RBAC: ролдорду жана уруксаттарды башкаруу

1) RBAC максаттары жана принциптери

Максаты: акчаны/PIIди коргоо жана талаптарды (GDPR/AML/PCI/ISO) сактоо үчүн башкарылуучу, текшерилүүчү жана көлөмү боюнча минималдуу жеткиликтүүлүктү камсыз кылуу.
Least Privilege· Need-to-Know· Duties of Separation (SoD)· Zero Trust· Revocability (тез кайра чакыртып алуу)· Auditability (далилдөө).

2) Укуктардын жана ролдордун таксономиясы

Укуктардын түрлөрү (permissions):

Маалыматтар: 'READ', 'WRITE', 'EXPORT', 'DELETE', 'MASKED _ READ' (PII үчүн демейки).
Операции: `APPROVE_WITHDRAWAL`, `CHANGE_FRM_RULE`, `KYC_DECISION`, `SANCTIONS_OVERRIDE`.
Админ: `ROLE_UPDATE`, `USER_PROVISION`, `SECRET_ROTATE`, `BREAK_GLASS`.
Интеграция: 'API _ CALL:', 'WEBHOOK _ SIGN', 'SERVICE _ CONFIG _ UPDATE'.

Ролдор класстары:

Core (сквозные): `employee_basic`, `viewer_internal`, `auditor_privacy`.
Доменные: `support_agent`, `vip_manager`, `payments_ops`, `aml_officer`, `kyc_operator`, `fraud_analyst`, `rg_specialist`, `bi_analyst`.
Системалык/техникалык: 'devops _ admin', 'dba _ admin', 'service _ account _', 'read _ only _ prod'.
Артыкчылыктуу (PAM/JIT аркылуу): 'break _ glass _ admin', 'prod _ db _ jit _ editor'.

3) Ролдорду долбоорлоо (role engineering)

1. Ресурстарды инвентаризациялоо: системалар/таблицалар/пункттар, маалымат класстары (Public/Internal/Confidential/Restricted/Highly Restricted).
2. User stories функциялары боюнча: ким эмне кылат жана эмне үчүн (purpose).
3. Mapping милдеттери → permissions: ар бир милдети үчүн минималдуу топтому.
4. Ролдо топтоо: бир ролу = бир жоопкерчилик домени; "супер ролдордон" качыңыз.
5. SoD сыноо: шайкештикти текшерүү (мисалы, 'payments _ ops' ≠ 'fraud _ rule _ admin').
6. Учкуч жана өлчөө: убактылуу чектелген топко беребиз, аудитордук изди чогултабыз.
7. Версиялоо: ролдун ар бир өзгөрүшү - changelog менен CAB аркылуу.

4) RBAC өз ара ABAC SoD

RBAC жооп берет "ким негизинен алат", ABAC - "кандай шарттарда" (чөйрө, гео, түзмөк/MDM, убакыт, KYC деңгээл, 'purpose').
SoD ролдорду коркунучтуу айкалыштырууга тыюу салат жана критикалык иш-аракеттер үчүн 4-eyes талап кылат.
Practice: демейки ролдору PII MASKED_READ берет; Жашырынбаган кирүү үчүн 'purpose' + JIT атрибуту жана ABAC саясатынын оң чечими талап кылынат.

5) Көп ижара жана геоконтекст

Tenant-scope: ролдор ижара/бренд/юрисдикция менен байланышкан ('role: payments _ ops @EEA').
Geo-keys: жеке шифрлөө баскычтары жана per аймактын кирүү сегменттери (EC/UK/...).
Гранулярдуулук: 'region _ code' (RLS) жана оюнчунун юрисдикциясы боюнча чыпкалоо.

6) Row/Column-Level коопсуздук жана камуфляж

Стратегия:

RLS (саптар): гана өлкө/бренд/команда жазууларына жетүү.
CLS (мамычалар): сезгич талаалар жашыруун жеткиликтүү; маскасы жок - 'pii _ unmask' + 'purpose' артыкчылыгы менен гана.

Мини-мисал (SQL-идея):

sql
CREATE POLICY rls_tx
ON dwh. transactions
USING (region_code = current_setting('app. region'));

SELECT
CASE WHEN has_priv('pii_unmask') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

7) JIT, break-glass и PAM в RBAC

JIT: убактылуу артыкчылыктуу ролу (15-120 мин) үчүн билет; автоматтык кайра чакыртып алуу; толук аудит.
Break-glass: MFA + экинчи ырастоо жана сессия жазуу менен шашылыш кирүү; Security + DPO менен пост-ревю.
PAM: жашыруун сактоо, сессия прокси, сырсөздөрдү/ачкычтарды айлантуу.

8) Жашоо ролу (SOP)

SOP-1: Түзүү/ролун өзгөртүү

1. домен ээсинин суроо → тапшырмалар тизмеси → mapping permissions → SoD чек → учкуч → CAB → релиз + документтер.

SOP-2: Суроо-талап жана жеткиликтүүлүк

1. Арыз (IDM/ITSM) менен 'purpose' жана мөөнөтү → auto-текшерүү SoD/юрисдикция → маалымат ээсинин макулдугу + коопсуздук (Restricted + үчүн) → берүү (көбүнчө JIT) → реестрине жазуу.

SOP-3: Кароо/оффбординг

Триггерлер: бошотуу, ролун өзгөртүү, иш-аракет жок> 30/60 күн, мөөнөтү JIT.
Автоматтык карап чыгуу жана журнал.

SOP-4: Кайра тастыктоо

Квартал сайын ээлери колдонуучулардын ролдору дагы эле керек экенин ырасташат; "илинип турган" укуктарды алып салат.

9) Ролдор матрицасынын мисалы (фрагмент)

Ролу	Уруксат базасы	Маскировка	Сынчыл аракеттер	SoD чыр-чатак
`support_agent`	READ профилдер, билеттер	Ооба (PII masked)	—	с `kyc_operator`
`vip_manager`	READ VIP, бонустар	Ооба	—	с 'payments _ ops' (жактыруулар)
`payments_ops`	APPROVE_WITHDRAWAL, VIEW_TX	PII masked	`PAYMENT_APPROVE` (4-eyes)	с `fraud_rule_admin`
`fraud_analyst`	VIEW_RULES, HOLD_TX	PII masked	`CHANGE_FRM_RULE`	с `payments_ops`
`kyc_operator`	KYC_DECISION	Документтер masked (view-once via JIT)	`KYC_APPROVE`	с `support_agent`
`bi_analyst`	READ агрегаттар	Дайыма masked	'EXPORT' терезелер аркылуу	с `dba_admin`
`devops_admin`	infra admin	—	`BREAK_GLASS`	бизнес ролдору менен

10) Инструменттер жана сатуу (үлгүлөр)

Ролдордун каталогу код катары: Кампадагы YAML/JSON + CI-валидаторлор, changelog.
Борбордук IdP/SSO: SCIM-провиженинг, group 'group → role'.
Policy decision point: контексттин атрибуттары менен саясат кыймылдаткыч (ABAC).
Secrets/KMS: per чөйрө/аймак/тенант ачкычтарын изоляциялоо.
Data Gateway: DWH/BI/экспорттор үчүн бирдиктүү катмар жашыруу/аудит.
SIEM/SOAR: корреляция 'ROLE _ UPDATE '/' READ _ PII '/' EXPORT _ DATA', авто-билеттер.

11) Аудит жана журнал жүргүзүү

Обязательные события: `ROLE_ASSIGN`, `ROLE_REVOKE`, `ROLE_UPDATE`, `BREAK_GLASS`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `KYC_DECISION`.
Талаптар: WORM көчүрмөсү, хэш-чынжыр, кол топтомдору, ар бир иш-чарага 'purpose '/' ticket _ id', убакыт синхрондоштуруу.

12) Метрика жана KPI/KRI

Coverage: RBAC астында системалардын% ≥ 95%.
SoD violations: = 0; туура келбеген ролдорду ыйгаруу аракети - авто-блок.
JIT rate: ≥ 80% жогорулатуу JIT катары барат.
Offboarding TTR: укуктарды кайра чакыртып алуу ≤ 15 мин.
Masked reads ratio: ≥ 95% PII кайрылуулар - masked.
Recertification: 100% ролдору чейрек сайын тастыкталган.
Exports signed: 100% кол/журнал менен экспорт.

13) RACI (кеңейтилген)

Активдүүлүк	Compliance/Legal	DPO	Security	SRE/IT	Data/BI	Product/Eng	Domain Owner
RBAC/SoD саясаты	A/R	C	C	C	C	C	C
Ролдордун/укуктардын дизайны	C	C	A/R	R	R	R	R
ABAC/JIT/PAM	I	I	A/R	R	I	C	I
Кайра сертификациялоо	C	C	A	R	R	R	R
Экспорт/жашыруу	C	A	R	R	R	C	C

14) Чек-баракчалар

ролун түзүү алдында

user-stories жана 'purpose' сүрөттөлгөн
Ресурстардын жана маалымат класстарынын тизмеси
Mapping минималдуу permissions
SoD-текшерүү/чыр-чатактар
Жашыруу саясаты жана RLS/CLS
Кайра тастыктоо планы жана ээлери

Кирүү алдында

белгиленген 'purpose' жана мөөнөтү
SoD/юрисдикция/MDM/MFA аткарылган
демейки жашырып, JIT жогорулатуу
Журнал жана кайра карап чыгуу күнү киргизилген

15) Тез-тез каталар жана анти-үлгүлөрү

"Superroll" ордуна чакан домендик кенен укуктар менен.
PII маскасын жана 'purpose' жок түздөн-түз жетүү.
Жок SoD/төртүнчү көз үчүн 'PAYMENT _ APPROVE '/' KYC _ APPROVE'.
Убактылуу укуктарды "биротоло" узартуу.
Прод-маалыматтарды dev/stage.
Кол тамгасы жана журналы жок тунук эмес экспорт.

16) Ишке ашыруунун жол картасы

Жумалар 1-2: ресурстарды инвентаризациялоо/маалыматтарды классификациялоо; ролдордун кара матрицасы; SoD-стол.
Жуманын 3-4: RBAC коду (кампа), IdP тобу/SCIM, ABAC кыймылдаткыч (негизги атрибуттары: айлана-чөйрө/гео/MDM/убакыт), JIT/PAM, DWH/BI үчүн маска катмары.
2-ай: кайра тастыктоо, offboarding автоматташтыруу, RBAC/SoD/ABAC, экспорттук журналдар/WORM үчүн SOAR-Алерт.
Ай 3 +: кеңейтүү атрибуттары (тобокелдик түзмөк, KYC-деңгээл), bias-аудит кирүү, наркы оптималдаштыруу жана үзгүлтүксүз tabletop-машыгуу.

TL; DR

Күчтүү RBAC = майда домендик ролдор + атрибуттук шарттар (ABAC) + SoD жана JIT/PAM + маскировка жана RLS/CLS + катуу аудит жана кайра тастыктоо. Бул агып чыгуу/кыянаттык коркунучун азайтат, аудитти тездетет жана купуялык жана комплаенс талаптарынын чегинде платформаны кармап турат.

RBAC: ролдорду жана уруксаттарды башкаруу

Кирүү алдында

TL; DR

Биз менен байланышыңыз

Ыкчам байланыш

Видео жакында жаңыртылат

Азыр биз долбоорлор менен абдан алекпиз