Аудит идентификаций
1) Цель и результат
Цель: обеспечить доказуемое соответствие принципам Zero Trust и наименьших привилегий через регулярную проверку того, кто имеет какие доступы где и почему.
Результат: полный и актуальный реестр идентичностей и прав с подтвержденными владельцами, устраненными “зависшими” доступами, оформленной доказательной базой для внутреннего контроля и регуляторов.
2) Область охвата
Внутренние пользователи: штат, стажеры, руководители, временные роли.
Подрядчики/партнеры: студии игр, PSP/KYC/AML-провайдеры, аффилиаты.
Сервисные идентичности: боты, CI/CD, интеграции, ключи и токены API.
Привилегированные роли: админы инфраструктуры/БД, Payments, Risk, Trading.
Игроки (в контексте KYC): корректность связки учетка ↔ KYC-профиль ↔ статусы RG/AML (проверка процессов, не содержимого документов).
3) Термины и принципы
Identity (идентичность): уникальный субъект (человек/сервис) с атрибутами.
Entitlement (привилегия): конкретное право/роль на ресурс.
JML: Joiner → Mover → Leaver — жизненный цикл идентичности.
SoD: разделение обязанностей для высокорисковых операций.
Least Privilege & Just-in-Time (JIT): минимальный набор прав, выданный на ограниченное время.
Accountability: у каждой идентичности есть владелец, у каждого права — бизнес-обоснование и срок.
4) Источники истины и модель данных
HRIS/кадровая система: первичный источник статуса сотрудника (hire/move/exit).
IdP/SSO: единая точка аутентификации (MFA/FIDO2), федерация.
IAM/IGA: каталог ролей, политик и процессов ресертификации.
CMDB/каталог сервисов: владение системами и контурами доступа.
Платформы провайдеров: PSP/KYC/CDN/WAF/провайдеры игр — внешние порталы доступа.
Модель: Identity → (belongs to) → Org Unit/Team → (has) → Roles → (expand via ABAC) → Entitlements → (apply) → Resources.
5) Контроли, которые проверяет аудит
1. SSO и MFA повсеместно (без локальных учеток и shared-аккаунтов).
2. RBAC/ABAC/PBAC: права описаны политиками (policy-as-code), роли — типовые и согласованные.
3. SoD: формализованы несовместимые роли и исключения.
4. JIT/PAM: временные повышения с тикетом, записью сессии и авто-отзывом.
5. Секреты/ключи: хранятся в менеджере секретов, с ротацией и сроками жизни.
6. Журналы и доказуемость: tamper-evident, связная трассировка кто/что/где/когда/зачем.
7. Data Access: маскирование PII, экспорт — только по workflow с шифрованием и TTL.
6) Процесс аудита (end-to-end)
1. Подготовка: заморозка снимка прав (entitlements snapshot) по системам; выгрузка из IdP/IAM/провайдеров.
2. Нормализация: мэппинг ролей к каталогу, дедупликация, группировка по владельцам ресурсов.
3. Категоризация риска: P1/P2 (привилегированные и чувствительные) → приоритетная проверка.
4. Ресертификация прав: владельцы систем подтверждают/отклоняют права (кампании access review).
5. Проверка SoD: выявление несовместимостей и временных исключений (с датой истечения).
6. JML-сверка: сопоставление hire/move/exit с фактическими правами (в т.ч. внешние порталы).
7. Сервисные учетки: наличие владельца, токены краткоживущие, нет “god-scope”.
8. Доказательная база: формирование пакета артефактов (отчеты, выгрузки, акты).
9. Remediation-план: тикеты на отзыв/исправление, сроки и ответственные.
10. Финальный отчет: статус рисков, KPI цикла, уроки и улучшения политик.
7) JML-контуры (что проверяем глубже)
Joiner: автоматическое назначение базовых ролей, запрет ручных “добавок” вне каталога.
Mover: смена команды/локации → автоматическая замена ролей, отзыв старых привилегий.
Leaver: отзыв всех прав в течение X минут/часов, закрытие почты/VPN/порталов провайдеров, отключение ключей и токенов.
8) Внешние зависимости и порталы
PSP/KYC/AML/CDN/WAF/игровые провайдеры: у каждой учетки — владелец, цель, срок, MFA, запрет общих аккаунтов.
Контрактные SoD/SLA: наличие dual-control для операций P1 (изменение роутинга платежей, лимитов бонусов и пр.).
Регулярная сверка: реестр внешних порталов ↔ список актуальных пользователей ↔ результаты ресертификаций.
9) Особенности iGaming-домена
Payments & Risk: отдельные ветки SoD; апрувы на изменения лимитов/роутинга; аудит ручных корректировок.
Trading/коэффициенты: песочницы для моделирования, отдельные роли публикации, быстрый откат; журнал изменений.
Responsible Gaming/KYC/PII: жесткий контроль экспорта, маскирование в BI, SLA обработки запросов регулятора.
Аффилиаты и стримеры: ограниченные порталы с возможностями отчетности без доступа к PII.
10) Политики как код (PaC)
Политики в репозитории (Rego/YAML), PR-ревью, тесты.
Динамический контекст в решениях allow/deny: окружение (prod), время, локация, критичность операции, сигналы KRI (например, всплеск чувствительных действий).
Обязательная привязка к тикету и цели при JIT-повышениях.
11) Журналы и доказуемость
Цепочка событий: админ-консоль/IdP → API → БД → внешние провайдеры.
Tamper-evident: WORM/immutable-хранилища, подпись записей, строгие TTL.
Поиск и ответность: SLA ответа на внутренние/внешние запросы (аудит, регулятор, банк/партнер).
12) Метрики и KPI/KRI
KPI:- Доля подтвержденных прав в срок (ресертификация), % просроченных кампаний.
- Время от увольнения до полного отзыва прав (MTTR-leaver).
- Доля JIT-повышений vs постоянных привилегий.
- Количество устраненных SoD-конфликтов за цикл.
- Полнота покрытых систем и внешних порталов.
- Спайки чувствительных действий (экспорт PII, изменения PSP).
- Неиспользуемые права > N дней.
- Break-glass без пост-аудита.
- Аккаунты без владельца/цели/срока.
13) Дорожная карта внедрения (8–12 недель)
Нед. 1–2: инвентаризация идентичностей и систем (включая внешние порталы), каталог ролей и SoD-матрица.
Нед. 3–4: подключение SSO/MFA повсеместно, единый сбор entitlements, первые snapshot-отчеты.
Нед. 5–6: запуск IGA-кампаний ресертификации (P1/P2 приоритет), автоматический отзыв по Leaver.
Нед. 7–8: JIT/PAM для прод-контуров, запись сессий, запрет shared-аккаунтов у провайдеров.
Нед. 9–10: PaC: формализация ключевых политик (экспорт PII, PSP-роутинг, релизы), unit-тесты политик.
Нед. 11–12: дашборды KPI/KRI, регламент квартальных циклов, отчетность для комплаенса/регуляторов.
14) Шаблоны артефактов
Role Catalog: роль, описание, минимальные привилегии, владелец, применимость (тенант/регион/окружение).
SoD Matrix: несовместимые роли/операции, исключения, срок и владелец исключения.
Access Review Pack: лист подтверждения прав, комментарии, результат (approve/revoke/mitigate).
Service Account Register: цель, владелец, срок жизни, скоупы, место хранения секретов, расписание ротации.
External Portals Inventory: система, контакты, список пользователей, MFA, дата последней ресертификации.
Evidence Checklist: какие выгрузки/логи и в каком формате хранить для аудита.
15) Антипаттерны
Общие учетки и “админ навсегда”.
Ручные выдачи прав в обход IdP/IGA.
Отсутствие SoD или допуск “временных исключений” без даты истечения.
Сервисные токены без ротации/владельца.
Экспорт PII “по письму” без workflow и шифрования.
Нет аудита внешних порталов (PSP/KYC/провайдеры игр).
16) Частые находки аудита и быстрая поправка
Зависшие доступы у уволенных/подрядчиков: включить авто-отзыв по событиям HR (Leaver).
Роли с избыточными правами: декомпозировать в более мелкие и привязать ABAC-атрибуты.
Shared-аккаунты у провайдеров: миграция на персональные + MFA, выдача временных ролей для редких задач.
Долгоживущие секреты: переход на краткоживущие токены/сертификаты и плановую ротацию.
17) Инцидент-менеджмент связка
Любой инцидент с компонентом доступа → обязательное обновление реестра рисков и политик, точечная ресертификация затронутых ролей, пост-мортем с action items (и сроками).
Итог
Аудит идентификаций — это повторяемый, автоматизированный цикл: полный реестр идентичностей и прав → риск-ориентированная ресертификация → жесткий JML и JIT/PAM → политики как код и доказуемый аудит → улучшения по результатам цикла. Такой контур снижает вероятность злоупотреблений и ошибок, ускоряет расследования, укрепляет соответствие требованиям и защищает ключевые бизнес-операции iGaming-платформы.