정체성 감사

1) 목적과 결과

목표: 어디서, 왜 액세스 할 수있는 사람을 정기적으로 검증하여 제로 트러스트의 원칙과 최소 권한을 확실하게 준수하는 것입니다.
결과: 확인 된 소유자와의 신원 및 권리에 대한 완전하고 최신 기록은 내부 통제 및 규제 기관을위한 공식화 된 증거 기반 인 "동결 된" 액세스를 제거했습니다.

2) 범위

내부 사용자: 직원, 인턴, 감독자, 임시 역할.
계약자/파트너: 게임 스튜디오, PSP/KYC/AML 제공 업체, 계열사.
서비스 아이덴티티: 봇, CI/CD, 통합, 키 및 API 토큰.
주요 역할: 인프라/데이터베이스 관리자, 지불, 위험, 거래.
플레이어 (KYC 컨텍스트): 계정 번들의 정확성 KYC 프로필 RG/AML 상태 (문서 내용이 아닌 프로세스 확인).

3) 이용 약관

정체성: 속성이있는 고유 한 엔티티 (개인/서비스).
권한: 리소스에 대한 특정 권리/역할.
JML: Joiner → Mover → Leaver-정체성 수명주기.
SoD: 고위험 운영에 대한 의무 분리.
최소 특권 및 JIT (Just-in-Time): 제한된 기간 동안 부여 된 최소 권한 세트.
책임: 각 신원에는 소유자가 있고 각 권리에는 비즈니스 사례와 용어가 있습니다.

4) 진실과 데이터 모델의 출처

HRIS/HR 시스템: 기본 직원 상태 소스 (고용/이동/종료).
IdP/SSO: 단일 인증 지점 (MFA/FIDO2), 페더레이션.
IAM/IGA: 재 인증 역할, 정책 및 프로세스 카탈로그.
CMDB/서비스 카탈로그: 시스템 및 액세스 루프의 소유권.
공급자 플랫폼: PSP/KYC/CNC/WAF/게임 공급자-외부 액세스 포털.
자격 → (속성) → 조직 단위/팀 → (있음) → 역할 → (ABAC를 통한 확장) → 자격 → (적용) → 자원.

5) 감사 컨트롤

1. 모든 곳에서 SSO 및 MFA (로컬 계정 및 공유 계정 없음).
2. RBAC/ABAC/PBAC: 정책 (코드 정책), 역할-일반적이고 일관된 권리로 설명됩니다.
3. SoD: 호환되지 않는 역할 및 예외가 공식화되었습니다.
4. JIT/PAM: 티켓, 세션 녹음 및 자동 리콜을 통한 임시 프로모션.
5. 비밀/키: 회전과 수명이있는 비밀 관리자에 보관되었습니다.
6. 로그 및 확률: 변조 증거, 누가/무엇을/어디서/언제/왜 추적합니까?

7. 데이터 액세스: PII 마스킹, 내보내기 - 암호화 및 TTL이있는 워크 플로우에 의해서만 가능합니다

6) 감사 프로세스 (엔드 투 엔드)

1. 준비: 시스템 별 권리 스냅 샷 동결 (권한 스냅 샷); IdP/IAM/제공자로부터 다운로드

2. 정규화: 자원 소유자별로 역할을 디렉토리, 중복 제거, 그룹화합니다.
3. 위험 분류: P1/P2 (권한이 있고 민감한) → 우선 순위 확인.
4. 권리 인증: 시스템 소유자는 권리를 확인/거부합니다 (액세스 검토 캠페인).
5. 비호환성 및 임시 예외가 있는지 SoD를 확인합니다 (만료 날짜 제외).
6. JML 조정: 실제 권리에 대한 고용/이동/종료 매핑 (외부 포털 포함).
7. 서비스 계정: 소유자 가용성, 단기 토큰, "신 범위" 가 없습니다.
8. 증거 기반: 인공물 패키지 형성 (보고서, 업로드, 행위).
9. 개선 계획: 리콜/수정 티켓, 마감일 및 책임있는 사람.
10. 최종 보고서: 위험 상태, 주기 KPI, 배운 교훈 및 정책 개선.

7) JML 윤곽 (더 깊이 확인)

Joiner: 기본 역할의 자동 할당, 디렉토리 외부의 수동 "추가" 금지.
계산: 명령/위치 변경 → 역할 자동 교체, 이전 권한 취소.
휴가: X 분/시간 내에 모든 권한의 취소, 메일/VPN/제공자 포털 폐쇄, 키 및 토큰 비활성화.

8) 외부 종속성 및 포털

PSP/KYC/AML/CML/WAF/게임 제공 업체: 각 계정에는 소유자, 목표, 마감일, MFA, 공유 계정 금지가 있습니다.
계약 SoD/SLA: P1 운영을위한 이중 제어 가용성 (결제 라우팅, 보너스 제한 변경 등).
정기적 인 조정: 현재 사용자의 외부 포털을 기록합니다.

9) iGaming 도메인의 특징

지불 및 위험: 일부 SoD 지점; 제한/라우팅 변경 사항에 대한 업데이트; 수동 조정 감사.
거래/요인: 모델링 용 샌드 박스, 개별 출판 역할, 빠른 롤백; 로그 변경.
책임있는 게임/KYC/PII: 엄격한 수출 제어, BI의 마스킹, 규제 기관 요청의 SLA 처리.
제휴 및 스 트리머: PII에 액세스하지 않고보고 기능이있는 제한된 포털.

10) 코드로서의 정책 (PaC)

저장소의 정책 (Rego/YAML), PR 검토, 테스트.
허용/거부 솔루션의 동적 컨텍스트: 환경 (prod), 시간, 위치, 작업의 중요성, KRI 신호 (예: 민감한 작업의 서지).
티켓에 대한 필수 구속 및 JIT 프로모션 목표.

11) 저널과 확률

이벤트 체인: 관리자 콘솔/IdP → API → 데이터베이스 → 외부 공급자.
변조 방지: WORM/불변성 저장, 기록의 서명, 엄격한 TTL.
검색 및 응답: 내부/외부 요청에 대한 응답의 SLA (감사, 규제 기관, 은행/파트너).

12) 지표 및 KPI/KRI

• 기한이 지난 캠페인의 비율 인 정시에 확인 된 권리 (재 인증) 를 공유합니다.
• 해고에서 권리 철회 (MTTR- 리버) 까지의 시간.
• JIT 증분 대 지속적인 권한의 비율.
• 사이클 당 해결 된 SoD 충돌 횟수.
• 덮힌 시스템 및 외부 포털의 완벽성.

• 민감한 행동 접착 (PII 수출, PSP 변경).
• 미사용 권리> N 일.
• 감사없이 브레이크 글래스.
• 소유자/목적/기간이없는 계정.

13) 구현 로드맵 (8-12 주)

네드. 1-2: 신원 및 시스템 (외부 포털 포함), 역할 카탈로그 및 SoD 매트릭스 인벤토리.
네드. 3-4: SSO/MFA 연결, 단일 권한 모음, 첫 번째 스냅 샷 보고서.
네드. 5-6: IGA 재 인증 캠페인 (P1/P2 우선 순위) 출시, 탈퇴자 자동 리콜.
네드. 7-8: 생산 회로, 녹음 세션, 공급자의 공유 계정 금지를위한 JIT/PAM.
네드. 9-10: PaC: 주요 정책 (내보내기 PII, PSP 라우팅, 릴리스) 의 공식화, 정책 단위 테스트.
네드. 11-12: KPI/KRI 대시 보드, 분기 별 사이클 규정, 규정 준수/규제 기관보고.

14) 아티팩트 패턴

역할 카탈로그: 역할, 설명, 최소 권한, 소유자, 적용 가능성 (테넌트/지역/환경).
SoD Matrix-호환되지 않는 역할/운영, 예외, 예외 용어 및 예외 소유자.
액세스 검토 팩: 권리 확인 시트, 의견, 결과 (승인/취소/완화).
서비스 계정 등록: 목적, 소유자, 평생, 범위, 비밀의 보관 위치, 회전 일정.
외부 포탈 인벤토리: 시스템, 연락처, 사용자 목록, MFA, 마지막 재 인증 날짜.
증거 점검표: 업로드/로그 및 감사를 위해 저장할 형식입니다.

15) 안티 패턴

일반 계정 및 "영원히 관리자".
IdP/IGA를 우회하는 권리의 수동 발행.
만료 날짜가없는 SoD 또는 "임시 예외" 허용 오차가 없습니다.
회전/소유자가없는 서비스 토큰.
워크 플로 및 암호화없이 PII "문자로" 내보냅니다.
외부 포털 (PSP/KYC/게임 제공 업체) 에 대한 감사가 없습니다.

16) 빈번한 감사 결과 및 빠른 수정

해고/계약자로부터의 냉동 액세스: HR 이벤트 (Leaver) 에 대한 자동 피드백 활성화.
중복 역할: 더 작은 역할로 분해하고 ABAC 속성을 묶습니다.
공급자와 공유 계정: 개인 + MFA로 마이그레이션, 드문 작업에 대한 임시 역할 발행.
오래 지속되는 비밀: 단기 토큰/인증서로 전환 및 계획된 회전.

17) 사건 관리 무리

액세스 구성 요소 → 위험 및 정책 등록의 필수 업데이트, 영향을받는 역할의 포인트 재 인증, 조치 항목이있는 사후 인증 (및 마감일) 이있는 모든 사건.

합계

신원 감사는 반복 가능하고 자동화 된주기입니다. 신원 및 권리의 완전한 등록 → 위험 지향 재 인증 → 하드 JML 및 JIT/PAM → 코드 및 증명 가능한 감사 → 사이클 결과에 대한 개선. 이 루프는 남용 및 오류 가능성을 줄이고 조사 속도를 높이며 규정 준수를 강화하며 iGaming 플랫폼의 주요 비즈니스 운영을 보호합니다.