Құқықтар мен саясатты мұраға қалдыру

1) Не үшін экожүйеге мұрагерлік

• Масштабтау жылдамдығы: жаңа тораптар/өнімдер «қораптан» стандартталған саясатты алады.
• Біркелкілік және комплаенс: Жоғарғы деңгейлі guardrails автоматты түрде еншілес ресурстарға әсер етеді.
• Ашықтық және аудит: қолданудың болжамды тәртібі, ерекшеліктерді барынша азайту.

2) Қолжетімділіктің базалық онтологиясы

2. 1 Иерархиялық деңгейлер

1. Ұйым/Экожүйе → жаһандық қауіпсіздік/деректер саясаты/RG.
2. Тенант/Серіктес → квоталар, юрисдикциялар, деректер шекаралары, SLO-шектеулер.
3. Домен (контент, төлемдер, KYC, аффилиаттар, талдау, оқиғалар) → қатынау профилі және желілік периметрлер.
4. Қызмет/Қосымша → API/топиктер/сақтау орны.
5. Ресурс → кесте/топик/эндпоинт/құпия/стрим.

2. 2 Авторизация модельдері

RBAC (рөлдер): жылдам, мөлдір, жақсы мұраға қалдырылады (рөл → рұқсаттар жиынтығы).
ABAC (атрибуттар): икемділік (гео, юрисдикция, тәуекел-жылдамдық, уақыт).
ReBAC (қатынас): «менің мәніммен байланысты ресурстарға» қолжетімділік (оператор, кампания, деректер).
Практика: RBAC + ABAC, ReBAC гибриді - иелену/науқан бағандары үшін.

3) Саясат, сатып алу және басымдықтар

3. 1 Саясат түрлері

Allow/Deny: айқын рұқсат/тыйым салу.
Guardrails: міндетті шектеулер (PII out-of-scope, экспорт лимиттері, time-based).
Quotas/Rate: теңге/арна/өңір бойынша rps/txn/stream/event лимиттері.
Contextual: гео/ASN/құрылғы/уақыт/верификация/тәуекел-скоринг бойынша шарттар.
Delegation: қысылған сатып алу/TTL құқықтарының бір бөлігін беру.

3. 2 Мұрагерлік және қолданылу тәртібі

Deny-first: тыйым салу рұқсаттан күштірек.
Precedence: `Guardrails (root) > Deny (parent) > Allow (parent) > Deny (child) > Allow (child)`.
Shadowing: еншілес Allow ата-аналық Guardrail/Deny-ді болдырмайды.
Override ерекшеліктер бойынша: тек жазбаша ресімделген «justified exceptions» TTL және автотүсіріліммен.

3. 3 Сатып алу

Org/Tenant: жаһандық ережелер мен квоталар.
Environment: prod/stage/sandbox - қаттылық prod өседі.
Jurisdiction: деректерді оқшаулау, RG шектеулері.
Data Class: `Public/Internal/Confidential/PII-Sensitive/Financial`.
Operation: read/write/admin/export/impersonate.

4) Саясаткерлер ағаштары (Policy Trees)

4. 1 Құрылымы

/org
/tenants/{tenantId}
/domains/{payments    kyc    content    affiliates    analytics    events}
/services/{api    broker    db    storage    sfu}
/resources/{endpoint    topic    table    bucket    secret}

Әрбір торапта: саясаттар тізімі (allow/deny/guardrail/quota/context). Мұрагерлік жоғарыдан төмен, жергілікті саясаткерлер шектеулер қосады, бірақ жаһандық тыйымдарды алып тастамайды.

4. 2 Мысалдар

Guardrail org-level: «PII-ді елдердің ақ тізімінен тыс вебхукке шығаруға болмайды».
Tenant-level: "X елдерінің KYC-операторларына тыйым салынған; Тек агрегаттар ғана есептерді экспорттайды.
Domain payments: «Write mTLS және ≤ 24 сағат кілті бар сервис-аккаунт арқылы ғана».
Service api: "POST/deposits тек 'Idempotency-Key'.
Resource topic: «KYC _ status» тек қана KYC рөліндегі қызметтерге оқу. moderation` и ABAC `verified=true`».

5) Өкілдік ету және уақытша құқықтар

Just-in-Time (JIT) Access: орындау уақытына беру (TTL, single-use).
Break-Glass: жедел аудитпен және кейіннен талдаумен шұғыл қол жеткізу.
Scoped Tokens: ең аз 'scopes' жиынтығы (read: topic/kyc; write:api/deposit) + audience/issuer.
Chain-of-Trust: құрылғыға/ASN/кіші желіге байланыстырылған қызмет аралық токендер.
Impersonation: журнал мен лимиттері бар прокси-сервис арқылы ғана.

6) Домендерде мұрагерлік

6. 1 Төлемдер (PSP/APM)

Ата-аналық guardrail: "барлық шақырулар - mTLS + JWS, N ≤ таймаут, джиттермен ретра арқылы; чарджбек-хук міндетті".
Еншілес сервис АЖО/аймаққа квота/капс қосуы мүмкін. Deny оркестраторды айналып өтіп тікелей шақыруға.

6. 2 KYC/AML

Ата-ана Deny: «шикі құжатты талдауға жазуға болмайды».
Еншілес Allow: «тек hash/үкім/тәуекел санатын беру».

6. 3 Мазмұн/стриминг

Org guardrail: «ең аз битрейт және latency-SLO».
Tenant-override: «роумингтегі сапаның төмендеуі, бірақ SLO-дан төмен емес».
Resource: нақты бір live-үстелге қол жеткізу - тек RG-OK сегменттері.

6. 4 Оқиғалар/EDA

Root: бизнес-мағынасы бойынша in-registry, exactly-once схемалары/нұсқалары.
Domain: партия кілті, дедуп-саясат.
Service: топикті кім жаза алады/оқи алады; quotas/lag-budget.

7) Құпиялылық және Zero Trust

PII-минимизация және әдепкі токенизация, саясат «сейф-аймақтан тыс де-токенизациялауға болмайды».
Желілерді сегменттеу: vendor-VPC, egress-allow-list, қаптың аймақаралық саясаты.
mTLS/JWS/HMAC S2S және вебхуктер үшін, қысқа өміршең кілттер (JWKS/rotation).
SoD (Segregation of Duties): оқу рөлі ≠ әкімшілік рөлі ≠ кілттерді шығару рөлі.
Юрисдикциялар: мұраға қалдырылған оқшаулау ережелері, DPA/DPIA-сыз ПД-ның трансшекаралық экспортына тыйым салу.

8) Байқау және мұрагерлік аудиті

Policy Evaluation Trace: «қай жерде қандай саясат жұмыс істеді» журналы с 'traceId'.
Diff-лог: саясаткер ағашын кім/қашан өзгертті; WORM сақтау орны.
Conformance-тестілер: қатынау сценарийлерінің тұрақты прогондары (allow/deny; export; impersonation).
Алерттар: deny/guardrail іске қосылуы, квоталардың асып кетуі, айналып өтуге тырысу.

9) Жанжалдар және оларды шешу

Сыныпты анықтау: Allow/Deny коллизиясы, guardrail бұзылуы, ABAC-шарттардың қиылысы.
Precedence тәртібін қолдану (қараңыз § 3. 2).
Ерекшелікті жіктеу: уақытша (TTL), тұрақты (ереже), қате (rollback).
Артефактілерді енгізу: RFC/CR-өтінім, тәуекел-бағалауға сілтеме, CI-ге автотіркеу.

10) Қарсы үлгілер

Қолмен берілген құқықтар TTL-сіз («мәңгі»).
Allow әдепкі және «үнсіз» ерекшеліктер.
Көзге көрінбейтін guardrails - еншілес тармақтары қауіпсіз ережелерді жабады.
Рөлдерді араластыру (әкімші = талдаушы = оператор) - SoD жоқ.
Шикі ПД-ларды басқа сервистерге экспорттау, қолтаңбасы жоқ «уақытша» веб-хаттар.
break-glass кезінде өшірілген аудит.
Схемалардың қалқымалы нұсқалары: талдау/EDA таратылады, deny жаңа өрістерге жұмыс істемейді.

11) Саясаткер ағашын жобалаудың чек-парағы

1. Деректерді (Public/Internal/Confidential/PII/Financial) жіктеңіз.
2. Тораптардың (RACI) иерархиясы мен иелерінің деңгейлерін анықтаңыз.
3. Түбірімен guardrails орнатыңыз (Zero Trust, PII, RG, юрисдикция).
4. RBAC рөлдерін және ABAC төлсипаттарын қалыптастырыңыз; SoD қосыңыз.
5. Сатып алуларды сипаттаңыз (org/tenant/env/jurisdiction/data class/operation).
6. / TTL делегациясын және аудиторлық шлейфі бар break-glass қосыңыз.
7. precedence және конфликтологияны (deny-first, override-процесс) жазыңыз.
8. Бақылауды анықтаңыз: evaluation-trace, diff-лог, алерталар.
9. conformance жиынын іске қосыңыз және тұрақты өшіру.
10. Құжаттаңыз: саясаткерлер порталы, мысалдар, құмсалғыштар, симуляторлар.

12) Жетілу метрикасы

Coverage: мұраға қалдырылған саясаттармен және конформанс-тесттермен қамтылған ресурстардың үлесі.
Drift: жергілікті ерекшеліктер/100 ресурстар саны; орташа TTL ерекшеліктері.
SoD Score: міндеттерді бөлумен пайдаланушылардың үлесі.
PII Exposure: сейф-аймақтан тыс экспорттар саны (мақсатты = 0).
Auditability: evaluation-trace сұрауларының%; Қатынас қайшылықтары бойынша MTTR.
Change Velocity: CR уақыты мұрагерлікке байланысты.

13) Үлгілердің үлгілері (схемалық)

• Deny: `export:PII` if `destination. country ∉ whitelist`
• Require: `mTLS && JWS` for `webhook:`
• Quota: `read:event: ≤ X rps per tenant`

• Allow: `write:api/deposit` if `verified && risk_score < T && geo ∈ allowed`
• Deny: `direct:psp/`

• Allow: `read` for role `KYC. moderation` where `jurisdiction == resource. jurisdiction`
• Deny: `write` except service `kyc-orchestrator`

14) Эволюцияның жол картасы

v1 (Foundation): саясат ағашы, түбіріндегі guardrails, RBAC, deny-first, өзгерістер аудиті.
v2 (Integration): ABAC, жіберу/TTL, conformance-жиынтық, evaluation-trace.
v3 (Automation): юрисдикция/деректер бойынша авто-скоупинг, policy-as-code, CI/CD автотіркеулер, бұзушылықтардың автокарантині.
v4 (Networked Governance): Әріптесаралық саясат федерациясы, кросс-тенант крипто қол қоюмен жіберу, құқықтарды беру үшін болжамды кеңестер (тәуекел-скор).

Қысқаша түйіндеме

Құқықтар мен саясаттың мұрасы - бұл қауіпсіз және жылдам экожүйенің қаңқасы. Түбірінде guardrails бар policy-tree жасаңыз, deny-first және precedence қолданыңыз, RBAC + ABAC + ReBAC біріктіріңіз, TTL-мен делегациялауды және қатаң аудитті пайдаланыңыз. Тексерулер мен басқаруды автоматтандырыңыз - және сізде қатысушылардың бүкіл желісі үшін масштабталатын, комплаентті және болжамды қол жеткізу моделі болады.