GH GambleHub

권리와 정책의 상속

1) 생태계에 상속이 필요한 이유

네트워크 생태계는 운영자, 스튜디오/RGS, 애그리 게이터, PSP/APM, KYC/AML, 계열사 및 분석 서비스를 통합합니다. 권리의 계층 구조와 상속 정책이 없으면 액세스가 포인트 "수동 설정" 이되고 개인 데이터 및 사고의 위험이 증가합니다. 상속은 다음을 제공합니다

스케일링 속도: 새로운 노드/제품은 상자에서 표준화 된 정책을받습니다.
균일 성 및 준수: 최상위 가드 레일은 자동으로 아동 자원에 작용합니다.
투명성 및 감사: 예측 가능한 적용 순서, 예외 최소화.

2) 기본 액세스 온톨로지

2. 1 계층 적 수준

1. 조직/생태계 → 글로벌 보안/데이터/RG 정책.
2. 세입자/파트너 → 할당량, 관할 구역, 데이터 경계, SLO 제한.
3. 도메인 (컨텐츠, 결제, KYC, 계열사, 분석, 이벤트) → 액세스 프로필 및 네트워크 경계.
4. 서비스/응용 프로그램 → API/Topicals/Storage.
5. 리소스 → 테이블/주제/엔드 포인트/비밀/스트림.

2. 인증 모델 2 개

RBAC (역할): 빠르고 투명하며 잘 상속 됨 (역할 → 권한 세트).
ABAC (속성): 유연성 (지리, 관할권, 위험률, 시간).
ReBAC (관계): "내 엔티티와 관련된 리소스에 액세스" (운영자 캠페인 데이터).
실습: 소유권/캠페인 그래프를위한 RBAC + ABAC 하이브리드, ReBAC.

3) 정책, 범위 및 우선 순위

3. 정책의 1 가지 유형

허용/거부: 명시 적 허용/거부.
가드 레일: 필수 제한 사항 (PII 비 범위, 수출 제한, 시간 기반).
Quotas/Rate: 테넌트/채널/지역별 rps/txn/stream/이벤트 제한.
상황: 지리/ASN/장치/시간/검증/위험 점수 조건.
대표단: 제한된 범위/TTL로 권리의 일부를 위임합니다.

3. 2 상속 및 신청 순서

거부 우선: 금지는 해상도보다 강력합니다.
우선 순위: 'Guardrails (루트)> 거부 (부모)> 허용 (부모)> 거부 (자식)> 허용 (자식)'.
그림자: 자회사 허용은 부모 Guardrail/Deny를 취소하지 않습니다.
예외에 의한 재정의: TTL 및 Autofit을 포함하여 "정당한 예외" 로만 작성되었습니다.

3. 3 스코프

조직/임차인: 글로벌 규칙 및 할당량.
환경: prod/stage/sandbox-강성이 prod로 증가합니다.
관할권: 데이터 현지화, RG 제약.
데이터 클래스: '공개/내부/기밀/PII 민감성/재무'.
작업: 읽기/쓰기/관리자/내보내기/가장.

4) 정책 나무

4. 1 구조


/org
/tenants/{tenantId}
/domains/{payments    kyc    content    affiliates    analytics    events}
/services/{api    broker    db    storage    sfu}
/resources/{endpoint    topic    table    bucket    secret}

각 노드에서: 정책 목록 (허용/거부/가드 레일/할당량/컨텍스트). 하향식 상속, 지역 정책은 제한을 추가하지만 글로벌 금지를 제거하지는 않습니다.

4. 2 예

Guardrail org 수준: "PII는 국가의 화이트리스트 외부의 웹 후크로 가져갈 수 없습니다".
임차인 수준: "국가 X의 KYC 사업자는 금지되어 있습니다. 수출 보고서 만 집계됩니다.
도메인 결제: "mTLS가있는 서비스 계정과 24h의 확장 키 만 쓰십시오".
서비스 아피: "'Idempotency-Key' 만 포함 된 POST/예금".
리소스 주제: 'KYC 역할을 수행하는 서비스에만' kyc _ 상태 읽기 '. 중재 'NE ABAC' 확인 = 참 '".

5) 대표단 및 임시 권리

JIT (Just-in-Time) 액세스 TTL (일회용).
Break-Glass: 즉각적인 감사 및 후속 구문 분석을 통한 긴급 액세스.
스코프 토큰: 최소 '코프 세트' (읽기: 주제/kyc; 쓰기: api/deposit) + 청중/발행자.
체인 오브 트러스트: 장치/ASN/서브넷에 바인딩 된 교차 서비스 토큰.
가장: 로그와 한계가있는 프록시 서비스를 통해서만.

6) 도메인에서의 상속

6. 1 지불 (PSP/APM)

부모 가드 레일: "모든 통화-mSL + JWS를 통한 타임 아웃 차지 백 후크 필수 ".
아동 서비스는 AWP/지역에 할당량/캡을 추가 할 수 있습니다. 오케 스트레이터를 우회하는 통화를 거부합니다.

6. 2 KYC/AML

학부모 거부: "원시 문서는 분석에 기록 할 수 없습니다".
자회사 허용: "해시/평결/위험 범주 만 전송".

6. 3 콘텐츠/스트리밍

조직 가드 레일: "최소 비트 전송률 및 대기 시간 -SLO".
임차인 재정의: "로밍의 품질은 감소했지만 SLO보다 낮지는 않습니다".
리소스: 특정 라이브 테이블에 액세스-RG-OK가있는 세그먼트 만 가능합니다.

6. 4 개의 이벤트/EDA

근본: 비즈니스 의미에서 정확히 한 번의 체계/버전 등록.
도메인: 파티 키, 디드 업 정치.
서비스: 주제를 쓰거나 읽을 수있는 사람; 할당량/지연 예산.

7) 개인 정보 보호 및 제로 트러스트

기본적으로 PII 최소화 및 토큰 화, 정책은 "안전 지대 외부에서 토큰 해제 할 수 없습니다".
네트워크 세분화: 공급 업체 -VPC, 탈출 허용 목록, 영역 간 메시 정책.
S2S 및 웹 후크 용 mSL/JWS/HMAC, 단기 키 (JWKS/회전).
SoD (Segregation of Duties): 관리 역할을 읽으십시오. 주요 릴리스 역할.
관할권: 상속 된 현지화 규칙, DPA/DPIA없이 개인 데이터의 국경 간 수출 금지.

8) 상속 관찰 및 감사

정책 평가 추적: 잡지 "트레이스" 와 함께 "어떻게 작동했는지 정책".
Diff 통나무: 정책 트리를 누가/언제 변경했는지; WORM 스토리지.
적합성 테스트: 정기적 인 액세스 시나리오 실행 (허용/거부; 수출; 가장).
경고: 거부/가드 레일 트리거, 할당량 초과 실행, 우회 시도.

9) 갈등과 해결

클래스 정의: 허용/거부 충돌, 가드 레일 위반, ABAC 교차점.
우선 순위 순서를 적용하십시오 (§ 3 참조). 2).
예외: 임시 (TTL), 영구 (규칙), 잘못된 (롤백).
아티팩트 추가: RFC/CR 요청, 위험 평가 링크, CI 자동 점검.

10) 반 패턴

TTL이없는 매뉴얼 발행 권한 ("영원히").

기본값 및 자동 예외 허용

눈에 보이는 가드 레일이없는 상속-자식 가지는 보안 규칙과 겹칩니다.
역할 혼합 (관리자 = 분석가 = 연산자) -SoD 없음.
원시 개인 데이터를 서명없이 "임시" 웹 후크 인 타사 서비스로 내보냅니다.
유리를 사용한 장애인 감사.
플로팅 버전의 체계: 분석/EDA 이동, 거부는 새로운 분야에서 작동하지 않습니다.

11) 정책 트리 디자인 점검표

1. 데이터 이식 (공개/내부/기밀/PII/재무).
2. 계층 구조 수준 및 노드 소유자 (RACI) 를 정의하십시오.
3. 루트 (Zero Trust, PII, RG, 관할 구역) 에 가드 레일을 설정하십시오.

4. 양식 RBAC 역할 및 ABAC 속성; SoD를 활성화하십시

5. 범위를 설명하십시오 (org/tenter/env/ranislation/data class/operation).
6. 감사 루프를 사용하여 위임/TTL 및 브레이크 글래스를 사용하십시오.
7. 우선 순위와 충돌을 기록하십시오 (먼저 거부, 재정의 프로세스).
8. 관찰 가능성 설정: 평가 추적, 디프 로그, 경고.
9. 적합성 전화 걸기 및 정기적 인 예외 검토를 실행하십시오.
10. 문서: 정책 포털, 예, 샌드 박스, 시뮬레이터.

12) 성숙도 지표

적용 범위: 레거시 정책 및 적합성 테스트에서 다루는 리소스 비율.
드리프트: 로컬 예외/100 리소스 수; 평균 TTL 예외.
SoD 점수: 책임을 공유하는 사용자 비율.
PII 노출: 안전 지대 외부의 수출 횟수 (목표 = 0).
감사: 평가 추적 요청의%; 액세스 경합에 의한 MTTR.
속도 변경: 상속을 염두에두고 정책별로 CR 시간.

13) 샘플 패턴 (회로도)

가드 레일 (루트):
  • 거부: '수출: PII' if '대상. 국가 화이트리스트 '
'웹 후크:' 에 대한 'mSL & JWS' 문의:
  • 쿼터: '읽기: 이벤트: 테넌트 당
임차인 허용 (지불):
  • 허용: '확인 된 & & risk _ score
  • 거부: '직접: psp/'
자원 정책 (주제: kyc _ 상태):
  • 허용: '역할에 대한 읽기' KYC. '여기서' 관할권 = = 자원. 관할권 '
  • 거부: 서비스 'kyc-orchestrator' 를 제외한 '쓰기'

14) 진화 로드맵

v1 (Foundation): 정책 트리, 루트의 가드 레일, RBAC, 거부 우선 감사 변경.
v2 (통합): ABAC, 위임/TTL, 적합성 설정, 평가 추적.
v3 (자동화): 관할권/데이터에 의한 자동 범위 지정, 코드 정책, CI/CD의 자동 점검, 자동 검역 위반.
v4 (네트워크 거버넌스): 파트너 간 정책 연합, 암호화 서명이있는 임차인 위임, 권리 부여에 대한 예측 프롬프트 (위험률).

간략한 요약

권리와 정책의 상속은 안전하고 빠른 생태계의 틀입니다. 루트에 가드 레일이있는 정책 트리를 구축하고, 거부 우선 및 우선 순위를 사용하고, RBAC + ABAC + ReBAC를 결합하고, TTL과의 위임 및 엄격한 감사를 사용하십시오. 수표 및 예외 관리를 자동화하면 전체 참가자 네트워크에 대해 확장 가능하고 호환되며 예측 가능한 액세스 모델이 있습니다.

Contact

문의하기

질문이나 지원이 필요하시면 언제든지 연락하십시오.우리는 항상 도울 준비가 되어 있습니다!

통합 시작

Email — 필수. Telegram 또는 WhatsApp — 선택 사항.

이름 선택 사항
Email 선택 사항
제목 선택 사항
메시지 선택 사항
Telegram 선택 사항
@
Telegram을 입력하시면 Email과 함께 Telegram에서도 답변드립니다.
WhatsApp 선택 사항
형식: +국가 코드 + 번호 (예: +82XXXXXXXXX).

버튼을 클릭하면 데이터 처리에 동의하는 것으로 간주됩니다.