GH GambleHub

Եղջերաթաղանթը և հասանելի

(Բաժին ՝ Վիրահատություններ և կառավարում)

1) Ինչո՞ ւ է եղջերաթաղանթի մաքրումը

Նպատակը յուրաքանչյուր մասնակիցին (աշխատակցին, բյուջեին, ծառայությանը) տալ ճիշտ այնքան իրավունքներ, որքան անհրաժեշտ է և ճիշտ այնքան ժամանակ, որքան անհրաժեշտ է, գործողության ամբողջական ուղու դեպքում։ Սա նվազեցնում է արտահոսքի և չարաշահման ռիսկերը, արագացնում է ուռուցքաբանությունը և վերջնական աուդիտները։

2) Հասանելիության մոդելը 'մակարդակներ և օրինագծեր

Մուտքի ալգորիթմները ՝ մարդիկ (վահանակ/վահանակ), ծառայությունները (մեքենայական հոսանքներ), տվյալները (աղյուսակներ/օբյեկտներ), ենթակառուցվածքները (ամպեր/K8s), հակադրությունները (արտաքին կոդերը), տարածաշրջանները/տենանտները։

Վստահության մակարդակները 'հանրային ռուսական ներքին պաշտպանված (PII/ֆինանսներ), հատկապես կրիտիկական (բանալիներ/վճարումներ)։

Վիրահատությունների գոտիները ՝ 108/staging/sandbox; «» վերևում «կանոնը միայն հաստատված pipeline» -ի միջոցով է։

3) Հեղինակային մոդելներ

RBAC 'դերերը կապված են առաջադրանքների հետ («Բովանդակության խմբագիր», «Intel օպերատոր»)։ Պարզ սկիզբը, հեշտ է ստուգել։

ABAC 'սուբյեկտի/ռեսուրսի/ենթատեքստի (տարածաշրջանը, տենանտը, փոփոխությունը, սարքը, ռիսկային սկորինգը)։

ReBAC (relenship-based), իրավունքները հետևում են կապերից (նախագծի սեփականատերը, թիմի անդամը)։

Հիբրիդ ՝ RBAC-ը մատրիցի համար, ABAC-ը համատեքստային սահմանափակումների համար, ReBAC-ը սեփականության համար։

💡 Պրակտիկա 'պահեք իրավունքների գրաֆիկը (ո՞ վ է բացատրում, թե ինչու), որպեսզի հայտնաբերեք էսկալացիայի ուղիները և «գերծանրքաշային կարգավորումը»։

4) Նվազագույն անհրաժեշտ հասանելիությունը (Leant Privilege)

Մեկնարկը նվազագույն դերն է լռելյայն (read-only, առանց PII)։

Բարձրացումը միայն հիմնավորման, երկարության և սեփականատիրոջ միջոցով է։

Ժամանակի սահմանը (TTL) 'ինքնաբերաբար «հալած» իրավունքները։ երկարացումը գիտակցաբար է։

Համատեքստային գվարդիայի ռեյլները 'տարածաշրջանը/տենանտը, աշխատանքի ժամացույցը, սարքը, գեոն։

5) Պարտականությունների բաժանումը (SoD)

SoD մատրիցը բացառում է վտանգավոր համադրությունները

«Լիմիտները սկսում են» 112 «-ը ասում է սահմանները»։

«Պատրաստվում է» ռուսական «-ը ստորագրում է»։

«Գրում է» 112 «կոդը կիսագնդի մեջ»։

«Admin BD» 112 «-ը կարդում է PII վերլուծության մեջ»։

Իրականացրեք SoD-ը քաղաքական և հենց գործընթացներում (երկու օրինակ, M-of-N)։

6) JML գործընթացները (Jover/Mover/Leaver)

Joiner 'հիմնական դերերի մեքենա/թիմային/տարածաշրջանի, չեկի ցուցակի համար։

Mover: ռուսական դերերը թիմի/նախագծի փոփոխության ժամանակ։ «հին» իրավունքների ավտոմատ վերացում։

Leaver 'նստաշրջանների, տարածքների, հոսանքների ակնարկներ։ գաղտնիքների վերափոխումը, արտեֆակտների ունեցվածքի տրանսֆերը։

7) Ժամանակավոր արտոնություններ ՝ JIT/PAM

Just-In-Time (JIT) '15-240 րոպե MFA-ից և տիկետի հիմնավորմամբ։

PAM (Privileged Donald Tramp): 108/108 «կրակի տակ», նստաշրջանների ձայնագրումը, թիմային ամսագիրը։

Break-glass: Արտակարգ մուտք ակնթարթային ալերտով, կարճ TTL և ռուսական post-mortem։

8) Ծառայությունների և բանալիների ինքնությունը

Express Accounts-ը 'յուրաքանչյուր մրցույթի և միջավայրի համար առանձին, ոչ մի shared գաղտնիք։

Workload Identity: հոսանքների կապումը ենթաօրենսդրության/վիրուսի/ֆունկցիայի հետ։ կարճատև կրեդներ։

Գաղտնիքները ՝ KFC/Vance, նավարկություն, երկկողմանի կոդավորում, լոգայի մեջ մտնելու արգելք։

Ստորագրությունների բանալիները/07: threshold/MPC, HSM ապարատային, վստահության։

9) SSO/MFA/SCPS և հաշիվների կյանքի ցիկլը։

SSO: IDP (SAML/OIDC), մեկ ստանդարտ, կենտրոնացված գաղտնաբառեր/սարքեր։

MFA 'պարտադիր է ադմինինների/ֆինանսական/PII-ի համար։ ww.FIDO2։

SCOM 'ավտոմատ ստեղծում/հեռացում/հաշիվների և խմբերի փոփոխություն։

Device Posture: սարքի պայմանական հասանելիությունը (սկավառակի ծածկագրում, EDR, իրական փամփուշտներ)։

10) Քաղաքականություն-կոորդինատները և հավատալիքները

OPA/Authorization 2019: քաղաքական գործիչները կոդի տեսքով (Rego/JSON), PR-ի միջոցով, թեստեր։

Դրիֆթ վերահսկումը 'համեմատության պարամետրերը «իրականում հայտարարված են»։

Pre-flight ստուգում. <<Արդյո՞ ք քաղաքականությունը թույլ կտա նման վիրահատություն>>։ Փորձարկումներ կատարեք մինչև եզրափակիչ։

11) Հասանելիությունը տվյալների

Դասակարգումը 'pablik/www.r/սահմանափակ/PII/ֆինանսներ։

«Նվազագույն» ճնշումը 'ագրեգատները/դիմակները «հում» տվյալների փոխարեն։ PII հարցումները միայն հաստատված ջոբների միջոցով են։

Tokenization/DE-ID 'բաղադրիչների փոխարինումը, հարցումների աուդիտը։

Շերտեր ՝ productions productions productions ex ուղիղ մուտք դեպի prod-BD 'միայն JIT/PAM։

12) Ամպակո, K8s, ցանցեր

Cloud IAM 'per-հաշիվ/նախագիծ։ «Admin» արգելքը լռելյայն։ սահմանափակվում է թեգերի/հայրերի գործողությունների սահմանափակմամբ։

Kubernetes: RBAC neymspays, PSA/նման քաղաքականություն առանց «privileged», պատկեր-allowlist, CSI-ի գաղտնիքները, per-ի սպասարկման հաշիվները։

Ցանցը ՝ Zero-Trust (mTSA, identity-aj), jump-host-ի հասանելիությունը միայն JIT-ն է, SSH նստաշրջանների ձայնագրությունը։

13) Արտաքին գործընկերներ և գործընկերներ

Մեկուսացված ստենանտներ/բանալիներ, առնվազն OAuth2-ը, կարճ TTL-ը։

Ուեբհուկի 'ստորագրություն (HMAC/EdDSA), «nonce + timestamp», նեղ պատուհան։

Ռոտացիան պատրաստված է ժամանակացույցով, վերանայելով փոխզիջման ժամանակ, «health» -ի համար էնդպոինտների կարգավիճակը։

14) Աուդիտ, ռեցերտացիա, հաշվետվություններ

Immutability: WORM ամսագրեր, օրինագծերի ստորագրություններ քաղաքական, Merkle-reses։

Ռեցերտիֆացիան 'քննադատական դերերի եռամսյակային ստուգում, ամեն ամիս' ադմին իրավունքների։

Իրավունքների կարանտինը ՝ «չօգտագործված 60 օր», բացատրում է մեքենայի վերացումը։

Evidence pack: Դերերի մատրիցը, SoD-գործիքները, JIT-2019, PAM նստաշրջանների ձայնագրությունը։

15) Մետրիկի և SLO

TTG (Time-to-Grance) 'ստանդարտ դիմումի հասանելիության մեդիան (նպատակը 4ch)։

JIT հասանելի մասնաբաժինը «արտոնյալ» (նպատակը 80 տոկոսն էր)։

SoD-viola.ru: 0-ում, ժամանակի վերացման ժամանակը 105 ժամ։

Օրենված իրավունքները 'ավելցուկ իրավունքներով օգտագործողների տոկոսը (նպատակը 240։ 0x%).

Գաղտնիքների վերացումը 'գաղտնիության միջին տարիքը (նպատակը 30 օր է զգայուն համար)։

Աուդիտի ծածկույթ 'արտոնյալ գործողությունների 100 տոկոսը արտեֆակտների հետ (գրառումներ, քվիտանիա)։

16) Dashbords

Health-ը 'ակտիվ դերեր, օրենքներ, JIT-ը անընդհատ։

PAM & Sessions 'արտոնյալ նստաշրջանների քանակը, տևողությունը, MFA հաջողությունը։

SoD & Incidents: Բլոկների վիճակագրությունը, պատճառները, MTTR-ը։

Secrets & Keys: տարիքը, գալիք ռոտացիան, կարմիր բանալիները։

JML: SLA Onbording/offbording, ժամկետանց պայմանագրեր։

Audit Evidence: Եդեքվարթական ռեցերտիայի կարգավիճակը, completeness 100 տոկոսը։

17) Պլեյբուկի

Տոկենի/բանալի փոխզիջումը 'չարտոնված ակնարկ, գլոբալ օգտագործման որոնում, կախվածության վերացում, ռետրո աուդիտ N օրվա ընթացքում։

SoD-ի խախտումը 'վիրահատության բլոկը, դերի ժամանակավոր անջատումը, փոստի մորտը և քաղաքականության փոփոխությունը։

PII-ին չհամապատասխանված հասանելիությունը 'մեկուսացում, DPO ծանուցում, արտահոսքի բուլարիզացիա, իրավաբանական ընթացակարգեր։

Escalation abuse: JIT սառեցումը սուբյեկտի/թիմի համար, վերլուծություն/հիմնավորում, TTL-ի լիմիտների արտադրություն։

18) Վիրահատական պրակտիկա

Չորս աչքեր ուղղափառության վրա/կրիտիկական իրավունքների փոփոխություն։

Դերերի կատալոգ, որոնք նկարագրում են առաջադրանքները, ռիսկերը և թույլատրելի վիրահատությունները։

Թեստային միջավայրերը անանուն տվյալների և այլ դերերի հետ։

Policy enty-run: Մինչ կիրառելը փոփոխությունների հետևանքների սիմուլյացիա։

GameDays-ը հասանելի է ՝ «IDP կորուստ», «PAM», «գաղտնիության արտահոսք»։

19) Ներդրման չեկի ցուցակ

  • Ձևավորել դերերի տաքսոնոմիա և SoD մատրիցա հիմնական գործընթացներում։
  • Միացրեք SSO + MFA-ը բոլորի համար, SCPS հոսքերը JML-ի համար։
  • Տեղակայեք PAM/JIT, տեղադրեք break-glass ալերտներով և կարճ TTL-ով։
  • Ներմուծել քաղաքական-կոդը (OPA), որը տեղադրված է PR-ի և ավտոտեստերի միջոցով։
  • Առանձին ծառայություններ-հաշիվներ և workload-identity; shared գաղտնիքների արգելք։
  • Vox/KFC, գաղտնիքների և գաղտնիքների համապարփակ ռոտացիա, գաղտնիքների արգելք կոդում/լոգերում։
  • Կիսել միջավայրը և տարածաշրջանները, համախմբել խաչաձև-տարածաշրջանային հասանելի կանոնները։
  • Գործարկել dashbords և SLO, ամսական հաշվետվություններ ռեցերտացիայի վերաբերյալ։
  • Անցկացնել SoD-skan count ճիշտ և վերացնել էսկալացիայի ուղիները։
  • Ուսմունքների և post-morthems գործողությամբ։

20) FAQ

RBAC կամ ABAC-ը։

RBAC-ը ընթերցանության հիմնական շերտն է, ABAC-ը ենթատեքստն ու դինամիկան է։ Օգտագործեք հիբրիդ։

Արդյո՞ ք PAM-ն անհրաժեշտ է, եթե կա JIT-ը։

Այո, PAM-ն ձայնագրում է նստաշրջանները և կառավարվող արտոնյալ հասանելիության ալիքները։

Ինչպե՞ ս նվազեցնել իրավունքների «կպչելը»։

TTL-ը դերի վրա, չօգտագործված, ամսական վերացման և SoD-ալերտայի վրա։

Ի՞ նչ անել արտաքին կապալառուների հետ։

Առանձնացված ստենանտներ/խմբեր, սահմանափակ կոշիկներ, կարճ TTL, պարտադիր հաշվետվություններ և ռեցերտացիա։

Ռեզյումեներ ՝ Ռոլևի լուծումը և հասանելիությունը ոչ թե «վանդակների հավաքածու» են, այլ իրավունքների կյանքի ցիկլը 'նվազագույն անհրաժեշտ դերերը, SoD, JIT/PAM, քաղաքական գործիչները-կոդ, դիտարկումը և հիբրիդային ռեցերտացիան։ Այս նախաձեռնությունը արագ աշխատանք է տալիս թիմերին և կանխատեսելի անվտանգությանը բիզնեսի և գործընկերության համար։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։