GH GambleHub

RBAC: идоракунии нақшҳо ва иҷозатномаҳо

1) Ҳадафҳо ва принсипҳои RBAC

Мақсад: Барои муҳофизати пул/PII ва мувофиқат (GDPR/AML/PCI/ISO) дастрасиро идорашаванда, санҷидашаванда ва ҳадди ақал созед.

Принсипҳо: Имтиёзи камтарин· Ҷудокунии вазифаҳо (So

2) Таксономияи ҳуқуқҳо ва нақшҳо

Намудҳои иҷозатномаҳо:
  • Маълумот: 'READ', 'WRITE', 'EXPORT', 'НЕСТ', 'MASKED _ READ' (пешфарз барои PII).
  • Операции: 'ТАСДИҚ _ БОЗСОЗӢ', 'CHANGE _ FRM _ RULE', 'KYC _ DECORD', 'SANCTIONS _ OVERRIDE'.
  • Admin: 'REL _ UPDATE', 'USER _ PROVISION', 'SECRET _ ROTATE', 'BREAK _ GLASS'.
  • Интегратсияҳо: 'API _ CALL:', 'WEBHOOK _ SIGN', 'SERVICE _ CONFIG _ UPDATE'.
Синфҳои нақш:
  • Core (сквозные): 'корманд _ basic', 'тамошобин _ дохилӣ', 'аудитор _ махфият'.
  • Доменные: 'support _ agent', 'vip _ manager', 'payments _ ops', 'aml _ officer', 'kyc _ operator', 'қаллобӣ _ таҳлилгар', 'rg _ мутахассис', 'bi _ analysist'.
  • Система/инҳо: 'devops _ admin', 'dba _ admin', 'service _ account _',' read _ only _ prod '.
  • Имтиёз (тавассути PAM/JIT): 'break _ glass _ admin', 'prod _ db _ jit _ editor'.

3) Муҳандисии нақш

1. Инвентаризатсияи захираҳо: системаҳо/ҷадвалҳо/нуқтаҳои ниҳоӣ, синфҳои маълумот (ҷамъиятӣ/дохилӣ/махфӣ/маҳдуд/хеле маҳдуд).
2. Ҳикояҳои корбар аз рӯи функсияҳо: кӣ чӣ кор мекунад ва чаро (мақсад).
3. Харитасозии вазифаҳо → иҷозат - маҷмӯи ҳадди ақали ҳар як функсия.
4. Гурӯҳбандӣ дар нақш: як нақш = як домени масъулият; аз "нақшҳои супер" канорагирӣ кунед.
5. Санҷиши So-D: санҷиши номувофиқатӣ (масалан, 'payments _ ops' ≠ 'қаллобӣ _ rule _ admin').
6. Озмоиш ва андозагирӣ: мо гурӯҳи муваққатан маҳдудро мебарорем, сайри аудиториро ҷамъ мекунем.
7. Версия: Ҳар як тағйири нақш тавассути CAB бо changelog аст.

4) Ҳамкории RBAC ↔ ABAC ↔ So

RBAC ба "кӣ аслан метавонад", ABAC - "дар кадом шароит" (муҳит, гео, дастгоҳ/MDM, вақт, сатҳи KYC, 'ҳадаф') ҷавоб медиҳад.
Ҳамин тавр, омезиши хатарноки нақшро манъ мекунад ва барои амалҳои интиқодӣ 4 чашм талаб мекунад.
Амал: бо нобаёнӣ, нақшҳо ба PII MASKED_READ медиҳанд; дастрасии пинҳоннашуда хусусияти "ҳадаф" + JIT ва қарори мусбати сиёсати ABAC-ро талаб мекунад.

5) Бисёр иҷора ва гео-контекст

Ҳаҷми иҷорагир: Нақшҳо бо иҷора/бренд/юрисдиксия алоқаманданд ('нақш: payments _ ops @ EEA').
Калидҳои гео: калидҳои рамзгузории инфиродӣ ва сегментҳои дастрасӣ дар як минтақа (EC/UK/...).
Грануляризатсия: филтр аз ҷониби сутуни 'region _ code' (RLS) ва аз рӯи салоҳияти бозингарон.

6) Амният ва ниқоб дар сатр/сутун

Стратегия:
  • RLS (сатрҳо): Дастрасӣ танҳо ба сабтҳои кишвар/бренд/даста.
  • CLS (сутунҳо): майдонҳои ҳассос ниқоб доранд; unmasked - танҳо бо имтиёзи 'pii _ unmask' + 'мақсад'.
Мини-намуна (идеяи SQL): 
sql
CREATE POLICY rls_tx
ON dwh. transactions
USING (region_code = current_setting('app. region'));

SELECT
CASE WHEN has_priv('pii_unmask') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

7) JIT, пора-шиша и PAM v RBAC

JIT: нақши муваққатии муваққатӣ (15-120 дақиқа) дар чипта; фикру мулоҳизаҳои худкор; аудити пурра.
Шиша: дастрасии фавқулодда бо тасдиқи дуюм ва сабти сессия; пас аз баррасӣ бо Амният + DPO.
PAM: мағозаи махфӣ, прокси сессия, парол/гардиши калидҳо.

8) Давомнокии нақш (SOP)

SOP-1: Офаридан/Тағйир додани Нақш

1. Тафтиши соҳиби домен → рӯйхати вазифаҳо → харитасозии иҷозатномаҳо → So

SOP-2: Дархост ва дастрасӣ ба грант

1. Ариза (IDM/ITSM) бо 'мақсад' ва мӯҳлати ниҳоӣ → Санҷиши худкор/юрисдиксияи § Тасдиқи соҳиби маълумот + Амният (барои Маҳдудият +) → додани (аксар вақт JIT) → сабти ном.

SOP-3: Фикру мулоҳизаҳо/Offboarding

Триггерҳо: Қатъи кор, тағир додани нақш, ғайрифаъол> 30/60 рӯз, JIT ба охир расид.
Бозрасии худкор ва сабти ном.

SOP-4: Сертификатсияи дубора

Ҳар семоҳа, соҳибон тасдиқ мекунанд, ки нақшҳои корбар ҳоло ҳам лозиманд; система ҳуқуқҳои "овезон" -ро хориҷ мекунад.

9) Намунаи матритсаи нақш (порча)

НақшПойгоҳи иҷозатҳоМаскаАмалҳои интиқодӣПас-ихтилоф
'support _ agent'Профилҳои хонед, чиптаҳоБале (PII ниқоб)s 'kyc _ operator'
'vip _ manager'ХОНЕД VIP, мукофотпулӣБале ман кардамбо 'payments _ ops' (тасдиқҳо)
'payments _ ops'APPROVE_WITHDRAWAL, VIEW_TXPII ниқоб'Пардохт _ ТАСДИҚ' (4 чашм)s 'қаллобӣ _ rule _ идора'
'fraud _ analyste'VIEW_RULES, HOLD_TXPII ниқоб'ТАҒЙИР ДОДАН _ ФРМ _ РУЛЕs 'пардохтҳо _ ops'
'kyc _ operator'KYC_DECISIONҲуҷҷатҳои ниқоб (як маротиба тавассути JIT)'KYC _ ТАСДИҚs 'дастгирӣ _ agent'
'bi _ analyste'Воҳидҳои READҲамеша ниқоб'Ҳолатҳои намоиши EXPORT' vias 'dba _ идоракунӣ'
'devops _ идора'infra admin'BREAK _ GLASS- АПОСбо нақшҳои тиҷоратӣ

10) Воситаҳо ва амалисозӣ (намунаҳо)

Каталоги нақш ҳамчун рамз: YAML/JSON дар анбор + CI validators, changelog.
IDP/SSO марказӣ: Таъминоти SCIM, харитасозии гурӯҳӣ 'гурӯҳи → нақш'.
Нуқтаи тасмими сиёсат: муҳаррики сиёсат (ABAC) бо хусусиятҳои контекстӣ.
Асрҳо/KMS: ҷудокунии калидӣ дар муҳити зист/минтақа/иҷорагир.
Дарвозаи маълумот: як қабати ягонаи ниқоб/аудит барои DWH/BI/содирот.
SIEM/SOAR: таносуби 'REL _ UPDATE '/' READ _ PII '/' EXPORT _ DATA', худкор-чиптаҳо.

11) Аудит ва сабти ном

Обязательные события: 'РОЛ _ АССИГН', 'РОЛ _ РЕВОКЕ', 'РОЛ _ НАВ', 'BREAK _ GLASS', 'JIT _ GRANT', 'READ _ PAYT _ DATA', 'KYC _ ҚАРОР'.
Талабот: нусхаи WORM, занҷирҳои ҳаш, имзои пакет, 'мақсад '/' chicket _ id' дар ҳар як ҳолат, ҳамоҳангсозии вақт.

12) Нишондиҳандаҳо ва KPI/KRI

Фарогирӣ:% системаҳо дар доираи RBAC ≥ 95%.
Қоидавайронкуниҳои SOD: = 0; кӯшиши таъини нақшҳои номувофиқ - блоки худкор.
Меъёри JIT: ≥ 80% афзоиш JIT мебошад.
Offboard TTR: бекор кардани ҳуқуқҳо ≤ 15 дақиқа.
Таносуби хондани ниқоб: ≥ 95% зангҳо ба PII ниқоб доранд.
Бозсозӣ: ҳар семоҳа 100% нақшҳо тасдиқ карда мешаванд.
Содирот ба имзо расид: 100% содирот бо имзо/сабти ном.

13) RACI (васеъшуда)

ФаъолиятМувофиқат/ҳуқуқӣDPOАмниятSRE/ITМаълумот/BIМаҳсулот/EngСоҳиби домен
Сиёсати RBAC/So-DA/RCCCCCC
Тарроҳии нақш/ҳуқуқҳоCCA/RРРРР
ABAC/JIT/PAMМАНМАНA/RРМАНCМАН
БозсозӣCCА.РРРР
Содирот/ниқобCА.РРРCC

14) Рӯйхати санҷишҳо

Пеш аз офаридани нақш

  • Тавсифи ҳикояҳои корбар ва 'ҳадаф'
  • Рӯйхати захираҳо ва синфҳои маълумот
  • Харитаи ҳадди аққали иҷозатҳо
  • Пас санҷиш/муноқишаҳо
  • Маска ва сиёсати RLS/CLS
  • Нақшаи сертификатсия ва соҳибон

Пеш аз додани дастрасӣ

  • 'мақсад' ва санаи муқарраршуда
  • Пас/юрисдиксия/MDM/ВКХ ба итмом расид
  • Ниқоби пешфарз, JIT оид ба таблиғ
  • Санаи маҷалла ва таҷдиди назар дохил карда шудааст

15) Хатогиҳои зуд-зуд ва зидди намунаҳо

"Нақшҳои супер" бо ҳуқуқҳои васеъ ба ҷои домейнҳои хурд.
Дастрасии мустақим ба PII бидуни ниқоб ва 'ҳадаф'.
Не чашмони So 'D/чорум барои' PAYPE _ APPOVE '/' KYC _ APPROVE '.
Тамдиди ҳуқуқҳои муваққатӣ "то абад".
Нусха бардоштани иттилооти prod ба dev/stage.
Содироти ношаффоф бе имзо ва сабти ном.

16) Харитаи роҳсозӣ

Ҳафтаҳои 1-2: таснифи дороиҳо/таснифи маълумот; нақшаи матритсаи нақшҳо; Ҷадвали So-D.
Ҳафтаҳои 3-4: RBAC ҳамчун рамз (анбор), гурӯҳҳои ID/SCIM, муҳаррики ABAC (хусусиятҳои асосӣ: муҳити зист/гео/MDM/вақт), JIT/PAM, қабати ниқоб барои DWH/BI.
Моҳи 2: сертификатсияи такрорӣ, автоматизатсияи оффшорӣ, SOAR дар бораи вайронкунии RBAC/SO/ABAC, гузоришҳои содиротӣ/WORM.
Моҳи 3 +: тамдиди атрибут (хатари дастгоҳ, сатҳи KYC), аудити ғаразноки дастрасӣ, оптимизатсияи хароҷот ва машқҳои муқаррарии планшет.

TL; ДР

RBAC-и қавӣ = нақшҳои домени хурд + шароити атрибут (ABAC) + SO ва JIT/PAM + ниқоб ва RLS/CLS + аудити сахт ва сертификатсияи дубора. Ин хатари ихроҷ/сӯиистифодаро коҳиш медиҳад, аудитро суръат мебахшад ва платформаро дар доираи талаботи махфият ва риояи он нигоҳ медорад.

Contact

Тамос гиред

Барои саволҳо е дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Telegram
@Gamble_GC
Оғози интегратсия

Email — муҳим аст. Telegram е WhatsApp — ихтиерӣ.

Номи шумо ихтиерӣ
Email ихтиерӣ
Мавзӯъ ихтиерӣ
Паем ихтиерӣ
Telegram ихтиерӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиерӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.