Eredità di diritti e criteri

1) Perché l'ecosistema eredita

• Scalabilità: i nuovi nodi/prodotti ricevono regole standardizzate «dalla scatola».
• Uniformità e compilazione: i guardrail di livello superiore agiscono automaticamente sulle risorse figlio.
• Trasparenza e verifica: modalità di applicazione prevedibile, riduzione delle eccezioni.

2) Ontologia di accesso di base

2. 1 Livelli gerarchici

1. Organizzazione/Ecosistema per le politiche globali di sicurezza/dati/RG.
2. Tenant/Partner → quote, giurisdizione, limite dei dati, vincoli SLO.
3. Dominio (contenuti, pagamenti, KYC, affiliati, analisti, eventi) → il profilo di accesso e i perimetri di rete.
4. Strumenti/App → API/topic/storage.
5. Risorsa tabella/topic/endpoint/segreto/strame.

2. 2 Modelli di autorizzazione

RBAC (ruoli) - Viene ereditato rapidamente, in modo trasparente (ruolo → set di autorizzazioni).
ABAC (attributi) - Flessibilità (geo, giurisdizione, rischio-scansione, tempo).
(relazione) - Accesso alle risorse associate alle mie entità (operatore della campagna i dati).
Pratica: ibrido RBAC + ABAC, ReBAC per grafici di proprietà/campagne.

3) Policy, schemi e priorità

3. 1 Tipi di criteri

Allow/Deny: risoluzione/proibizione esplicita.
Restrizioni obbligatorie (PII out-of-scope, limiti di esportazione, time-based).
Quote/Rate: limiti rps/txn/stream/event per tenante/canale/regione.
Contestuale: condizioni geo/ASN/dispositivo/tempo/convalida/rischio-scansione.
Delegation: delega parte dei diritti con timido scoop/TTL.

3. 2 Eredità e ordine di applicazione

Deny-first: il divieto è più forte della risoluzione.
Precedence: `Guardrails (root) > Deny (parent) > Allow (parent) > Deny (child) > Allow (child)`.
Shadowing: Allow secondario non annulla Guardrail/Deny padre.
Override per esclusione: solo le «eccezioni giudiziate» scritte con TTL e autoscatto.

3. 3 Scorciatoie

Org/Tenant: regole e quote globali.
Environment: prod/stage/sandbox - La rigidità cresce verso prod.
Giurisdiction - Localizzazione dei dati, vincoli RG.
Data Class: `Public/Internal/Confidential/PII-Sensitive/Financial`.
Operation: read/write/admin/export/impersonate.

4) Alberi di policy (Policy Trees)

4. 1 Struttura

/org
/tenants/{tenantId}
/domains/{payments    kyc    content    affiliates    analytics    events}
/services/{api    broker    db    storage    sfu}
/resources/{endpoint    topic    table    bucket    secret}

Ogni nodo contiene un elenco di regole (allow/deny/guardrail/quota/text). Eredita dall'alto verso il basso, i criteri locali aggiungono vincoli ma non eliminano i divieti globali.

4. 2 Esempi

Guardrail org-level: «Il PII non può essere visualizzato nei siti web al di fuori dell'elenco dei paesi».
Tenant-level: "Gli operatori KYC dei paesi X sono vietati; esportazione di report solo aggregati".
Domain payments: «Write solo tramite un account di servizio con la chiave 24h».
Servizio api: «POST/deposits solo con» Idempotency-Key «».
Resource topic: «Leggere» kyc _ status «solo ai servizi con il ruolo» KYC. moderation` и ABAC `verified=true`».

5) Deleghe e diritti temporanei

Just-in-Time (JIT) Access - Estrazione in corso (TTL, single-use).
Break-Glass - Accesso di emergenza con revisione immediata e analisi successiva.
Scoped Tokens: set minimo di «scopes» (read: topic/kyc; write:api/deposit) + audience/issuer.
Chain-of-Trust - Token interserver con riferimento al dispositivo/ASN/subnet.
Impersonation: solo tramite proxy con registro e limiti.

6) Eredità nei domini

6. 1 Pagamenti (PSP/APM)

Guardrail dei genitori: "Tutte le chiamate sono mTLS + JWS, timeout ≤ N, retrai e jitter; charjbeck-gancio obbligatorio".
Il servizio secondario può aggiungere quote/caps per ARM/regione. Deny alle chiamate dirette per aggirare l'orchestratore.

6. 2 KYC/AML

Deny padre: «Il documento grezzo non può essere scritto in un analista».
Allow figlio: «Trasmettere solo hash/verdetto/categorie di rischio».

6. 3 Contenuti/streaming

Org garrail: «bitrate minimo e latency-sLO».
Tenant-override: «Riduzione della qualità in roaming, ma non sotto lo SLO».
Resource - Accesso a un particolare desktop live - solo segmenti con RG-OK.

6. 4 Eventi/EDA

Root: schemi/versioni in-registry, exactly-once in senso aziendale.
Domain: chiavi di partitura, regole di deduzione.
Servizio: chi può scrivere/leggere un topic; quotas/lag-budget.

7) Privacy e Zero Trust

Riduzione e tornitura PII predefinita, il criterio «non può essere tornizzato fuori dalla cassaforte».
Segmentazione delle reti: vendor-VPC, egress-allow-list, criteri di mesh interzonali.
mTLS/JWS/HMAC per S2S e webhook, chiavi a vita corta (JWKS/rotation).
(Segregation of Duties) - Ruoli di lettura del ruolo di amministrazione del ruolo di rilascio delle chiavi.
Giurisdizione: regole di localizzazione ereditate, divieto di esportazione transfrontaliera di PDN senza DPA/DPIA.

8) Osservabilità e controllo dell'eredità

Policy Evaluation Trace, la rivista «che politica ha funzionato» con «traceId».
Diverso: chi/quando ha modificato l'albero delle regole; Storage WORM.
Test di Conformance: controlli regolari degli script di accesso (allow/deny; export; impersonation).
Allert: azione deny/guardrail, eccesso di quote, tentativi di elusione.

9) Conflitti e risoluzione

Definisci classe: confluenza Allow/Deny, violazione della guardia, intersezione delle condizioni ABAC.
Applica ordine di precisione (vedere l'articolo 3. 2).
Classificare l'eccezione: temporanea (TTL), permanente (regola), errata (rollback).
Inserisci manufatti: RFC/Richiesta CR, riferimento a rischio-valutazione, autovelox in CI.

10) Anti-pattern

Diritti concessi manualmente senza TTL («permanente»).
Allow-predefinito e eccezioni silenziose.
Ereditarietà senza guardia apparente: i rami figlio sovrappongono le regole sicure.
Miscelazione ruolo (admine = analista = operatore) - Nessun SoD.
Esportazione di PDN crudi in servizi di terze parti, webhoot «temporanei» senza firma.
Controllo disattivato al break-glass.
Versioni flottanti dei circuiti: l'analista/EDA viaggia e deny non funziona sui nuovi campi.

11) Assegno-foglio di progettazione dell'albero delle regole

1. Classificare i dati (Public/Internal/Confidential/PII/Financial).
2. Definite i livelli gerarchici e i proprietari di nodi (RASI).
3. Impostare i guardrail alla radice (Zero Trust, PII, RG, giurisdizione).
4. Formare ruoli RBAC e attributi ABAC; Accendete il SoD.
5. Descrivi le scorciatoie (org/tenant/eng/jurisdiction/data class/operation).
6. Attivare la delega/TTL e break-glass con scatto di revisione.
7. Imporre precisione e conflittualità (deny-first, override-processo).
8. Regolare l'osservabilità: evaluation-trace, different-logg, alert.
9. Eseguire un set conformance e una serie regolare di eccezioni.
10. Documentare il portale di policy, esempi, arenili, simulatori.

12) Metriche di maturità

Coverage - Percentuale di risorse coperte da regole ereditate e test conformi.
Numero di eccezioni locali/100 risorse TTL medio di eccezione.
SoD Score: percentuale di utenti separati.
PII Exposure: numero di esportazioni fuori dalla cassaforte (destinazione = 0).
Auditability:% di richieste con evaluation-trace; MTTR per i conflitti di accesso.
Cambio Velocity: tempo CR per i criteri di eredità.

13) Esempi di modelli (schematico)

• Deny: `export:PII` if `destination. country ∉ whitelist`
• Require: `mTLS && JWS` for `webhook:`
• Quota: `read:event: ≤ X rps per tenant`

• Allow: `write:api/deposit` if `verified && risk_score < T && geo ∈ allowed`
• Deny: `direct:psp/`

• Allow: `read` for role `KYC. moderation` where `jurisdiction == resource. jurisdiction`
• Deny: `write` except service `kyc-orchestrator`

14) Road map dell'evoluzione

v1 (Foundation): legno di regole, guardrail alla radice, RBAC, deny-first, controllo delle modifiche.
v2 (Integration) - ABAC, delega/TTL, conformance set, evaluation-trace.
v3 (Automation): auto-scansione per giurisdizione/dati, policy-as-code, automezzi in CI/CD, auto-carantine di violazioni.
v4 (Networked Governance) - Una federazione di policy interpartners, una delega cross-tenante con cryptopodiscrizione, suggerimenti predittivi (rischio-score) per la concessione dei diritti.

Breve riepilogo

L'eredità di diritti e regole è l'ossatura di un ecosistema sicuro e veloce. Costruisci policy-tree con guardrails alla radice, applichi deny-first e precisence, combina le RBAC+ABAC+ReBAC, usa la delega con TTL e un controllo rigoroso. Consente di automatizzare i controlli e la gestione delle eccezioni e di ottenere un modello di accesso scalabile, completo e prevedibile per l'intera rete dei partecipanti.