RBAC:役割と権限の管理
1) RBACの目的と原則
目的:お金/PIIおよびコンプライアンス(GDPR/AML/PCI/ISO)を保護するために、アクセスを管理可能、検証可能、最小限の量にする。
原則:最低特権・知る必要性・職務の分離(SoD)・ゼロトラスト・失効性(クイックリコール)・監査可能性(証明性)。
2)権利と役割の分類
アクセス権の種類:- データ:'READ'、 'WRITE'、 'EXPORT'、 'DELETE'、 'MASKED_READ' (PIIのデフォルト)。
- Операции: 'APPROVE_DIGITAL'、 'CHANGE_FRM_RULE'、 'KYC_DECISION'、 'SECONCIAL_OVERRIDE'。
- ROLE_UPDATE: 'ROLE_UPDATE'、 'USER_PROVISION'、 'SECRET_ROTATE'、 'BREAK_GLASS'。
- 統合:'API_CALL:'、 'WEBHOK_SIGN'、 'SERVICE_CONFIG_UPDATE'。
- コア:'employee_basic'、 'viewer_internal'、 'auditor_privacy'。
- 「サポートエージェント」、「vip_manager」、 「payments_ops」、 「aml_officer」、 「kyc_operator」、 「fraud_analyst」、 「rg_specialist」、 「bi_analyst」。
- システム/それら:'devops_admin'、 'dba_admin'、 'service_account _'、' read_only_prod'。
- 特権(PAM/JIT経由):'break_glass_admin'、 'prod_db_jit_editor'。
3)ロールエンジニアリング
1.リソースのインベントリ:システム/テーブル/エンドポイント、データクラス(Public/Internal/Confidential/Restricted/Highly Restricted)。
2.機能によるユーザーストーリー:誰が何となぜ(目的)を行うのか。
3.タスクマッピング→パーミッション-機能ごとの最小設定。
4.役割のグループ化:1つの役割=1つの責任ドメイン;「スーパーロール」は避けてください。
5.SoDテスト: 非互換性のチェック(例:'payments_ops' ≠ 'fraud_rule_admin')
6.パイロットと測定:一時的に限られたグループを発行し、監査証跡を収集します。
7.バージョン管理:各ロールの変更は、変更履歴付きのCABを介して行われます。
4) RBAC ↔ ABAC ↔ SoD相互作用
RBACは「、原則として誰ができるか」、ABAC-「どんな条件で」(環境、地理、デバイス/MDM、時間、KYCレベル、'目的')と答えます。
SoDは危険な役割の組み合わせを禁止し、重要な行動には4-eyesが必要です。
練習:デフォルトでは、ロールはPIIにMASKED_READを与えます。マスクされていないアクセスには、'purpose'+JIT属性と正ABACポリシーの決定が必要です。
5)マルチテナンシーとジオコンテキスト
テナントスコープ:役割はリース/ブランド/管轄('role: payments_ops@EEA')に関連付けられています。
ジオキー:個々の暗号化キーと地域ごとのアクセスセグメント(EC/UK/……)。
粒度:'region_code'列(RLS)とプレーヤー管轄によってフィルタリングします。
6)列/列レベルのセキュリティとマスキング
戦略:- RLS(文字列):国/ブランド/チームレコードのみにアクセスします。
- CLS(列):機密フィールドがマスクされています。マスクなし-特権'pii_unmask'+'purpose'のみ。
sql
CREATE POLICY rls_tx
ON dwh. transactions
USING (region_code = current_setting('app. region'));
SELECT
CASE WHEN has_priv('pii_unmask') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;7) JIT、 ブレイクガラスPAM-RBAC
JIT:一時的な特権的役割(15-120分)チケットの下;自動フィードバック;完全な監査。
ブレイクガラス:MFA+2番目の確認とセッション録音による緊急アクセス。Security+DPOによるポストレビュー。
PAM:秘密の店、セッションプロキシ、パスワード/キーの回転。
8)ロールライフサイクル(SOP)
SOP-1: 役割の作成/変更
1.ドメインの所有者の問い合わせ→タスクのリスト→権限のマッピング→SoD-check→pilot→CAB→release+documentation。
SOP-2: リクエストとアクセス許可
1.アプリケーション(IDM/ITSM)「目的」と期限→SoD/管轄の自動検証→データ所有者の承認+セキュリティ(制限付き+)→発行(多くの場合JIT)→レジストリエントリ。
SOP-3: フィードバック/オフボーディング
トリガー:終了、ロール変更、非アクティブ>30/60日、JIT期限切れ。
自動リコールとログ。
SOP-4: 再認証
四半期ごとに、所有者はユーザーロールがまだ必要であることを確認します。システムは「掛かる」権利を取除きます。
9)ロールマトリックス例(フラグメント)
10)ツールと実装(パターン)
ロールカタログをコードとして:リポジトリ内のYAML/JSON+CIバリデータ、changelog。
中央IdP/SSO: SCIMプロビジョニング、グループマッピング'group→role'。
ポリシー決定ポイント:コンテキスト属性を持つポリシーエンジン(ABAC)。
Secrets/KMS:環境/地域/テナントごとのキーアイソレーション。
データゲートウェイ:DWH/BI/エクスポートのマスキング/監査の1層。
SIEM/SOAR:相関関係'ROLE_UPDATE'/'READ_PII'/'EXPORT_DATA'、自動チケット。
11)監査とロギング
ОбязательныеСО-ページ: 'ROLE_ASSIGN'、 'ROLE_REVOKE'、 'ROLE_UPDATE'、 'BREAK_GLASS'、 'JIT_GRANT'、 'READ_PAD II'、 'PAYMAGE_DATA APPAPPAPPAPPROPROPROPROPROPROPACPROPACMACMAL MAL MAL P'.
要件:各イベントのWORMコピー、ハッシュチェーン、パケット署名、'purpose'/'ticket_id'、時刻同期。
12)メトリクスとKPI/KRI
適用範囲:RBAC ≥ 95%の下のシステムの%。
SoD違反:=0;互換性のないロールを割り当てる試み-オートブロック。
JIT率:増加の≥ 80%はJITです。
TTRのオフボーディング:権利の取り消し≤ 15分。
マスク読み取り比率:PIIへの呼び出しの95% ≥がマスクされています。
再認定:四半期ごとに100%の役割を確認。
署名されたエクスポート:署名/ログ付きのエクスポートの100%。
13) RACI(拡大)
14)チェックリスト
ロールを作成する前に
- ユーザストーリーと'purpose'について説明'
- リソースとデータクラスのリスト
- 最小アクセス権マッピング
- SoDチェック/競合
- マスキングとRLS/CLSポリシー
- 再認証プランと所有者
アクセスを許可する前に
- 「目的」と日付を修正
- SoD/管轄/MDM/MFAが完了
- デフォルトのマスキング、プロモーションのJIT
- ジャーナルとリビジョンの日付が含まれています
15)頻繁なエラーとアンチパターン
小さなドメインの代わりに幅広い権利を持つ「スーパーロール」。
マスクと「目的」なしでPIIに直接アクセスできます。
'PAYMENT_APPROVE'/'KYC_APPROVE'のSoD/4番目の目はありません。
一時的な権利の延長「永遠に」。
プロッドデータをdev/stageにコピーします。
署名とログなしの不透明なエクスポート。
16)実装ロードマップ
週1-2:資産の在庫/データ分類;役割のドラフト行列;SoDテーブル。
週3-4:コード(リポジトリ)としてRBAC、 IdP グループ/SCIM、 ABACエンジン(基本的な属性:環境/地理/MDM/時間)、 JIT/PAM、 DWH/BIのマスキングレイヤー。
月2:再認証、オフボーディングオートメーション、RBAC/SoD/ABAC違反に対するSOARアラート、輸出ログ/WORM。
月3+:属性拡張(デバイスリスク、KYCレベル)、アクセスバイアス監査、コスト最適化、通常の卓上演習。
TL;DRについて
強力なRBAC=スモールドメインロール+属性条件(ABAC)+SoDおよびJIT/PAM+マスキングおよびRLS/CLS+ハード監査および再認証。これにより、漏洩/悪用のリスクを低減し、監査を迅速化し、プライバシーおよびコンプライアンス要件の範囲内でプラットフォームを維持します。