Identity & Access Management

Кыскача резюме

IAM - бул процесстердин, саясаттардын жана инструменттердин жыйындысы, ким эмнеге, кандай шарттарда жана кантип көзөмөлдөнөт. Максаттары: ашыкча укуктарды минималдаштыруу, чабуулдун бетин азайтуу, онбординг жана аудитти тездетүү, талаптарга шайкештик (PCI DSS, GDPR ж.б.) жана жеткиликтүүлүктүн өлчөнүүчү ишенимдүүлүгү.

Негизги түшүнүктөр

Identity: адам (кызматкер, подрядчы), кызмат/колдонмо, түзмөк.
Authentification (AuthN): текшерүү "ким" (сырсөз → MFA → сырсөз схемалар FIDO2/passkeys).
AuthZ: чечим "уруксат берилген" (RBAC/ABAC/ReBAC, саясат).
Каттоо маалыматтары (Credentials): сырсөздөр, ачкычтар, токендер, сертификаттар (mTLS).
Жашыруун башкаруу: KMS/HSM/Vault, айлануу, кыска TTL, динамикалык сырлар.
Жашоо цикли: Joiner-Mover-Leaver (JML) - түзүү, ролдорду өзгөртүү, кайра карап чыгуу.

Максаттуу IAM архитектурасы

Тегиздиктер жана ролдору:

IdP (ID провайдери): SSO, MFA, каталог, федерация (OIDC/SAML), тобокелдик саясаты.
PDP/PEP: Decision/Enforcement - саясаттын кыймылдаткычы (OPA/Cedar) + колдонмо пункттары (API-шлюздар, прокси, сервис-меш).
Каталогдор/HR-системасы: кызматкерлер жана ролдор боюнча чындыктын булагы.
Провижининг: SCIM/Automation үчүн түзүү/өзгөртүү/кайра чакыртып алуу.
Аудит: борборлоштурулган Логи, UEBA, ролу жана жетүү боюнча отчеттор.

Кирүү агымы (колдонуучу → колдонмо):

SSO (+ MFA) → токен чыгаруу (OIDC/JWT/SAML) → PEP токен/контекстти текшерет → PDP саясаты боюнча чечим кабыл алат (ролу/атрибуттары/тобокелдик) → колдонмо берет/кирүүдөн баш тартат.

Аутентификация: сырсөздөн passkeys

Сырсөздөр: сырсөздөрдүн менеджерлери менен гана, 12-14 символдон кем эмес, "календар боюнча" ротациясыз, бирок окуя болгон учурда милдеттүү түрдө.
MFA демейки: TOTP/WebAuthn/Push; негизги жагдай катары SMS качуу.
Сырсыз кирүү: критикалык домендер үчүн FIDO2/passkeys.
Adaptive AuthN: тобокелдик сигналын эске алуу (гео, ASN, түзмөк, аномалиялар) → кошумча факторду талап/бөгөт коюу.

Авторизация: RBAC, ABAC, ReBAC

RBAC: функцияларга туура келген ролдор (Support, Finance, DevOps). Жөнөкөй жана түшүнүктүү, бирок "өсөт".
ABAC: атрибуттар боюнча эрежелер (бөлүм, тобокелдик деңгээли, убакыт, аймак, ресурстардын белгилери). Масштабдуу.
ReBAC: мамилелер "ким таандык" (долбоордун ээлери, команда мүчөлөрү). Көп тенанттуу сценарийлер үчүн ыңгайлуу.

Мыкты тажрыйбалар:

RBAC (негизги тор) + ABAC/ReBAC (контекст/чек) айкалыштыруу.
JIT (Just-In-Time): өтүнүч/өтүнүч аркылуу убактылуу артыкчылыктарды берүү, автоматтык кайра чакыртып алуу.
JEA (Just-Enough Access): операцияга минималдуу жетиштүү укуктар.
PAM: обочолонгон "күчтүү" жетүү (DD/булуттар башкаруу) менен брокердик сессиялар, экран/команда жазуу жана кыска кредиттер берүү.

Федерация жана SSO

Протоколдор: OIDC (JWT-белгилер), SAML 2. 0 (XML assertions) - тышкы провайдерлер/өнөктөштөр үчүн.
SSO: MFA менен бирдиктүү кирүү чекити, фишингди азайтуу, борборлоштурулган кайра карап чыгуу.
B2B/B2C: өнөктөштөр менен Киргизия, аймактарды чектөө, домен саясаты.
mTLS/m2m: кызматтар үчүн кыска x.509 (SPIFFE/SVID) же OAuth2 Client Credentials колдонуңуз.

Жашоо цикли (JML) жана провижининг

Joiner: HR/каталогдон автоматтык SCIM-провижининг аккаунттары жана негизги ролдору.
Mover: ролдор атрибуттар боюнча автоматтык түрдө өзгөрөт (бөлүм, долбоор, орун).
Leaver: SSO, ачкычтарды, токендерди, репозиторийлерге/булуттарга/CI/CD кирүү мүмкүнчүлүгүн дароо чакыртып алуу.
Процесстер: Кирүү өтүнмөлөрү (ITSM), SoD матрицасы (милдеттерди бөлүштүрүү), мезгилдүү access review.

Сырлар, ачкычтар жана айлануу

KMS/HSM: Негизги/маанилүү ачкычтарды сактаңыз, операцияларды текшерүүнү күйгүзүңүз.
Vault/Secrets-менеджерлер: динамикалык credoms (DD, булуттар), TTL аяктагандан кийин auto-revok.
Ротациялар: OAuth токендери, JWT кол тамга ачкычтары, кызматтын сырсөздөрү - график боюнча жана инциденттерде.
mTLS: кыскача күбөлүк (саат/күн), автоматтык кайра чыгаруу.

Саясаттар жана чечимдердин кыймылдаткычы

Декларативдүүлүк: саясатты Git; CI (policy-tests) текшерүү.
Контекст: убакыт/жайгашкан жери/ASN/тобокелдик деңгээли/аппараттын абалы (MDM/EDR).

Мисал (Rego, жөнөкөйлөштүрүлгөн):

rego package authz. payments default allow = false

allow {
input. user. role == "finance"
input. device. compliant == true input. action == "read"
input. resource. type == "report"
time. now_hh >= 8 time. now_hh <= 20
}

Мониторинг, SLO жана аудит

Метрикасы:

AuthN/AuthZ ийгилиги (%), p95 логин убакыт/чечим, MFA/сырсөздүү кириш үлүшү.
JIT/PAM эскалацияларынын саны, артыкчылыктардын орточо узактыгы.
compliant-түзмөктөрдү жабуу, кыска сырлардын үлүшү.

SLO (мисалдар):

SSO/IdP жеткиликтүүлүгү ≥ 99. айына 95%.
p95 AuthZ decision ≤ 50 мс.
100% Off эсеп ≤ offboarding кийин 15 мүнөт.
Аудит жана UEBA: борборлоштурулган өзгөрүлбөгөн логиндер (жеткиликтүүлүк, ролду өзгөртүү, ийгиликсиз кирүү, PDP чечимдери), жүрүм-турум аналитикасы жана аномалиялар боюнча тынчсыздануу.

IAM окуя-респонс

Токендердин/ачкычтардын компромисстери: дароо кайра чакыртып алуу, мажбурлап жазуу, кол тамга ачкычтарын айлантуу, кыска сырларды кайра чыгаруу.
Укуктарды кыянаттык менен пайдалануу: эсепти токтотуу, JIT/JEA бөгөттөө, кошуна жактары боюнча access review жүргүзүү.
IdP жеткиликтүү эмес: оффлайн режимдери (кыска TTL менен токендерди убактылуу кэш-валидациялоо), артыкчылыктуу калыбына келтирүү процедуралары.
Фишинг: милдеттүү MFA, сессияларды тобокелдик-текшерүү, колдонуучуларга билдирүүлөр, окутуу.

Булуттар жана Kubernetes (үлгүлөрү)

Коомдук Cloud IAM: least privilege принциби менен жергиликтүү ролдорду колдонуу; ордуна "түбөлүк" ачкычтар - булут OIDC-Киргизия менен иш жүктөмү (IRSA/Workload ID).
Kubernetes: неймспейс/ролдору боюнча RBAC, чектөө 'cluster-admin'; сырлар - тышкы менеджерлер аркылуу; L7-саясатчылар үчүн кызмат меш + OPA; Admission контроллерлор (кол коюлган сүрөттөр, тыюу ": latest").
API шлюз: текшерүү JWT/mTLS, ылдамдык чектөөлөрү, кол коюу суроо (HMAC) сезгич end point үчүн.

iGaming/Fintech үчүн практика

Кирүү домендери: төлөмдөр, антифрод, PII, контент-провайдерлер - ролдор жана тармактык сегменттер менен обочолонуу.
SoD: карама-каршы ролдорду айкалыштырууга тыюу салуу (мисалы, промо түзүү + төлөмдөрдү бекитүү).
PAM жана JIT: PSP/банктарга жана прод-БДга кирүү үчүн - сессиялардын брокери аркылуу гана, жазуу жана авто-сын менен.
Комплаенс: PCI DSS - МФА, минималдуу артыкчылыктар, CHD зонасын сегменттөө; GDPR - берилиштерди минималдаштыруу принциби жана PII кирүү пункттары.
Өнөктөштөр жана контент провайдерлери: федерация жана per-tenant саясаты; кыска токендер жана IP/ASN allow-list.

Типтүү каталар

"Түбөлүк" ачкычтар жана токендер: эч кандай айлануу жана TTL → жогорку агып чыгуу коркунучу.
Кол offboarding: укуктарды чакыртып алуудагы кечигүүлөр → "элес" жетүү.
Роль-монолиттер: композиция жана атрибуттардын ордуна бир "супер-роль".
МФА админкте гана: МФА бардык кирүү жана критикалык операциялар үчүн болушу керек.
Логи "эч жерде": борборлоштуруу жана UEBA жок → кийин окуя аныктоо.

Жол картасы IAM киргизүү

1. Колдонуучуларды/кызматтарды/ресурстарды инвентаризациялоо; маалыматтар жана сезгичтик картасы.
2. бардык үчүн SSO + MFA, phishing-resistant факторлорду камтыйт.
3. Ролдордун модели: базалык RBAC + контексттин атрибуттары (ABAC); SoD матрицасы.
4. Провижининг SCIM: HR/каталогдон автомобиль куруу/өзгөртүү/укуктарды кайра чакыртып алуу; ITSM арыздар жана апельсин.
5. PAM жана JIT/JEA: артыкчылыктуу жетүү үчүн; сессияларды жазуу, кыска TTL.
6. Жашыруун-менеджмент: статикалык ачкычтардан баш тартуу; динамикалык сырлар, айлануу, mTLS кыска күбөлүктөр менен.
7. Git + CI саясаттары: эрежелерди сыноо, өзгөрүүлөрдү көзөмөлдөө, саясат канарейка жайылтуу.
8. байкоо жана SLO: AuthN/AuthZ dashboard, Алерт, үзгүлтүксүз access review.

Артефакттардын мисалдары

AWS IAM Policy (S3 отчетторду окуу үчүн минималдуу)

json
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "ReadOnlyReports",
"Effect": "Allow",
"Action": ["s3:GetObject","s3:ListBucket"],
"Resource": [
"arn:aws:s3:::reports-bucket",
"arn:aws:s3:::reports-bucket/"
],
"Condition": {
"IpAddress": { "aws:SourceIp": "203. 0. 113. 0/24" }
}
}]
}

Kubernetes RBAC (namespace-scoped иштеп чыгуучу)

yaml apiVersion: rbac. authorization. k8s. io/v1 kind: Role metadata:
name: dev-read-write namespace: app-prod rules:
- apiGroups: ["","apps"]
resources: ["pods","deployments","services","configmaps"]
verbs: ["get","list","watch","create","update","patch","delete"]
apiVersion: rbac. authorization. k8s. io/v1 kind: RoleBinding metadata:
name: dev-bind namespace: app-prod subjects:
- kind: User name: alice@example. com roleRef:
kind: Role name: dev-read-write apiGroup: rbac. authorization. k8s. io

OIDC: ABAC үчүн билдирүүлөр (мисал)

json
{
"sub": "d81f0b5c-...",
"email": "bob@example. com",
"dept": "finance",
"role": "analyst",
"device_compliant": true,
"tenant": "casino-eu"
}

Саясат ресурс менен дал келген 'device _ compliant = true' жана 'tenant' талап кылышы мүмкүн.

Контролдук тизме (check-list)

SSO бардык тиркемелер үчүн киргизилген; MFA демейки, passkeys артыкчылыктуу болуп саналат.
RBAC аныкталган; ABAC/ReBAC контекст кошуу; JIT/JEA ишке ашырылган.
PAM артыкчылыктуу жетүү коргойт; сессиялар жазылып турат.
HR тартып SCIM-камсыз кылуу; offboarding толугу менен автоматташтырылган.
динамикалык сырлар, кыска TTL менен; автоматташтырылган.
Саясатчылар Git версияланган, CI сыналган; канареалык эсептөөлөр бар.
AuthN/AuthZ боюнча Dashboard жана SLO; борборлоштурулган Логи жана UEBA.
Мезгил-мезгили менен access review жана SoD текшерүү; комплаенс үчүн отчеттор.

FAQ

ReBAC баарына керекпи?
Жок. Жөнөкөй чөйрөлөр үчүн RBAC + ABAC жетиштүү. ReBAC ресурстарга ээлик кылуунун татаал иерархиясы менен пайдалуу.

Жергиликтүү эсептерди калтырууга болобу?
Катуу чектөөлөр жана мезгил-мезгили менен текшерүү менен гана break-glass жана оффлайн сценарийлери үчүн.

Кантип "ролдорду жардыруу" кыскартуу керек?
Ресурстардын гранулдуулугун жогорулатуу, AVAS/шаблондорду колдонуу, ревлюны автоматташтыруу жана колдонулбаган ролдордон баш тартуу.

Жыйынтык

Жетилген IAM архитектура - бул SSO + MFA, минималдуу зарыл укуктар, автоматташтырылган JML, борборлоштурулган саясат жана байкоо. RBACди атрибуттук жана реляциялык моделдер менен айкалыштыруу, JIT/JEA жана PAMди колдонуу, ошондой эле провижинингди жана сырларды ротациялоону автоматташтыруу менен сиз башкарылуучу, текшерилүүчү жана масштабдуу кирүү мүмкүнчүлүгүнө ээ болосуз, коопсуздук жана бизнес талаптарына жооп берет.