특권 세분화
1) 세분화가 필요한 이유
특권 분할은 "폭발 반경" 오류 및 내부자 남용을 줄이는 데 중요합니다. 운영 속도를 유지하고 규제 요구 사항을 준수하면서 어떤 데이터와 장소에서 어떤 작업을 수행 할 수 있는지 정확하게 제한 할 수 있습니다.
당첨:- "불필요한 권리" 로 인한 사건 감소;
- 조사 가속화: 액세스는 투명하고 설명 가능합니다.
- SoD/규정 준수, 입증 가능한 감사 준수;
- 생산 핵심에 위험이없는 안전한 실험 및 빠른 릴리스.
2) 원칙
제로 트러스트: 각 동작은 상황에 따라 점검됩니다. "신뢰할 수있는 영역" 이 없습니다.
최소 특권: 최소 기간 동안 발행 된 최소 권리 (이상적인 JIT).
역할에 대한 맥락: 권리는 역할뿐만 아니라 속성 (테넌트, 지역, 환경, 위험) 에도 달려 있습니다.
의무 분리 (SoD): 별도의 개시, 승인, 실행 및 감사.
코드 정책: 버전 지정, 테스트 및 검토가 포함 된 코드 정책.
3) 액세스 성숙도 모델
1. RBAC (역할) - 시작-고정 역할 (지원, 위험, 지불, 거래, 작전, SRE, 준수).
2. ABAC (속성): 세입자, 지역, 관할권, 제품, 채널, 환경 (prod/stage/dev), 시간, 위험 클래스 작동 클래스, KRI 신호 속성 추가
3. PBAC (정책 기반): 중앙 집중식 정책 "누가/어디서/언제/왜" + 조건 (예: "판매 중 - JIT 및 티켓 포함").
4) 세분화 도메인 (축 별)
4. 1 세입자/클라이언트
액세스 및 운영은 특정 브랜드/운영자/계열사로 제한됩니다.
엄격하게 정의 된 비 PII 집계를 제외하고 임차인 간 활동은 금지됩니다.
4. 2 지역/관할권
정책은 로컬 라이센스 및 KYC/AML 규칙을 고려합니다.
플레이어 데이터 작업은 저장 및 처리의 지리에 의해 제한됩니다.
4. 3 환경 (개발/단계/prod)
Prod는 개별 크레딧, 네트워크, Bastion/PAM, "기본적으로 읽기 전용" 으로 격리되어 있습니다.
티켓을 사용하여 JIT 만 제공하고 창을 변경하십시오.
4. 4 데이터 클래스
PII/금융/게임 원격 측정/기술자-다양한 수준의 액세스 및 마스킹.
PII 내보내기 - 승인 된 암호화 된 워크 플로 및 TTL을 통해서만.
4. 5 운영의 비판
P1/P2/P3 클래스: 계수 게시, 수동 오프셋, 결론, PSP 라우팅 변경-이중 제어가 필요합니다.
정치에 의해 저 위험 운영을 자동 해제 할 수 있습니다.
5) 특권 수준 (계층)
뷰어: 읽기 전용 집계 및 마스크 데이터.
운영자-구성을 변경하지 않고 런북 절차를 수행하십시오.
기고자-중요하지 않은 도메인에서 구성을 수정합니다.
접근 방식: 응용 프로그램 승인 및 고위험 작업 (실행과 결합되지 않음-SoD).
관리자 (JIT): 이중 제어 및 세션 기록중인 드문 작업에 대한 단기 프로모션.
6) SoD 및 호환되지 않는 역할
비 호환성의 예:- 결론을 승인합니다.
- 보너스 캠페인을 만듭니다.
- PHP 3: PHP 4: PHP 4: PHP 4: PHP 4
- PII 업로드를 요청합니다.
각 쌍에 대해-개정 날짜가있는 공식화 된 금지 및 배제 정책.
7) JIT 액세스 및 PAM
요청시 상승: 대상/티켓/용어를 지정하십시오. 만료 후-자동 리콜.
이중 제어: P1/P2 작업-다른 기능의 두 앱입니다.
세션 제어: PII 작업시 중요한 세션 기록, 이상 경고, 복사 페이스트 금지.
브레이크 글래스: 하드 제한 및 필수 사후 감사를 통한 긴급 액세스.
8) 서비스 계정 및 API 스코프
최소 범위; 단기 토큰/인증서를 분할하는 작업/마이크로 서비스.
비밀의 회전, 공유 비밀의 금지; "신 범위" 금지.
요율/할당량, demempotency 키, 웹 후크 서명 (HMAC) 에 대한 제한.
9) 인프라 수준 세분화
네트워크: 세그먼트 격리 (도메인 당/테넌트 당), 기본 출구 금지, mTLS.
Kubernetes/Cloud: 위험한 패턴을 금지하기 위해 환경 및 도메인 당 네임 스페이스/프로젝트, 게이트 키퍼/OPA.
DB/캐시: 액세스 브로커 (DB 프록시/IAM), 기본적으로 읽기 전용, 창 밖에서의 판매 금지 DDL.
리포지토리: 감사를위한 TTL 및 WORM 정책이있는 클래스 별 데이터마다 다른 키/버킷.
10) 코드로서의 정책 (PaC)
리포지토리 정책 (Rego/YAML), PR 검토, 자동 테스트 (단위/e2e), diff 감사.
동적 맥락: 시간, 위치, KRI 수준, 작업의 위험 점수.
감사 정책에 대한 허용/거부 결정 및 참조의 설명 가능성.
11) 로그 및 감사
완전성: 누가/무엇을/어디서/언제/왜, 사전/사후 값, 티켓 ID.
변경 불가: 중앙 집중식 컬렉션, WORM/불변성, 레코드 서명.
연결성: 관리자 콘솔 → API → 데이터베이스 → 외부 공급자 체인.
감사 SLA: 제어/규제 요청에 대한 응답 속도.
12) 대시 보드 및 메트릭 (KPI/KRI)
액세스 KPI: JIT 대 영구 권리, 평균 권한 기간, SoD가 적용되는%, 응용 프로그램 처리 시간, 재 인증 범위.
남용의 KRI: 민감한 작업, 대량 언로드, 비정형 위치/시간, "zayavka → deystviye → otkat" 시퀀스.
Exec-dashboard: 고위험 역할, 브레이크 글래스 이벤트, 트렌드의 상태를 추적하십시오.
13) 정책 예 (스케치)
Prod-олера지정: '{Operator, Admin} AND env = prod AND jit = 참 AND 티켓에서 역할을 수행하십시오! = ChangeWindow에서 null AND sod _ ok AND 시간'.
PII: '데이터 _ 클래스 = PII AND 접근 목적 및 목적으로 허용하십시오 <= 7d AND 암호화 = ON AND 승인> = 2'.
PSP-ро
14) 구현 로드맵 (8-12 주)
네드. 1-2: 운영/역할/데이터 인벤토리, SoD 매트릭스, 데이터 분류 및 세분화 도메인.
네드. 3-4: RBAC 기준, 역할 카탈로그, 생산 콘솔 용 JIT, PaC 시작 (OPA/게이트 키퍼).
네드. 5-6: ABAC: 테넌트/지역/환경/데이터 클래스 속성; 네임 스페이스/프로젝트 분리.
네드. 7-8: PAM (JIT 상승, 세션 기록, 브레이크 글래스), DDL 금지 및 데이터베이스 중개인, PII 수출 정책.
네드. 9-10: 고위험 운영 (결론, 보너스, PSP), 이중 제어, KRI 경고를위한 PBAC.
네드. 11-12: 분기 별 재 인증, PaC 운영에 대한 100% 고위험 범위, 보고 및 교육.
15) 유물
역할 카탈로그: 역할, 최소 권한, 소유자.
SoD 매트릭스: 호환되지 않는 역할/작업, 예외, 재정의 프로세스.
정책 팩: 테스트 및 예제가 거부/허용되는 일련의 PaC 정책.
액세스 요청 양식: 목표, 용어, 객체 (테넌트/지역/환경), 위험 평가, 앱.
민감한 작전 등록: P1/P2 작업, 창, 이중 제어 기준 목록.
감사 플레이 북: 로그 수집 및 제공, SLA 응답, 역할.
16) 안티 패턴
영구 관리자 권리 및 일반 계정.
임차인은 "편의를 위해" 접근합니다.
격리 prod/stage/dev가 없습니다.
코드/콘솔에서 시행하지 않고 종이에 대한 정책.
암호화 및 TTL없이 수동 배열로 PII 내보냅니다.
재 인증 부족 및 교수형 권리.
17) 결론
특권 분할은 단순한 "올바른 역할" 이 아닙니다. "이것은 다차원 격리 (테넌트, 지역, 환경, 데이터, 중요도) + 동적 컨텍스트 (ABAC/PBAC) + 프로세스 (SoD, JIT, 재 인증) + 기술 강압 (PaC, PAM, 네트워크/DB) 입니다. 이 루프는 오류 및 남용의 위험을 크게 줄이고 안전한 변화를 가속화하며 플랫폼을 규모 및 규제 요구 사항에 탄력적으로 만듭니다.