ	Այո	—	«payments _ ops» (հավանականություն)
`payments_ops`	APPROVE_WITHDRAWAL, VIEW_TX	PII masked	`PAYMENT_APPROVE` (4-eyes)	с `fraud_rule_admin`
`fraud_analyst`	VIEW_RULES, HOLD_TX	PII masked	`CHANGE_FRM_RULE`	с `payments_ops`
`kyc_operator`	KYC_DECISION	Փաստաթղթերը wwww.ked (www.once via JIT)	`KYC_APPROVE`	с `support_agent`
`bi_analyst`	READ միավորներ	Միշտ ked	«EXTS» -ը վիտրինի միջոցով	с `dba_admin`
`devops_admin`	infra admin	—	`BREAK_GLASS`	բիզնես դերերի հետ

10) Գործիքներ և շարժիչներ (արտոնագրեր)

Դերերի կատալոգը որպես կոդը ՝ YAML/JSON, ռեպոզացիայի մեջ + CI-validators, changelog։

Կենտրոնական IDP/SSO: SCMS-պրովայդինգը, խմբի mappings 'group www.role "։

Policy decision point: քաղաքական շարժիչը (ABAC) ենթատեքստով։

Secrets/KFC: մեկուսացում www.per միջավայր/տարածք/տենանտ։

Disgateway: Դիմակավորման/շարժիչների մեկ շերտ MSH/BI/lines համար։

SIEM/SOAR 'հարաբերակցություն' ROLE _ CORATE '/« READ _ PII »/« EXPS _ III », Auto-ticets։

11) Աուդիտ և ամսագրեր

Обязательные события: `ROLE_ASSIGN`, `ROLE_REVOKE`, `ROLE_UPDATE`, `BREAK_GLASS`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `KYC_DECISION`.

Պահանջները ՝ WORM-պատճենը, ծանր շղթաները, կոդավորման ստորագրությունը, «purpose »/« ticket _ id» յուրաքանչյուր իրադարձության մեջ, թայմ-համաժամեցումը։

12) Մետրիկի և KPI/KRI

Coverage: RBAC-ի տակ համակարգերի տոկոսը 95 տոկոսն է։

SoD violations: = 0; անհամատեղելի դերեր նշանակելու փորձերը ավտո բլոկն են։

JIT rate: 3880 տոկոսը գնում են JIT-ի նման։

Medboarding TTR-ը '15 ռուբլու իրավունքների արձագանքը

Noked reads ratio: 2495 տոկոսը PII-ի դիմումները դիմակավորված են։

Recertifae: 100 տոկոսը ապացուցված է եռամսյակային։

Expresssigned: 100 տոկոսը ստորագրությամբ/ամսագրով։

13) RACI (uprunic)

Ակտիվություն	Compliance/Legal	DPO	Security	SRE/IT	Data/BI	Product/Eng	Domain Owner
RBAC/SoD քաղաքականությունը	A/R	C	C	C	C	C	C
Դերերի/իրավունքների դիզայն	C	C	A/R	R	R	R	R
ABAC/JIT/PAM	I	I	A/R	R	I	C	I
Ռետրո սերտիֆիկացում	C	C	A	R	R	R	R
Էքսպորտը/դիմակավորում	C	A	R	R	R	C	C

14) Չեկ թերթերը

Դերի ստեղծումից առաջ

Նկարագրված է user-stories և «purpose»
Ռեսուրսների և տվյալների դասերի իրականացում
Mapping նվազագույն permissions
SoD-ստուգում/հակամարտություններ/
Դիմակավորման քաղաքականությունը և RFC/CLS
Ռո-սերտիֆիկացման պլանը և սեփականատերերը

Հասանելիությունից առաջ

Ֆիքսված «purpose» և ժամանակահատվածը

SoD/իրավասություն/MDM/MFA-ն կատարվում է
Լռելյայն դիմահարդարումը, JIT-ը, երբ աշխատում է
Ամսագիրը և վերանայման ամսաթիվը ներառված են

15) Հաճախակի սխալներ և հակատիպեր

«Սուպեր ռոլ» -ը լայն իրավունքներով փոքր ուղղափառների փոխարեն։

Ուղիղ հասանելիությունը PII-ին առանց դիմակավորման և «purpose» -ի։

SoD/չորրորդ աչքերի բացակայությունը «PAYSA _ APROVE »/« KYC _ APROVE» -ի համար։

Ռուսական իրավունքների երկարացումը «հավերժ»։

Տվյալների պատճենումը dev/stage-ում։

Անթափանց օրինագծերը առանց ստորագրության և ամսագրի։

16) Իրականացման ճանապարհային քարտեզը

Շաբաթներ 1-2: ռեսուրսների բուլարիզացիա/տվյալների դասակարգում; դերերի սև մատրիցա; SoD-2019։

Շաբաթներ 3-4: RBAC որպես կոդ (ռեպոզիտորիա), IDP խմբեր/SCTS, ABAC շարժիչ (հիմնական ատրիբուտներ ՝ միջավայր/geo/MDM/ժամանակ), JIT/PAM, դիմակավորման շերտ CPH/BI համար։

Մեկ ամիս 2: Ռի հավաստագրություն, ավտոմատիզացում www.boarding, SOAR-ալտերտեր RBAC/SoD/ABAC խախտումների վրա, ածխաջրածինների/WORM ամսագրեր։

Մեկ ամիս 3 + 'ատրիբուտների ընդլայնումը (սարքի ռիսկը, KYC մակարդակը), հասանելի բիաս-աուդիտները, ծախսերի օպտիմիզացումը և tabletop-ուսուցումը։

TL; DR

Ուժեղ RBAC = փոքր ստացիոնար դերեր + հիբրիդային պայմանները (ABAC) + SoD և JIT/PAM + դիմակավորում և RFC/CLS + կոշտ աուդիտ և ռիթմիկ հավաստագրում։ Սա նվազեցնում է արտահոսքի/չարաշահման ռիսկը, արագացնում է աուդիտը և պահում պլատֆորմը մասնագիտության և կոմպլանսի պահանջների սահմաններում։

RBAC 'դերերի և լուծումների կառավարում

Հասանելիությունից առաջ

TL; DR

Կապ հաստատեք մեզ հետ

Արագ կապ

Տեսանյութը շուտով կթարմացվի

Այս պահին մենք ծանրաբեռնված ենք նախագծերով