Сиёсат ҳамчун Кодекс

1) Он чизе ки "сиёсат" ҳисобида мешавад

• Дастрасӣ/авторизатсия: RBAC/ABAC, Re-BAC, содироти маълумот, қадам ба қадам (ВКХ).
• Амнияти инфрасохтор: назорати дохилшавӣ Кубернетес, сиёсати тасвир/махфӣ, қоидаҳои шабака.
• Мувофиқат ва махфият: идоракунии розигӣ, барчаспҳои PII, рӯзҳои ҳисоботи маҳаллӣ, маҳдудиятҳои гео.
• Конфигуратсияҳо ва сифат: "инкор: охирин", маҳдудиятҳои захираҳо, барчаспҳои ҳатмии захираҳо (Cloud).
• Маълумот ва ML: манъи омӯзиш дар маҷмӯаҳо бидуни розигӣ, k-беном, DP-буҷетҳо, Lineage-invariants.

2) Модели меъмории PAC

PAP (Нуқтаи идоракунии сиёсат): равандҳои анборӣ ва идоракунӣ (MR/PR, баррасӣ, версия).
PDP (Нуқтаи тасмими сиёсат): муҳаррике, ки қарори сиёсатро ҳисоб мекунад (OPA, Сидар-муҳаррик, тарҷумони ватанӣ).
PEP (Нуқтаи ҳифзи сиёсат): нуқтаи татбиқ (дарвозаи API, маъмурияти webhook дар K8s, трансформатори ETL, SDK).
БИД (Нуқтаи иттилоотии сиёсат): манбаъҳои атрибутҳо/далелҳо: ИДМ, феҳристҳои захираҳо, анбори маълумот, сатҳи хавф.
Сабти қарор/Аудит: гузоришҳои ҳалли тағйирнопазир (барои таҳлили ҳодисаҳо ва мувофиқат).

Ҷараён: дархост → PEP контекстро ташкил медиҳад → PDP далелҳои боркунӣ (БИД) → ҳисобҳои ҳалли → PEP татбиқ мешавад (иҷозат додан/рад кардан/таҳрир кардан) → log/metrics.

3) Воситаҳо ва доменҳо

OPA/Rego муҳаррики универсалӣ ва забон барои сиёсати декларативӣ мебошад (маъмурияти webhook дар K8s: Gatekeeper, дар CI - Conftest, дар API - sidecar/service).
Kyverno - сиёсати декларативӣ барои Кубернетес дар YAML, ячейка/санҷиш/насл.
Сидар (AWS/portable) як забони сиёсатест, ки бо таваҷҷӯҳ ба ваколатдиҳии кӣ аз ҳад зиёд аст.
IAM-и абрӣ (AWS/GCP/Azure) - сиёсати захираҳои абрӣ (беҳтараш статикӣ ва нақшаҳои IA-ро санҷед).
Одат - DSL/қоидаҳо бар JSON/SQL барои мушаххасот (масалан, мутобиқати ML).

4) Давраи даврии сиёсат

1. Таърифи ҳадаф ва домен: "Манъи бор кардани контейнерҳо бо осебҳои баланд/CRITICAL".
2. Расмикунонӣ дар рамз: Rego/Cedar/YAML.
3. Санҷишҳо: ҷадвалҳои ҳақиқат, ҳолатҳои манфӣ, моликият.
4. Санҷишҳои CI: линтер, воҳид, ҳамгироӣ ба зуҳуроти/дархостҳои бардурӯғ.
5. Нашр ва тақсимот: нашр дар маҷмӯъ, имзо, интиқол ба PDP/канор.
6. Мониторинг: hit-rate, latency p95/p99, рад кардани саҳм, dashboard drift.
7. Истисноҳо/озодкунӣ: вақт/ҳаҷми маҳдуд, санҷиш ва моликият.
8. Рефакторинг ва бойгонӣ: версияҳо, мутобиқат, муҳоҷират.

5) Нигоҳдорӣ ва тақсимот

Тарҳбандии репо: 'polics/< domain >/< policy> .rego' cedar 'yaml', 'tests/',' bundles/', 'schemas/'.
Версия: семвер ва 'policy _ version' дар посухҳои PDP.
Бастаҳо - бастаҳои фишурдашудаи сиёсат + схемаҳо + конфигуратсияҳо, имзошуда (амнияти занҷираи таъминот).
Тақсимот: кашидан (PDP аз registry/S3 кашида мегирад) ё тела (контролер мефиристад).
Арзёбии қисман: Сиёсати иҷрои босуръатро дар периметр пешбинӣ мекунад.

6) Модели маълумот ва схемаҳо

Шартномаи ягонаи контекстӣ: 'мавзӯъ', 'манбаъ', 'амал', 'env', 'ҳуқуқӣ'.
JSON-Schema/Protobuf: моделҳои воқеиро тасдиқ кунед; номувофиқатии схема - сабаби "номуайян § инкор кардан".
Нормализатсияи атрибут: номҳои ягона (масалан, 'иҷорагир _ ид', 'risk _ level', 'pii _ tags', 'тасвир. vulns ').

7) Иҷро ва эътимоднокӣ

Кэши ҳалли: калид '(subject_hash, resource_key, амал, policy_version)'; TTL кӯтоҳ, маъюбӣ аз рӯи ҳодиса (тағир додани нақш/барчасп).
Далелҳои маҳаллӣ: БИП-ҳои вазнинро дар роҳи гарм кашед - лаҳзаҳои синхронизатсия.
Fail-open vs ноком: амнияти домени интиқодӣ - нокомӣ; барои UX-интиқодӣ - таназзул (нашр ба ҷои инкор).
Буҷаи ниҳоӣ: ҳадафи '<3-10 ms' барои як ҳалли дар хотираи PDP, '<30-50 ms' бо БИД.

8) Идоракунии истисноӣ (озодкунӣ)

Вақти маҳдуд (мас. 7 рӯз), бо соҳиби ҳатмӣ ва сабаб.
Якҷоя: аз рӯи манбаъ/лоиҳа/фазои ном; манъи глобалии "абадӣ".
Аудит ва ёдраскуниҳо: ҳисоботҳо дар бораи мӯҳлати бекоркунӣ, пӯшидани худкор/шиддат.

9) Нишондиҳандаҳо ва мушоҳидаҳо

Фарогирии сиёсат: таносуби роҳҳо/нуқтаҳои ниҳоӣ, ки аз ҷониби PAC ҳифз шудаанд.
Мӯҳлати қарор/QPS/Меъёри хатогӣ.
Сатҳи рад ва мусбати бардурӯғ/манфӣ (тавассути режими хушк/соя).
Дрифт: номувофиқатӣ байни нақша (IA) ва факт (зинда), байни SDK ва қарорҳои сервер.
Аудит: 'қарор _ id, policy_ids, версия, attributes_digest, таъсир, сабаб'.

10) Анти-намунаҳо

Сиёсатҳои "сахт" ба рамз бидуни версияҳо ва озмоишҳо.
Набудани схемаҳо/тасдиқи контекст → қарорҳои пешгӯинашаванда.

Як файли монолитӣ "мега. рего"

Раванди истисноӣ § давраҳои дастӣ ва бетартибӣ вуҷуд надорад.
Танҳо аризаи корӣ бидуни гузариш дар CI (нокомии дер).
Таъсири паҳлӯии пинҳонӣ дар сиёсат (сиёсат бояд вазифаи тоза бошад).

11) Намунаҳо

11. 1 Rego (OPA) - рад кардани тасвирҳои осебпазир дар K8s

rego package k8s. admission. vulns

deny[msg] {
input. kind. kind == "Pod"
some c img:= input. request. object. spec. containers[c].image vulns:= data. registry. scan [img] # actual-snapshot from PIP count ({v     v:= vulns[_]; v.severity == "CRITICAL"}) > 0 msg:= sprintf("image %s has CRITICAL vulns", [img])
}

11. 2 Rego: маълумоти содиротӣ аз ВКХ ва танҳо IP сафед

rego package api. export

default allow = false

allow {
input. action == "export"
input. subject. mfa_verified == true net. cidr_contains("203. 0. 113. 0/24", input. env. ip)
}

11. 3 Сидар: Танҳо ба соҳибон ё аъзои гурӯҳ хонда мешавад

cedar permit(
principal in Group::"team_members",
action in [Action::"read"],
resource in Photo::"")
when { resource. owner == principal          resource. team_id in principal. team_ids };

11. 4 Kyverno (YAML): Манъи ': охирин' ва ҳатмӣ. захираҳо

yaml apiVersion: kyverno. io/v1 kind: ClusterPolicy metadata:
name: disallow-latest-and-require-limits spec:
validationFailureAction: Enforce rules:
- name: disallow-latest match: { resources: { kinds: ["Pod"] } }
validate:
message: "Image tag 'latest' is not allowed."
pattern:
spec:
containers:
- name: ""
image: "!:latest"
- name: require-limits match: { resources: { kinds: ["Pod"] } }
validate:
message: "resources. limits.{cpu,memory} required."
pattern:
spec:
containers:
- resources:
limits:
cpu: "?"
memory: "?"

11. 5 Боварӣ дар CI барои Нақшаи Terraform

bash terraform plan -out tf. plan terraform show -json tf. plan > tf. json conftest test tf. json --policy policies/terraform

12) Ҷобаҷогузорӣ ба қобилиятҳои мавҷуда

RBAC/ABAC: PAC - қабати декларатсия; PDP/PEP аз мақолаи муҳаррики нақш дубора истифода мешавад.
Идоракунии ризоият: сиёсати "реклама/фардикунонӣ" ҳамчун шароити дастрасии маълумот/нуқтаи ниҳоӣ.
Анонимизатсия/PII: Сиёсатҳо омӯзиш/содиротро бидуни беном ва профилҳои буҷаи DP манъ мекунанд.
Масири гео-масир: сиёсати масир кардани трафик/маълумот аз рӯи минтақаи нигоҳдорӣ.

13) Равандҳо ва одамон

Соҳибони домени сиёсат: амният, платформа, маълумот, маҳсулот/маркетинг.
Бознигарон: амният + соҳибони домейн.
Феҳристи сиёсат: тавсифи мақсаднок, хатар, SLO, тамос, мисолҳо, истинодҳои ҳодиса.
Омӯзиш: дастурҳо ва порчаҳо барои таҳиягарон (чӣ гуна тестҳоро нависед, чӣ гуна Rego-ро ислоҳ кунед).

14) Рӯйхати назорати меъморон

1. Маҷмӯи ҳадди аққали доменҳо ва соҳибон муайян карда шудааст?
2. Анбори сиёсат бо санҷишҳо, линтер ва CI?
3. Оё PDP/PEP-ҳо дар периметри, API, дар K8s ва қубурҳои маълумот ҷойгир шудаанд?
4. Оё диаграммаҳои контекстӣ ва тасдиқкунӣ мавҷуданд?
5. Бастаҳои имзо ва таҳвил, стратегияи кэш ва маъюбӣ?
6. Метрикаҳо (ниҳонӣ, рад кардан, кашидан), сабти қарор ва аудит?
7. Раванди истисноӣ бо TTL ва гузоришдиҳӣ?
8. Ҳолати хушк/соя пеш аз иҷро?
9. Баҳодиҳии қисман/пешакӣ барои нуқтаҳои гарм?
10. Дафтарчаи корӣ барои таназзул (ноком-пӯшида/иҷозат-бо-редаксия)?

Хулоса

Сиёсат ҳамчун Кодекс қоидаҳоро такроршаванда, санҷидашаванда ва дар ҳамон принсипҳое, ки татбиқ мешаванд, идора мекунад: рамзи бознигарӣ, санҷишҳо, CI/CD, ченакҳо ва роллерҳо. Бо пайваст кардани PA бо авторизатсия (RBAC/ABAC), мувофиқат ва амнияти платформа, шумо як ҳалқаи ягонаи пешгӯишаванда ва миқёспазир барои рафтори система мегиред - аз назорати қабул то содироти маълумот ва қубурҳои ML.