Identity & Access Management
Live ռեզյումե
IAM-ը գործընթացների, քաղաքական և գործիքների համադրություն է, որոնք ապահովում են, թե ինչ պայմաններում և ինչպես է այն վերահսկվում։ Նպատակները 'ավելցուկ իրավունքների նվազեցում, հարձակման մակերեսի նվազեցում, ուռուցքաբանության և պարամետրերի արագացում, պահանջների համապատասխանությունը (PCI DSS, GDPR և այլն) և հասանելիության չափումը։
Հիմնական հասկացությունները
Ինքնությունը (Identity) 'մարդ (աշխատակից, կապալառուն), ծառայություն/ծրագիր, սարք։
AuthN (AuthN) 'ստուգում «Ո՞ վ» (գաղտնաբառը MFA-ն հաստատեց FIDO2/passkeys)։
Հեղինակային (AuthZ): լուծումը «ինչ թույլատրված է» (RBAC/ABAC/ReBAC, քաղաքականություն)։
Նշված տվյալները (Credentials) 'գաղտնաբառեր, բանալիներ, հոսանքներ, հավաստագրեր (mTSA)։
Գաղտնիք կառավարումը 'KFC/HSM/Vox, ռոտացիաներ, կարճ TTL, դինամիկ գաղտնիքներ։
Կյանքի ցիկլը 'Joiner-Mover-Leaver (JML) - ստեղծումը, դերերի փոփոխությունը, արձագանքը։
Նպատակային ճարտարապետություն IAM
Ինքնաթիռները և դերերը
IdP (ինքնության պրովայդեր) 'SSO, MFA, կատալոգը, ֆեդեգրաֆիան (OIDC/SAML), ռիսկի քաղաքականությունը։
PDP/PEP: Decision/Enforcium - քաղաքական շարժիչ (OPA/Cedar) + օգտագործման կետեր (API դարպաս, 108, ծառայողական մեշ)։
Թոբի/HR համակարգը 'աշխատողների և դերերի ճշմարտության աղբյուրը։
Պրովիզինինգը 'SCSA/Automation ստեղծման/փոփոխության/հասանելի արձագանքման համար։
Աուդիտ 'կենտրոնացված լոգներ, UEBA, դերերի և հասանելի հաշվետվություններ։
Հասանելիության հոսքը (user entap)
SSO (+ MFA) ռուսական հոսանքի արտադրությունը (OIDC/JWT/SAML) PEP-ն ստուգում է toten/ենթատեքստը PDP-ն լուծում է քաղաքականության (դեր/ատրիբուտներ/ռիսկի) ռուսական ծրագիրը տալիս է/հրաժարվում է հասանելիությունը։
Վավերացում 'գաղտնաբառերից մինչև passkeys
Գաղտնաբառերը ՝ միայն գաղտնաբառերի ղեկավարների հետ, առնվազն 12-14 նիշ, առանց «օրացույցի» ռոտացիայի, բայց պատահականության համար պարտադիր։
MFA լռելյայն 'TOTP/Windows Authn/Push; խուսափել SMS-ից որպես հիմնական գործոն։
Անբարո ֆորումը 'FIDO2/passkeys քննադատական օրինագծերի համար։
Հարմարվող AuthN 'հաշվի առեք ռիսկի ազդանշանը (geo, ASN, սարք, անոմալիա) խորհուրդ է տալիս պահանջել ավելացված գործոն/արգելափակել։
Հեղինակային իրավունքը ՝ RBAC, ABAC, ReBAC
RBAC 'դերեր, որոնք համապատասխանում են ֆունկցիաներին (Supert, Finance, DevOps)։ Պարզ և հասկանալի, բայց «աճում է»։
ABAC 'սակագների կանոնները (բաժին, ռիսկի մակարդակը, ժամանակը, գոտին, ռեսուրսները)։ Մասլիրումոն։
ReBAC '«Ո՞ վ է պատկանում» (ծրագրերի սեփականատերերը, թիմերի մասնակիցները)։ Հարմար է բազմաբնույթ պարամետրերի համար։
Լավագույն փորձարկումները
Համատեղել RBAC (ռուսական ցանցը) + ABAC/ReBAC (կոնտեքստը/սահմանները)։
JIT (Just-In-Time) ՝ ռուսական արտոնություն հարցման/appruv-ի միջոցով, ավտոմատ ակնարկում։
JFC (Just-Enough Express) 'վիրահատության նվազագույն բավարար իրավունքները։
PAM 'մեկուսացված «ուժեղ» հասանելի (BD/ամպերի) բրոկերով նստաշրջանների, էկրանին/հրամանների ձայնագրմամբ և կարճատև քրեդների արտադրությամբ։
Ֆեդեգրաֆիա և SSO
Արձանագրությունները ՝ OIDC (JWT-tocens), SAML 2։ 0 (XML assertions) - արտաքին պրովայդերների/գործընկերների համար։
SSO 'MFA-ի մուտքի միավորը, ֆիշինգի նվազումը, կենտրոնացված արձագանքը։
B2B/B2C 'գործընկերների հետ ֆեդեգրաֆիա, սահմանափակում տարածաշրջանները, կառավարական քաղաքականությունները։
MTSA/m2m: Ծառայությունների համար օգտագործեք հակիրճ x5.59 (SPIFE/SVID) կամ OAuth2 Client Credentials։
Կյանքի ցիկլը (JML) և պրովայդինգը
Joiner: ավտոմատ SCMS-պրովիզինինգը և հիմնական դերերը HR/2019-ից։
Mover: դերերը ինքնաբերաբար փոխվում են (բաժին, նախագիծ, միգրացիա)։
Leaver: SSO-ի չարտոնված ակնարկներ, թոկեններ, ռեպոզիտորների/ամպերի/CI/CD։
Գործընթացները ՝ մուտքագրումը (ITSM), SoD մատրիցը (պարտականությունների բաժանումը), պարբերական review։
Գաղտնիքներ, բանալիներ և ռոտացիաներ
KFC/HSM 'պահեք արմատային/քննադատական բանալիները, միացրեք վիրահատությունների աուդիտը։
Vox/Secrets-ղեկավարներ 'դինամիկ քրեդներ (BD, ամպեր), TTL-ի վերջում։
Ռոտացիաները ՝ OAuth-ը, JWT ստորագրության բանալիները, ծառայությունների գաղտնաբառերը 'ժամանակացույցով և պատահականներով։
MTSA 'հակիրճ հավաստագրեր (ժամացույց/օրեր), ավտոմատ թարգմանություն։
Քաղաքական և լուծումների շարժիչ
Ագրեսիվություն 'պահպանեք քաղաքականությունը Git-ում։ ստուգեք CI (policy-tes.ru)։
Համատեքստը 'ժամանակը/միգրացիան/ASN/ռիսկի մակարդակը/սարքի վիճակը (MDM/EDR)։
Օրինակ (Rego, պարզեցված)
rego package authz. payments default allow = false
allow {
input. user. role == "finance"
input. device. compliant == true input. action == "read"
input. resource. type == "report"
time. now_hh >= 8 time. now_hh <= 20
}Windows, SLO և աուդիտ
Մետրիկները
AuthN/AuthZ-ի հաջողությունը (%), p95 ժամանակը լոգինա/լուծումներ, MFA/անբարո մուտքերի մասը։
Col-ը JIT/PAM-ի էսկալացիաներում, արտոնությունների միջին տևողությունը։
Compliant սարքերի ծածկումը, համառոտ գաղտնիքների մասը։
SLO (օրինակներ)
SSO/IDP 3599 հասանելիությունը։ Ամսական 95 տոկոսը։
p95 AuthZ decision ≤ 50 мс.
Կրակոցի անջատման 100 տոկոսը 15 րոպե է boarding-ից հետո։
Աուդիտ և UEBA 'կենտրոնացված անփոփոխ լոգներ (հասանելի, դերերի փոփոխություններ, անհաջող մուտքեր, PDP լուծումներ), վարքագծային վերլուծություն և անհանգստություններ անոմալիաների վերաբերյալ։
Հարգանքի դեպքը IAM-ում
Թոկենների փոխզիջումը/108: Չարտոնված ակնարկ, հարկադրաբար logout, ռուսական ստորագրության վերացում, re-issue հակիրճ գաղտնիքներ։
Իրավունքների չարաշահումը 'դադարեցնել հետաձգումը, արգելափակել JIT/JLS, կատարել համապատասխան ակնարկ հարևան էակների վրա։
IdP-ը անհասանելի է 'օֆլայն-ռեժիմները (հոսանքների ժամանակավոր քեշը կարճ TTL-ով), վերականգնման գերակայությունները։
Ֆիշինգը 'պարտադիր MFA, նստաշրջանների ռիսկի ստուգում, տեղեկատվության ծանուցում, ուսուցում։
Ամպերը և Kubernetes (արտոնագրեր)
Public Cloud IAM-ը 'օգտագործեք national դերերը leprivilege սկզբունքով։ «Հավերժական» կոմպոզիցիաների փոխարեն OIDC-ի հետ աշխատանքային բեռներն են ամպի համար (IRFC/Workload Identity)։
Kubernetes: RBAC նյարդային/դերերի վրա, սահմանափակել «cluster-admin»; գաղտնիքները արտաքին ղեկավարների միջոցով են։ ծառայություն-մեշ + OPA համար L7-քաղաքական; Admission-վերահսկիչները (ստորագրված պատկերներ, արգելքը «: latest»)։
API դռները 'JWT/mTRK ստուգումը, արագության սահմանափակումը, հարցումների ստորագրումը (HMAC) զգայուն էնդպոինտների համար։
iGaming/fintech
Մուտքի օրինագծերը 'վճարումներ, հակաֆրոդ, PII, բովանդակություն-պրովայդերներ' դերեր և ցանցային հատվածներ։
SoD 'հակամարտող դերերի խղճահարման արգելքը (օրինակ, պրոմո + հայտարարությունը)։
PAM-ը և JIT-ը 'PMS/բանկերին և prod-BD-ի հասանելիության համար, միայն նստաշրջանների բրոքերի միջոցով, ձայնագրելով և արձագանքելով։
Կոմպլենսը 'PCI DSS - MFA, նվազագույն արտոնություններ, CHD գոտիների հատվածը։ GDPR-ը տվյալների նվազեցման սկզբունքն է և PII-ի հասանելիության կետային լույսերը։
Բովանդակության գործընկերները և պրովայդերները 'ֆեդեգրաֆիա և per-tenium քաղաքականություն։ կարճատև հոսանքներ և IP/ASN allow-list։
Տիպիկ սխալներ
«Հավիտենական» բանալիներ և ցնցումներ. Բացակայում են ռոտացիաները և TTL-ը։
Boarding-ի ձեռքի լուծումը 'իրավունքների արձագանքման ձգձգումները «ուրվական» հասանելի են։
Մոնոլիտներ 'մեկ «սուպեր դեր» կազմի և ատրիբուտների փոխարեն։
MFA-ն միայն դժոխքում է. MFA-ը պետք է լինի բոլոր մուտքերի և կրիտիկական վիրահատությունների համար։
Լոգները «ոչ մի տեղ չեն», չկա կենտրոնացում և UEBA-ն ավելի ուշ հայտնաբերեց կղզիները։
Ճանապարհային քարտեզը IAM ներդրման քարտեզը
1. Օգտագործողների/ծառայությունների/ռեսուրսների բուլարիզացիա; տվյալների և զգայունության քարտեզը։
2. SSO + MFA բոլորի համար, միացրեք phishing-resistical գործոնները։
3. Դերերի մոդել 'հիմնական RBAC + ատրիբուտներ (ABAC) համատեքստում։ SoD մատրիցը։
4. Projizining SCSA 'ավտոսրահը/փոփոխությունը/HR/2019 իրավունքների վերանայումը; ITSM-ում։
5. PAM և JIT/JLS 'արտոնյալ հասանելի համար։ ձայնագրություն, կարճ TTL։
6. Գաղտնիք կառավարումը 'հրաժարվելը ստատիկ գործողություններից; դինամիկ գաղտնիքները, ռոտացիաները, mTSA-ը կարճ հավաստագրերով։
7. Քաղաքական գործիչները Git + CI-ում 'կանոնների թեստեր, փոփոխությունների վերահսկում, կանարական ռուսական քաղաքական։
8. Դիտարկումը և SLO 'AuthN/AuthZ-ի տաշբորդները, ալտերտերը, մեջբերում է review։
Արտեֆակտների օրինակներ
AWS IAM Policy (առնվազն կարդալու համար S3)
json
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "ReadOnlyReports",
"Effect": "Allow",
"Action": ["s3:GetObject","s3:ListBucket"],
"Resource": [
"arn:aws:s3:::reports-bucket",
"arn:aws:s3:::reports-bucket/"
],
"Condition": {
"IpAddress": { "aws:SourceIp": "203. 0. 113. 0/24" }
}
}]
}Kubernetes RBAC (namespace-scoped ծրագրավորող)
yaml apiVersion: rbac. authorization. k8s. io/v1 kind: Role metadata:
name: dev-read-write namespace: app-prod rules:
- apiGroups: ["","apps"]
resources: ["pods","deployments","services","configmaps"]
verbs: ["get","list","watch","create","update","patch","delete"]
apiVersion: rbac. authorization. k8s. io/v1 kind: RoleBinding metadata:
name: dev-bind namespace: app-prod subjects:
- kind: User name: alice@example. com roleRef:
kind: Role name: dev-read-write apiGroup: rbac. authorization. k8s. ioOIDC 'ABAC (օրինակ)
json
{
"sub": "d81f0b5c-...",
"email": "bob@example. com",
"dept": "finance",
"role": "analyst",
"device_compliant": true,
"tenant": "casino-eu"
}Քաղաքականությունը կարող է պահանջել «device _ compliance = med» և «tenae» համընկնում է ռեսուրսների հետ։
Վերահսկողական ցուցակը (wwww.k-list)
- SSO-ն ներառված է բոլոր ծրագրերի համար. MFA լռելյայն, passkeys առաջնահերթության մեջ։
- RBAC 71; ABAC/ReBAC ավելացնում է համատեքստը։ իրականացվել է JIT/JLS։
- PAM-ն պաշտպանում է արտոնյալ հասանելի։ նստաշրջանների ձայնագրումը կատարվում է։
- SCIM-պրովիզինինգը HR-ից; boarding-ը ամբողջովին ավտոմատացված է։
- Դինամիկ գաղտնիքները, կարճ TTL; ռոտացիաները ավտոմատացված են։
- Քաղաքական գործիչները տարբերակվում են Git-ում, փորձարկվում են CI-ում։ կան ձողիկներ։
- Dashbords և SLO-ն AuthN/AuthZ-ով; կենտրոնացված լոգներ և UEBA-ն։
- Պարբերական ակնարկներ և SoD ստուգումներ; համակարգչային հաշվետվություններ։
FAQ
Արդյո՞ ք ReBAC-ը բոլորի կարիքն ունի։
Ոչ։ Պարզ միջավայրերի համար բավական է RBAC + ABAC։ ReBAC-ը օգտակար է ռեսուրսների և բազմաբնույթ սեփականության բարդ հիերարխիայի համար։
Կարո՞ ղ եք թողնել տեղական գյուղերը։
Միայն break-glass-ի և ofline-2019-ի համար, կոշտ սահմանափակումներով և պարբերական ստուգմամբ։
Ինչպե՞ ս նվազեցնել «դերերի պայթյունը»։
Բարձրացրեք ռեսուրսների դրամապանակը, օգտագործեք AVAS/ձևանմուշները, ավտոմատիզացնեք և հրաժարվեք չօգտագործված դերերից։
Արդյունքը
Հասուն IAM ճարտարապետությունը SSO + MFA-ն է, նվազագույն անհրաժեշտ իրավունքները, ավտոմատացված JML-ը, կենտրոնացված քաղաքականությունը և դիտարկումը։ JIT/JMS և PAM-ը, ինչպես նաև ավտոմատիզացնելով գաղտնիքները, դուք ստանում եք կառավարվող, ստուգված և ընդլայնված մուտք, որը համապատասխանում է անվտանգության և բիզնեսի պահանջներին։