GH GambleHub

Մուտքի վերահսկում

1) Ինչո՞ ւ է դա անհրաժեշտ

Մուտքի վերահսկումը կանխում է ֆինանսական կորուստները, չարաշահումները և կարգավորող խախտումները։ Այն սահմանափակում է սխալների և ինսայդերի սպառնալիքների «blast radius», արագացնում հետազոտությունները և փոփոխում է հետքերը։ IGaming-ի համար սա քննադատական է վճարումների, ֆրոդի, բոնուսային ծրագրերի և խաղերի բովանդակության կառավարման/գործակիցների մեջ։

2) Հիմնական սկզբունքները

Zero Trust: Մի վստահեք լռելյայն։ ստուգեք յուրաքանչյուր գործողություն։

Least Privilege: նվազագույն անհրաժեշտ իրավունքներ սահմանափակ ժամանակի համար։

Need-to-know-ը 'տվյալների/ֆունկցիաների հասանելիությունը միայն հիմնավորված նպատակով։

Segregation of Duties (SoD) 'դերերի բաժանումը «հարցումը հաստատեց ռուսական աուդիտի կատարումը»։

Accountability: Յուրաքանչյուր գործողություն անձնական/կիսագնդի պատասխանատվությամբ անվանված առարկայի վրա է։

Composability: Հասանելիությունը ձևավորվում է քաղաքական գործիչների կողմից, որոնք կարելի է ստուգել և տարբերակել որպես կոդ։

3) Հասանելիության կառավարման մոդել

3. 1 Եղջյուրավոր և անկյունային մոդելներ

RBAC 'ֆունկցիաների հիմնական դերերը (Supert, Risk, Payments, Trading, Ops, Dev, DRE, Compliance)։

ABAC 'ստենանտ/տարածաշրջան/միգրացիա/ջրանցք/ապրանք/շրջանակ (108/stage/dev)։

PBAC/Policy-as-Code: OPA/Rego կամ անալոգների կանոնները 'ով/ինչ/երբ/ինչու + ենթատեքստը (KRI, ժամանակը, գործողության ռիսկի մակարդակը)։

3. 2 SoD մատրիցա (օրինակ)

Վճարումներ/եզրակացություններ. Նախաձեռնել առաջարկություններ կատարել։

Բոնուսներ 'ստեղծել քարոզարշավը նախատեսվում է ակտիվացնել երկարության վրա։

Գործակիցներ/գիծ 'մոդելավորում ռուսական հրապարակումը։

Տվյալները/PII։ Հարցումը հաստատվում է գաղտնագրման հասանելիությունը։

Ալգորիթմներ ՝ ռուսական Appruver-ի ծրագրավորող, իսկ ռուսական օպերատորը։

4) Նույնականացման և ինտեգրման մեթոդներ

SSO/MFA 'մեկ մուտքի կետ պարտադիր MFA-ից, FIDO2 աջակցությունը։

Just-In-Time-ը (JIT) Provisioning-ն է.

SCSA/HR-driven: Ավտոմատ նշանակումը/իրավունքները HR (hire/move/exit) իրադարձությունների վերաբերյալ։

Ծառայողական հաշիվները 'հակիրճ հոսանքներ/հավաստագրեր, գաղտնիքների ռոտացիա, սահմանափակ scope։

5) Արտոնյալ հասանելիությունը (PAM)

JIT-elevation-ը արտոնությունների ժամանակավոր բարձրացումն է, որը ցույց է տալիս պատճառները և լռությունը։

Dronall (4-eyes) 'բարձր ռիսկային վիրահատությունների համար (P1/P2) պահանջվում է երկու տարբեր գործառույթներից։

Session control: Ձայնագրություն/ceologe քննադատական նստաշրջաններ, anomalis ալտերտեր, popipasts/fillobmen արգելք անհրաժեշտության դեպքում։

Break-glass: Վթարային հասանելիություն կոշտ լիմիտներով, որոնք տեղադրված են փոփի աուդիտի և ավտոմատ արձագանքման հետ։

6) Տվյալների հասանելիության վերահսկումը

Դասակարգումը 'PII/ֆինանսական/տեխնոլոգիական/ընդհանուր հասանելի։

Systeking 'դիմակավորում դերերով, ֆոսֆատորների խառնուրդ։

Հասանելիության ուղիները 'վերլուծությունը կարդում է ագրեգատները։ Պանրի PII-ի հասանելիությունը միայն այն ժամանակից, երբ հաստատվում է վորկֆլոուի միջոցով։

Էքսպորտը/լինյաժը 'բոլոր արտանետումները ստորագրվել են խնդրով/տիկետով, պահվում են գաղտնագրված տեսքով TTL-ից։

7) iGaming տիրույթի գործողությունների վերահսկումը

Միջոցների եզրակացությունները 'սահմանափակումներ գումարի/ժամի/օրվա, 2-ֆակտորային appruv, ավտոմատ կանգառային գործոններ (ռիսկի, velocity)։

Բոնուսներ/ֆրիսպիններ ՝ cap բյուջեին/tenault, sandbox-progons, երկու հաստատման մակարդակ։

Գործակիցները/market-lines: պրոմո-ժամանակահատվածները պահանջում են կրկնակի ստուգում, հրատարակությունների ամսագիր, արագ արձագանք։

KYC/AML 'փաստաթղթերի հասանելիությունը նպատակներով և հյուսվածքով, զանգվածային վճարումների արգելքը։

Հիբրիդային երթուղիները 'PMS-կանոնների փոփոխությունը միայն change-112-ի միջոցով' review-ի/փոխակերպման միջոցով։

Սապպորտային գործողություններ 'հաշիվների սառեցում, ապամոնտաժում/գանձում' միայն ֆիքսված պլեյբանկի միջոցով, և մեքենայի ստեղծմամբ։

8) Ենթակառուցվածքային հասանելիությունը

Շրջակա միջավայրի սեգմենտացիան 'ջրային մեկուսացված; մուտքագրումը bastion միջոցով SSH/MTSA կարճ հավաստագրերով։

Kubernetes/Cloud: neemspeiss/նյարդային ստեղծող, արգելված egress լռելյայն, PodJ Policies/OPA Gatekeeeper։

BD/kashi: Մուտքի բրոկերները (DB proxy, IAM-մակարդակում), «read-only լռելյայն», DDL արգելքը վաճառվել է առանց փոփոխության պատուհանի։

Գաղտնիքները 'գաղտնիքների մենեջեր, ավտոմատ լուծումը, գաղտնիքների արգելումը փոփոխական միջավայրերում առանց գործողությունների։

9) Միգրացիայի և ապրուվների գործընթացները

Հասանելի կատալոգը 'դերերի, ատրիբուտների նկարագրությունները, վիրահատությունների ռիսկային դասը, SLO դիտարկումը։

Դիմումը 'հիմնավորում, ժամանակահատված, օբյեկտ (տենանտ/տարածք/շրջանակ), ակնկալվող վիրահատության ծավալը։

Aprov: 104 + 108/ops owner; Բարձր օրգանների համար 'Compliance/Payments/Risk։

Resertiation (Windows Review): եռամսյակային, սեփականատերերը ապացուցում են իրավունքների անհրաժեշտությունը։ ավտոմատ անջատումը «կախված» հասանելի է։

10) Քաղաքականությունը որպես կոդ (Policy-as-Code)

Կենտրոնացում ՝ OPA/Rego/webhuks CI/CD և admin կոնսոլներ։

Տարբերակումը 'PR գործընթացներ, քաղաքական և փորձարկումներ, նախկին աուդիտ։

Դինամիկ կոնտեքստը 'օրվա ժամանակը, KRI, գեո, խաղացողի ռիսկի սկորինգը/վիրահատությունը։

Ապացուցումը 'allow/deny-ի յուրաքանչյուր լուծում համապատասխանում է քաղաքական քաղաքականությանը և ձայնագրությանը։

11) Ամսագրեր և աուդիտ (tamper-evident)

Անփոխարինելիությունը 'կենտրոնացված հավաքումը (WORM/immutable storage), գրառումների ստորագրությունը։

Լիխտա 'ո՞ վ է, որտեղ, երբ, ինչու (ID ticet), նախադրյալ/post-արժեքներ։

Կապը 'վիրահատության թրեյսը API wwindows BD-ի միջոցով ռուսական արտաքին պրովայդերների միջոցով։

SLA-ն նշում է, որ ամսագրերի հասանելիությունը, կառավարման/կարգավորողի պատասխանը։

12) Մոսկվան և Ալերտինգը

KPI հասանելիությունը 'JIT-հասանելի%, կյանքի միջին ժամանակը արտոնություն, break-glass մասնաբաժինը, չօգտագործված իրավունքները> N օր։

KRI չարաշահումներ 'զգայուն գործողությունների սպայիկներ, զանգվածային արտանետումներ, ոչ հիպիկ ժամացույցներ/վայրեր, հաջորդականություններ «դիմումը հակադարձում է»։

Real-time ալտերտերը 'P1/P2 վիրահատության համար, on-call-ում և SecOps-ում։

13) Թեստեր և որակի վերահսկողություն

Tabletop/pentest-stori: Insaider-ի սցենարներ, գողացված հոսանք, sapport դերերի չարաշահում, միաձուլման դիտավորյալ սխալներ։

Chaos-2019 'իրավունքների հարկադրական արձագանքը ակտիվ հերթափոխի ընթացքում, գործընթացների կայունության ստուգում։

DR թեստերը 'SSO/PAM հրաժարվելը, break-glass հասանելիությունը, նորմալ ինտեգրման վերականգնումը։

14) Ճանապարհի քարտեզը (8-12 շաբաթ)

Մոսկվան։ 1-2 'վիրահատությունների/դերերի/տվյալների, ռիսկի գնահատում և SoD առաջնային մատրիցը։

Մոսկվան։ 3-4: SSO/MFA ամենուր, հասանելի կատալոգը, JIT ադմինի կոնսոլների համար, OPA հիմնական քաղաքականությունները։

Մոսկվան։ 5-6: PAM: JIT-elevation, նստաշրջանների ձայնագրումը, break-glass-ը փոստի աուդիտի հետ։ PII-ի և workflow-ի դիմակավորում։

Մոսկվան։ 7-8 '108/stage/dev, bastion-մոդել, BD հասանելիության բրոքեր, DDL արգելք։

Մոսկվան։ 9-10: high-risk վիրահատություն dron.rl; KRI չարաշահումները. առաջին tabletop ուսուցումները։

Մոսկվան։ 11-12 'ավտոպրովիզինինգը/SCTS, եռամսյակային տեղեկատվական-ակնարկ, շարժիչների ամբողջական ուղի և արդյունավետության չափումներ։

15) Արտեֆակտները և ձևանմուշները

Role Catalog 'դեր, նկարագրություն, նվազագույն արտոնություններ, ABAC ատրիբուտներ, սեփականատեր։

SoD Matics: անհամատեղելի դերեր/վիրահատություններ, բացառություններ, ժամանակավոր override գործընթացը։

Sultitive Ops Register-ը 'P1/P2 գործողությունների ցուցակը, drontrol չափանիշները, պատուհանները։

Windows Request Form: Նպատակը, ժամանակահատվածը, օբյեկտը, հյուսետը, ռիսկի գնահատումը, apruvers։

Policy Pack (PaC) 'Rego-քաղաքական մի շարք թեստերով և deny/allow օրինակներով։

Audit Playbook: Ինչպես հավաքել իրադարձությունների շղթան, SLA պատասխանը, ով հաղորդակցվում է կարգավորողի հետ։

16) KPI գործառույթները

Վիրահատությունների% -ը, որը ծածկված է SoD և drontrol

Կյանքի միջին ժամանակը բարձր արտոնությունների (նպատակը 'ժամացույց, ոչ օրեր)

JIT- ի մասնաբաժինը մշտական հասանելի է

Փակման ժամանակը Auto-apruves-ն low-risk ձևանմուշներով

Քանակություն/հաճախականություն, որտեղ հասանելիությունը հիմնական գործոն էր

Լիխտա (իրադարձությունների% -ը կապված է տիկետի/պատճառով)

17) Անտիպատերնի

«Ադմինը հավերժ» և ընդհանուր գյուղերը։

Prod-տվյալների հասանելիությունը BI/ad-hoc-ի միջոցով առանց դիմահարդարման և ամսագրի։

Քաղաքականությունը թղթի վրա առանց enforce կոդում/կոնսոլներում։

Break-glass-ը առանց փոստ-մորտեմի և ավտոմատ հետ։

PII «լավ կամքով» ձեռքի ելքերը։

Սապպորտի և ֆինանսական ախորժակների դերերի խառնուրդը։

Արդյունքը

Ինտեգրման մուտքի վերահսկումը խիստ սկզբունքների համադրություն է (Zero Trust, Least Privilege, SoD), տեխնոլոգիական միջոցներ (SSO/MFA, PAM, PaC, հատվածներ, BD բրոկերներ), կառավարման գործընթացներ (դերերի կատալոգ, դերի/approcuruve-apruve, ruve, ruve, ruvertion) ստուգված ստուգում։ Այս նախաձեռնությունը դարձնում է ենթակառուցվածքը և բիզնես վիրահատությունները կայուն, նվազեցնում է չարաշահման հավանականությունը և արագացնում է արձագանքը միջադեպերին 'ապացուցված հակադրությամբ կարգավորիչների և գործընկերների պահանջներին։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Telegram
@Gamble_GC
Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։