Dziedziczenie praw i polityk

1) Dlaczego ekosystem potrzebuje dziedziczenia

• Szybkość skalowania: Nowe węzły/produkty otrzymują znormalizowane zasady poza polem.
• Jednolitość i zgodność: Najwyższy poziom barier automatycznie działa na zasoby dziecka.
• Przejrzystość i audyt: przewidywalna kolejność stosowania, minimalizacja wyjątków.

2) Podstawowa ontologia dostępu

2. 1 Poziomy hierarchiczne

1. Organizacja/Ekosystem → Globalne bezpieczeństwo/Dane/Polityka RG.
2. Najemca/Partner → kwoty, jurysdykcje, granice danych, ograniczenia SLO.
3. Domena (zawartość, płatności, KYC, partnerzy, analityka, wydarzenia) → profil dostępu i obwodów sieci.
4. Usługa/aplikacja → API/Topicals/Storage.
5. Resource → table/topic/endpoint/secret/stream.

2. 2 Modele autoryzacji

RBAC (role): szybki, przejrzysty, dobrze odziedziczony (rola → zestaw uprawnień).
ABAC (atrybuty): elastyczność (geo, jurysdykcja, wskaźnik ryzyka, czas).
ReBAC (relacje): dostęp „do zasobów powiązanych z moimi podmiotami” (operatorzy „kampania”).
Praktyka: RBAC + ABAC hybrid, ReBAC - dla wykresów własności/kampanii.

3) Polityki, zakresy i priorytety

3. 1 Rodzaje polityk

Zezwalaj/Zaprzecz: Wprost zezwalaj/Odmawiaj.
Bariery ochronne: obowiązkowe ograniczenia (poza zakresem stosowania PII, ograniczenia wywozowe, czasowe).
Kwoty/Stawka: rps/txn/stream/event limits by najemca/channel/region.
Kontekst: geo/ASN/device/time/verification/risk scoring conditions.
Delegacja: przekazanie części praw o ograniczonym zakresie/TTL.

3. 2 Nakaz dziedziczenia i złożenia wniosku

Zaprzeczenie - po pierwsze: Zakaz jest silniejszy niż rozdzielczość.
Pierwszeństwo: „Poręcze (korzeń)> Odmowa (rodzic)> Zezwalaj (rodzic)> Odmowa (dziecko)> Zezwalaj (dziecko)”.
Shadowing: Subsidiary Permit nie anuluje parent Guardrail/Deny.
Przekroczenie przez wyjątek: Tylko pisemne „uzasadnione wyjątki” z TTL i Autofit.

3. 3 Zakresy

Org/Najemca: globalne zasady i kwoty.
Środowisko: prod/stage/piaskownica - sztywność wzrasta do prod.
Jurysdykcja: lokalizacja danych, ograniczenia RG.
Klasa danych: „Public/Internal/Confidential/PII-Sensitive/Financial”.
Działanie: czytać/pisać/admin/eksportować/podszywać się pod siebie.

4) Drzewa polityki

4. 1 Struktura

/org
/tenants/{tenantId}
/domains/{payments    kyc    content    affiliates    analytics    events}
/services/{api    broker    db    storage    sfu}
/resources/{endpoint    topic    table    bucket    secret}

Na każdym węźle: lista polityk (zezwala/odmawia/guardrail/quota/context). Odgórne dziedziczenie, lokalne zasady dodają ograniczeń, ale nie usuwają globalnych zakazów.

4. 2 Przykłady

Guardrail org-level: „PII nie może być zabierany do webhooks poza białą listą krajów”.
poziom najemcy: "operatorzy KYC z krajów X są zabronieni; Raporty eksportowe tylko agregaty.
Płatności domenowe: „Zapisz tylko przez konto usługowe z mTLS i ≤ klucz 24h”.
Serwis api: „POST/depozyty tylko z 'Idempotence-Key'”.

Temat zasobu: "Przeczytaj 'kyc _ status' tylko do usług z rolą 'KYC'. moderacja' мАБAC' zweryfikowany = true '"

5) Przekazanie uprawnień i prawa czasowe

Just-in-Time (JIT) Dostęp TTL (jednorazowego użytku).
Break-Glass: dostęp awaryjny z natychmiastowym audytem, a następnie parsing.
Scoped Tokens: minimalny zestaw 'scopes' (czytaj: topic/kyc; napisz: api/deposit) + audience/emitent.
Łańcuch zaufania: żetony cross-service związane z urządzeniem/ASN/podsieci.
Impersonacja: tylko przez usługę proxy z dziennikiem i limitami.

6) Dziedzictwo w domenach

6. 1 Płatności (PSP/APM)

Parent guardrail: "wszystkie połączenia - przez mTLS + JWS, timeout ≤ N, retras with jitter; hak obciążeń zwrotnych obowiązkowy"

Usługa dla dzieci może dodawać kwoty/pułapy do AWP/region. Zaprzeczam, żeby omijać orkiestrę.

6. 2 KYC/AML

Rodzic zaprzecza: „surowy dokument nie może być napisany do analityków”.
Spółka zależna Zezwala na: „przeniesienie tylko kategorii hash/verdict/risk”.

6. 3 Treści/Streaming

Org guardrail: „minimum bitrate and latency-SLO”.
Najemca-override: „obniżona jakość w roamingu, ale nie niższa niż SLO”.
Zasób: dostęp do określonej tabeli na żywo - tylko segmenty z RG-OK.

6. 4 Zdarzenia/EDA

Root: schematy/wersje w rejestrze, dokładnie raz w sensie biznesowym.
Domena: klucze partyjne, polityka dedup.
Serwis: kto może napisać/przeczytać temat; kwoty/opóźnienie w budżecie.

7) Prywatność i zero zaufania

Domyślnie minimalizacja i tokenizacja PII, zasady „nie można de-tokenizować poza strefami bezpiecznymi”.
Segmentacja sieci: dostawca-VPC, egress-permit-list, polityka siatki międzysystemowej.
mTLS/JWS/HMAC dla S2S i haków internetowych, klawiszy krótkotrwałych (JWKS/rotacja).

SoD (Segregacja Obowiązków): Czytaj role

Jurysdykcja: odziedziczone zasady lokalizacji, zakaz transgranicznego wywozu danych osobowych bez DPA/DPIA.

8) Obserwacja i kontrola dziedziczenia

Policy Evaluation Trace: magazyn' what policy where worked "with 'traceId'.
Dziennik diff: kto/kiedy zmienił drzewo zasad; Magazynowanie WORM.
Testy zgodności: regularne rundy scenariuszy dostępu (zezwolenie/odmowa; wywóz; impersonacja).
Ostrzeżenia: odmowa/guardrail wyzwalacze, przekroczenia kwot, próba obejścia.

9) Konflikty i ich rozwiązywanie

Zdefiniuj klasę: Zezwalaj/Zaprzecz zderzeniu, naruszeniu bariery ochronnej, przecięciu ABAC.
Zastosowanie nakazu pierwszeństwa (patrz § 3. 2).
Sklasyfikować wyjątek: tymczasowy (TTL), stały (reguła), błędny (rollback).
Dodaj artefakty: żądanie RFC/CR, link do oceny ryzyka, automatyczne kontrole w CI.

10) Anty-wzory

Podręcznik wydany bez TTL („na zawsze”).
Zezwalaj na domyślne i ciche wyjątki.
Dziedzictwo bez widocznych barier - gałęzie dziecka nakładają się na bezpieczne zasady.
Mieszanie ról (administrator = analityk = operator) - brak SoD.
Eksport surowych danych osobowych do usług osób trzecich, „tymczasowych” haków internetowych bez podpisu.
Wyłączony audyt ze szkłem.
Pływające wersje schematów: analityka/EDA podróżuje, zaprzeczanie nie działa na nowych polach.

11) Lista kontrolna projektu drzewa polityki

1. Klasyfikacja danych (Public/Internal/Confidential/PII/Financial).
2. Zdefiniuj poziomy hierarchii i właścicieli węzłów (RACI).
3. Ustaw bariery u źródła (Zero Trust, PII, RG, jurysdykcje).
4. Forma RBAC role i atrybuty ABAC; włączyć SoD.
5. Opisać zakresy (org/najemca, jurysdykcja/klasa danych/operacja).
6. Włącz delegowanie/TTL i rozbicie szkła z pętlą audytu.
7. Zapisz pierwszeństwo i konflikt (odmowa-pierwszy, proces nadrzędny).
8. Ustaw obserwowalność: ocena-ślad, diff-log, alerty.
9. Uruchom wybór zgodności i regularne opinie wyjątkowe.
10. Dokument: portal polityki, przykłady, piaskownice, symulatory.

12) Wskaźniki zapadalności

Pokrycie: udział zasobów objętych dotychczasową polityką i testami zgodności.
Drift: liczba lokalnych wyjątków/100 zasobów; średni wyjątek TTL.
SoD Score: Dzielenie się obowiązkami użytkownika.
PII Ekspozycja: liczba wywozu poza strefy bezpieczeństwa (cel = 0).
Możliwość audytu:% wniosków z oceną-śladem; MTTR według sprzeczności z dostępem.
Zmiana prędkości: czas CR według polityki z myślą o dziedziczeniu.

13) Wzory próbek (schemat)

• Odmowa: "eksport: PII", jeżeli "miejsce przeznaczenia. kraj ∉ biały "
• Wymagać: 'mTLS & JWS' dla' webhook: '
• Kontyngent: „odczytać: zdarzenie: ≤ X rps na najemcę”

• Zezwala na: 'napisz: api/deposit', jeśli 'zweryfikowany & & risk_score
• Odmowa: „direct: psp/”

• Pozwól: 'read' dla roli 'KYC. moderowanie „gdzie” jurysdykcja = = zasoby. jurysdykcja "
• Odmowa: „napisz” z wyjątkiem usługi „kyc-orchestrator”

14) Plan działania na rzecz ewolucji

v1 (Fundacja): drzewo polityki, barierki u źródła, RBAC, odmowa-pierwszy, zmiany audytu.
v2 (Integracja): ABAC, delegacja/TTL, zestaw zgodności, ocena-ślad.
v3 (Automatyzacja): automatyczne scoping według jurysdykcji/danych, policy-as-code, auto-checks w CI/CD, naruszenia auto-kwarantanny.
v4 (Zarządzanie sieciowe): międzypartyjna federacja polityk, delegacja interdyscyplinarna z podpisem kryptograficznym, bodźce prognostyczne (wskaźnik ryzyka) do przyznawania praw.

Krótkie podsumowanie

Dziedziczenie praw i polityk jest ramą bezpiecznego i szybkiego ekosystemu. Zbuduj drzewo polityki z barierkami na korzeniu, użyj odmowy pierwszeństwa i pierwszeństwa, połączyć RBAC + ABAC + ReBAC, użyj delegacji z TTL i ścisłego audytu. Automatyzuj kontrole i zarządzanie wyjątkami - masz skalowalny, zgodny i przewidywalny model dostępu dla całej sieci uczestników.