GH GambleHub

RBAC: zarządzanie rolami i uprawnieniami

1) Cele i zasady RBAC

Cel: Zapewnienie możliwości zarządzania dostępem, jego zweryfikowalności i minimalnej objętości w celu ochrony pieniędzy/PII i zgodności (RODO/AML/PCI/ISO).
Zasady: najmniejszy przywilej· Need-to-Know· Separation of Duties (SoD)· Zero Trust· Cofalność (quick recall)· Auditability (provability).

2) Taksonomia praw i ról

Rodzaje uprawnień:
  • Dane: 'READ', 'WRITE', 'EXPORT', 'DELETE', 'MASKED _ READ' (domyślnie dla PII).
  • Оверавий: „APPROVE _ WITHDRAWAL”, „CHANGE _ FRM _ RULE”, „KYC _ DECISION”, „SANCTIONS _ OVERRIDE”.
  • Адмий: „ROLE _ UPDATE”, „USER _ PROVISION”, „SECRET _ ROTATE”, „BREAK _ GLASS”.
  • Integracje: 'API _ CALL:', 'WEBHOOK _ SIGN', 'SERVICE _ CONFIG _ UPDATE'.
Klasy ról:
  • Rdzeń (сквобна): „employee _ basic”, „viewer _ internal”, „auditor _ privacy”.
  • Добенна: 'support _ agent', 'vip _ manager', 'payments _ ops',' aml _ officer ',' kyc _ operator ',' fraud _ analyst ',' rg _ specialist ',' bi _ analyst '.
  • System/te: 'devops _ admin', 'dba _ admin', 'service _ account _',' read _ only _ prod'.
  • Uprzywilejowany (poprzez PAM/JIT): 'break _ glass _ admin', 'prod _ db _ jit _ editor'.

3) Inżynieria roli

1. Wykaz zasobów: systemy/tabele/punkty końcowe, klasy danych (publiczne/wewnętrzne/poufne/ograniczone/ściśle ograniczone).
2. Historie użytkowników według funkcji: kto robi co i dlaczego (cel).
3. Mapowanie zadań → uprawnienia - minimalny zestaw na funkcję.
4. Grupowanie w roli: jedna rola = jedna dziedzina odpowiedzialności; unikać „super ról”.
5. Badanie SoD: sprawdzenie niezgodności (np. „pavements _ ops',” „fraud _ rule _ admin”).
6. Pilot i pomiar: wydajemy tymczasowo ograniczoną grupę, zbieramy ścieżkę audytu.
7. Wersioning: Każda zmiana roli odbywa się za pośrednictwem CAB z changelogiem.

4) Interakcja RBAC i ABAC

RBAC odpowiada „kto w zasadzie może”, ABAC - „w jakich warunkach” (środowisko, geo, urządzenie/MDM, czas, poziom KYC, 'cel').
SoD zakazuje niebezpiecznych kombinacji ról i wymaga 4-oczu dla działań krytycznych.
Praktyka: domyślnie role dają MASKED_READ PII; niezaspokojony dostęp wymaga „celu” + atrybutu JIT i pozytywnej decyzji ABAC polityki.

5) Wielozadaniowość i kontekst geograficzny

Zakres działalności najemcy: Role związane są z dzierżawą/marką/jurysdykcją („rola: payments _ ops @ EEA”).
Klucze geograficzne: poszczególne klucze szyfrujące i segmenty dostępu dla każdego regionu (EC/UK/...).
Granularność: filtrowanie według kolumny „region _ code” (RLS) i według jurysdykcji gracza.

6) Bezpieczeństwo na poziomie wiersza/kolumny i maskowanie

Strategia:
  • RLS (stringi): Dostęp tylko do rekordów kraju/marki/zespołu.
  • CLS (kolumny): pola wrażliwe są dostępne maskowane; zdemaskowany - tylko z przywilejem 'pii _ unmask' + 'purpose'.
Mini-example (idea SQL): 
sql
CREATE POLICY rls_tx
ON dwh. transactions
USING (region_code = current_setting('app. region'));

SELECT
CASE WHEN has_priv('pii_unmask') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

7) JIT, łamanie szkła - PAM - RBAC

JIT: tymczasowa uprzywilejowana rola (15-120 min) w ramach biletu; automatyczne sprzężenie zwrotne; pełny audyt.
Break-glass: dostęp awaryjny z MFA + drugie potwierdzenie i nagrywanie sesji; po przeglądzie z programem Security + DPO.
PAM: secret store, session proxy, password/key rotation.

8) Cykl życia ról (SOP)

SOP-1: Tworzenie/modyfikowanie roli

1. Zapytanie właściciela domeny → lista zadań → mapowanie uprawnień → SoD-check → pilot → CAB → wydanie + dokumentacja.

SOP-2: Żądanie i dostęp do dotacji

1. Wniosek (IDM/ITSM) z „celem” i terminem → SoD/jurysdykcja auto-weryfikacja → zatwierdzenie właściciela danych + Bezpieczeństwo (dla Restricted +) → wydanie (często JIT) → wpis w rejestrze.

SOP-3: Informacje zwrotne/Offboarding

Wyzwalacze: Zakończenie, zmiana roli, bezczynność> 30/60 dni, JIT wygasła.
Automatyczne wycofywanie i rejestrowanie.

SOP-4: Ponowna certyfikacja

Co kwartał właściciele potwierdzają, że role użytkowników są nadal potrzebne; system usuwa prawa „wiszące”.

9) Przykład matrycy ról (fragment)

RolaPodstawa zezwoleniaMaskowanieDziałania krytyczneKonflikt SoD
„support _ agent”CZYTAJ profile, biletyTak (PII zamaskowane)„kyc _ operator”
„vip _ manager”CZYTAJ VIP, bonusyTak, zrobiłem toz "payments _ ops' (zatwierdzenia)
"płatności _ ops'APPROVE_WITHDRAWAL, VIEW_TXPII zamaskowane„PAYMENT _ APPROVE” (4-oczy)„fraud _ rule _ admin”
„fraud _ analyst”VIEW_RULES, HOLD_TXPII zamaskowane„ZMIANA _ FRM _ RULE”"payments _ ops'
„kyc _ operator”KYC_DECISIONDokumenty zamaskowane (view-once via JIT)„KYC _ APPROVAL”„support _ agent”
„bi _ analyst”JEDNOSTKI DO ODCZYTUZawsze zamaskowane„EXPORT 'via display cases”„dba _ admin”
„devops _ admin”infra admin„BREAK _ GLASSES”z rolami biznesowymi

10) Narzędzia i wdrażanie (wzory)

Katalog ról jako kod: YAML/JSON w repozytorium + walidatory CI, changelog.
Centralny IdP/SSO: rezerwa SCIM, mapy grupowe 'grupa → rola'.
Punkt decyzji politycznej: silnik polityki (ABAC) z atrybutami kontekstowymi.
Sekrety/KMS: izolacja kluczy od środowiska/regionu/najemcy.
Brama danych: pojedyncza warstwa maskowania/audytu dla DWH/BI/eksportu.
SIEM/SOAR: korelacja 'ROLE _ UPDATE '/' READ _ PII '/' EXPORT _ DATA', auto-bilety.

11) Audyt i pozyskiwanie drewna

Овебателкна собтий: "ROLE _ ASSIGN'," ROLE _ REVOKE "," ROLE _ UPDATE "," BREAK _ GLASS "," JIT _ GRANT "," READ _ PII "," EXPORT _ DATA "," PAYMENT _ ZATWIERDZAĆ "," KYC _ DECISION ".
Wymagania: kopia WORM, łańcuchy hash, podpis pakietu, 'cel '/' ticket _ id' w każdym zdarzeniu, synchronizacja czasu.

12) Mierniki i KPI/KRI

Zasięg:% systemów w RBAC ≥ 95%.
Naruszenie SoD: = 0; próby przypisania niekompatybilnych ról - auto-blok.
Wskaźnik JIT: ≥ 80% podwyżek to JIT.
Offboarding TTR: cofnięcie praw ≤ 15 min.
Maskowany stosunek odczytu: ≥ 95% wywołań do PII jest zamaskowanych.
Recertyfikacja: 100% role potwierdzone kwartalnie.
Eksport podpisany: 100% eksportu z podpisem/dziennikiem.

13) RACI (rozszerzony)

DziałalnośćZgodność/PrawoDPOBezpieczeństwoSRE/ITDane/BIProdukt/EngWłaściciel domeny
Polityka RBAC/SoDA/RCCCCCC
Wzór ról/prawCCA/RRRRR
ABAC/JIT/PAMJAJAA/RRJACJA
Ponowna certyfikacjaCCARRRR
Eksport/MaskaCARRRCC

14) Listy kontrolne

Przed utworzeniem roli

  • Opisane historie użytkowników i „cel”
  • Wykaz zasobów i klas danych
  • Minimalne mapowanie uprawnień
  • Kontrola SoD/konflikty
  • Polityka maskowania i RLS/CLS
  • Plan ponownej certyfikacji i właściciele

Przed udzieleniem dostępu

  • Stałe „przeznaczenie” i data
  • SoD/jurysdykcje/MDM/MSZ zakończone
  • Domyślne maskowanie, JIT na promocji
  • Dziennik i data zmiany zawarte

15) Częste błędy i anty-wzory

„Super role” z szerokimi prawami zamiast małych domen.
Bezpośredni dostęp do PII bez maskowania i „celu”.
Brak SoD/czwarte oczy dla „PAYMENT _ APPROVE ”/„ KYC _ APPROVE”.
Przedłużenie czasowych praw „na zawsze”.
Kopiuj dane prod do dev/stage.
Nieprzezroczysty eksport bez podpisu i dziennika.

16) Plan działania w zakresie wdrażania

Tygodnie 1-2: inwentaryzacja aktywów/klasyfikacja danych; projekt macierzy ról; Stół SoD.
Tygodnie 3-4: RBAC jako kod (repozytorium), grupy IdP/SCIM, silnik ABAC (podstawowe cechy: środowisko/geo/MDM/czas), JIT/PAM, warstwa maskująca dla DWH/BI.
Miesiąc 2: ponowna certyfikacja, automatyka offboardowa, wpisy SOAR dla naruszeń RBAC/SoD/ABAC, dzienniki eksportowe/WORM.
Miesiąc 3 +: rozszerzenie atrybutu (ryzyko urządzenia, poziom KYC), audyty uprzedzeń dostępu, optymalizacja kosztów i regularne ćwiczenia tablopowe.

TL; DR

Strong RBAC = małe role domeny + warunki atrybutów (ABAC) + SoD i maskowanie JIT/PAM + oraz RLS/CLS + audyt twardy i ponowna certyfikacja. Zmniejsza to ryzyko wycieków/nadużyć, przyspiesza audyt i utrzymuje platformę w granicach wymogów dotyczących prywatności i zgodności.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.