GH GambleHub

Delegarea rolurilor și accesele

(Secțiunea: Operațiuni și Management)

1) De ce delegarea bazată pe roluri

Scopul este de a oferi fiecărui participant (angajat, partener, serviciu) exact cât mai multe drepturi necesare și exact cât timp este necesar, cu trasabilitatea completă a acțiunilor. Acest lucru reduce riscurile de scurgeri și abuzuri, accelerează îmbarcarea și trecerea auditurilor.

2) Model de acces: niveluri și domenii

Domenii de acces: persoane (consola/panouri), servicii (jetoane de masini), date (tabele/obiecte), infrastructura (cloud/K8s), contrapartide (integrari externe), regiuni/chiriasi.
Nivelurile de încredere: → publice → interne protejate (PII/finanțe) → deosebit de importante (chei/plăți).
Zone de operare: prod/staging/sandbox; regula „de la „de mai jos” la „de mai sus” - numai prin conducte aprobate”.

3) Modele de autorizare

RBAC: rolurile sunt legate de sarcini (Editor de conținut, Operator de plată). Simplu început, ușor de verificat.
ABAC: politici după atributele subiectului/resursei/contextului (regiune, chiriaș, schimbare, dispozitiv, punctaj de risc).
ReBAC (bazat pe relații): drepturile vin din relații (proprietar de proiect, membru al echipei).
Hibrid: RBAC pentru matricea de bază, ABAC pentru constrângerile contextuale, ReBAC pentru proprietate.

💡 Practică: păstrați un grafic al drepturilor (cine → ce → de ce) pentru a identifica căile de escaladare și „super nodurile” de risc.

4) Acces minim necesar (Cel mai mic privilegiu)

Start - roluri minime în mod implicit (numai în citire, fără PII).
Promovare - numai printr-o cerere cu justificare, termen și proprietar.
Limita de timp (TTL): drepturile „se topesc” automat; extensie - în mod conștient.
Șine de pază contextuale: regiune/chiriaș, ore de deschidere, dispozitiv, geo.

5) Segregarea îndatoririlor (SoD)

Matricea SoD exclude combinațiile periculoase:
  • „Stabilește limite” ≠ „aprobă limite”.
  • „Pregătește plata” ≠ „semnează plata”.
  • "Scrie cod" ≠ "eliberează în prod'.
  • „Admin DB” ≠ „citește PII în analiză”.
  • Implementarea SoD în politici și în procesele în sine (cu două semnături, M-of-N).

6) procese JML (Joiner/Mover/Leaver)

Joiner: auto-atribuirea rolurilor de bază în funcție de poziție/echipă/regiune, lista de verificare a accesului timp de 24 de ore.
Mover: revizuirea rolurilor la schimbarea echipei/proiectului; eliminarea automată a drepturilor „vechi”.
Leaver: revocarea sesiunilor, cheilor, jetoanelor; reeditarea secretelor, transferul posesiei de artefacte.

7) Privilegii temporare: JIT/PAM

Just-In-Time (JIT): ridicarea drepturilor asupra unei cereri timp de 15-240 minute cu MFA și justificarea biletului.
PAM (Privileged Access Management): proxy/shell login, sesiuni de înregistrare, log de comandă.
Break-glass: acces de urgență cu alertă instantanee, TTL scurt și post-mortem obligatoriu.

8) Identități de serviciu și chei

Conturi de servicii: separate pentru fiecare serviciu și mediu, fără secrete partajate.
Volum de lucru Identitate: token-uri obligatorii pentru pod/vir/funcție; credite pe termen scurt.
Secrete: KMS/Vault, rotație, criptare în două bucle, interzicerea intrării în jurnale.
Cheile de semnătură/plată: prag/MPC, HSM-uri hardware, diversitate între domeniile de încredere.

9) SSO/MFA/SCIM și ciclul de viață al contului

SSO: IdP (SAML/OIDC), sign-on unic, politici centralizate de parolă/dispozitiv.
MAE: obligatoriu pentru administratori/finanțe/PII; FIDO2 preferabil.
SCIM: crearea/ștergerea/modificarea automată a conturilor și grupurilor.
Postură dispozitiv: acces condiționat de starea dispozitivului (criptare disc, EDR, patch-uri curente).

10) Politici-ca-cod și verificare

Serviciul OPA/Autorizare: politici sub formă de cod (Rego/JSON), revizuire prin PR, teste.
Controlul derivei: comparații regulate „declarate vs de fapt”.
Verificări înainte de zbor: „va permite politica această operațiune?” - cazuri de testare înainte de eliberare.

11) Accesul la date

Clasificare: public/intern/limitat/PII/financiar.
Presiune „minimă”: agregate/măști în loc de date „brute”; Cereri PII - numai prin jabs aprobate.
Tokenization/DE-ID - înlocuiește identificatorii, cererile de audit.
Straturi: alimente → replici → vitrine → agregate; acces direct la baza de date de producție - numai JIT/PAM.

12) Cloud, K8s, rețele

Cloud IAM: roluri per cont/proiect; Interdicția „admin” în mod implicit; Restricționarea acțiunilor pe etichete/foldere.
Kubernetes: RBAC pe Neimspaces, PSP/politici similare fără „privilegiat”, imagine allowlist, secrete prin CSI, conturi de servicii per-pod.
Rețea: Zero-Trust (mTLS, conștient de identitate), acces la salt-host - doar JIT, înregistrarea sesiunilor SSH.

13) Parteneri externi și integrări

Chiriași/chei izolate, scopuri minime de OAuth2, jetoane TTL scurte.
Carti web: semnatura (HMAC/EdDSA), 'nonce + timestamp', fereastra de receptie ingusta.
Rotirea cheilor pe un program, rechemare la compromis, criterii finale de stare pentru „sănătate”.

14) Audit, recertificare, raportare

Imunitate: jurnale WORM, semnături de eliberare a politicii, felii Merkle.
Recertificare: verificarea trimestrială a rolurilor critice, lunar - drepturi de administrare.
Drepturi de carantină: „nefolosite 60 de zile” → auto-îndepărtare.
Pachet de probe: încărcări ale matricei de rol, declanșatoare SoD, cereri JIT, înregistrarea sesiunilor PAM.

15) Metrics și SLO

TTG (Time-to-Grant): timpul median pentru acordarea accesului la o aplicație standard (≤ țintă 4h).
Ponderea accesului JIT în rândul „privilegiaților” (obiectiv ≥ 80%).
SoD-încălcări: 0 în prod, timp de eliminare ≤ 24 de ore.
Drepturi orfane:% dintre utilizatorii cu drepturi excedentare (țintă → 0. 0x%).
Rotația secretelor: vârsta medie a secretului (țintă ≤ 30 de zile pentru sensibil).
Acoperire audit: 100% acțiuni privilegiate cu artefacte (înregistrări, chitanțe).

16) Tablouri de bord

Acces Sănătate: roluri active, drepturi orfane, JIT vs permanent.
PAM & Sessions: numărul de sesiuni privilegiate, durata, succesul MFA.
SoD & Incidente: statistici de blocare, cauze, MTTR.
Secrete și chei: vârstă, rotație viitoare, chei roșii.
JML: SLA de onboarding/offboarding, aplicații restante.
Dovezi de audit: statutul de recertificare trimestrială, caracterul complet 100%.

17) Registrele de redare incidente

Compromis token/cheie: rechemare imediată, căutare globală de utilizare, rotație de dependență, audit retro în zilele N.
Încălcarea SoD: bloc de funcționare, deconectarea temporară a rolului, post-mortem și schimbarea politicii.
Acces neautorizat la PII: izolare, notificare DPO, inventar de scurgeri, proceduri legale.
Abuz de escaladare: înghețarea JIT pentru subiect/echipă, analizarea aplicațiilor/justificărilor, ajustarea limitelor TTL.

18) Practici operaționale

Patru ochi pe emiterea/schimbarea drepturilor critice.
Catalog de roluri cu descrierea sarcinilor, riscurilor și operațiunilor permise.
Medii de testare cu date anonimizate și alte roluri.
Policy dry-run: simularea efectelor schimbărilor înainte de aplicare.
GameDays prin acces: „pierderea IdP-ului”, „eșec PAM”, „scurgere secretă”.

19) Lista de verificare a implementării

  • Creați o taxonomie de rol și o matrice SoD pentru procesele cheie.
  • Activați SSO + MFA pentru toate, fluxuri SCIM pentru JML.
  • Implementați PAM/JIT, configurați sticla spartă cu alerte și TTL scurt.
  • Introduceți politicile-as-code (OPA), revizuiri prin PR și autoteste.
  • Conturi de servicii separate și volum de muncă-identitate; interzicerea secretelor comune.
  • Vault/KMS, rotație regulată a secretelor și cheilor, interzicerea secretelor în cod/jurnale.
  • Medii separate și regiuni, consolidarea normelor de acces transregional.
  • Rulați tablouri de bord și SLO-uri, rapoarte lunare de recertificare.
  • Efectuați o scanare SoD a graficului de drepturi și eliminați căile de escaladare.
  • Exerciții regulate și post-mortem cu elemente de acțiune.

20) ÎNTREBĂRI FRECVENTE

RBAC sau ABAC?
RBAC - strat de lizibilitate de bază, ABAC - context și dinamică. Foloseşte un hibrid.

Este necesar PAM dacă există un JIT?
Da: PAM oferă înregistrarea sesiunii și gestionarea canalelor de acces privilegiate.

Cum de a reduce „lipirea” drepturilor?
TTL pentru roluri, auto-elimina neutilizate, recertificare lunară și alerte SoD.

Ce să faci cu contractorii externi?
Chiriași/grupuri dedicate, domenii limitate, TTL-uri scurte, rapoarte obligatorii și recertificare.

Rezumat: Delegarea rolurilor și accesele nu sunt un „set de bife”, ci un ciclu de viață al drepturilor: roluri minime necesare, SoD, JIT/PAM, politică ca cod, observabilitate și recertificare regulată. O astfel de schiță oferă o muncă rapidă echipelor și o securitate previzibilă pentru afaceri și audit.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.