GH GambleHub

Iň az zerur hukuklaryň ýörelgesi

1) Maksady we kesgitlemesi

Maksat: ulanyja/hyzmata diňe belli bir wezipäni ýerine ýetirmek üçin gaty zerur bolan çeşmelere iň az derejede we iň az mukdarda rugsat bermek.
Kesgitlemesi: "giňlik (çeşmeler), çuňluk (amallar), wagt (TTL), kontekst (geo/enjam/çalşyk), duýgurlyk (PII/maliýe) boýunça iň az".

2) Durmuşa geçirmegiň esasy ýörelgeleri

1. Need-to-Know: her bir hukuk belli bir purpose (esas) bilen baglanyşyklydyr.
2. Time-Bound: ýokarlanan hukuklar TTL (JIT) bilen berilýär; hemişelik hukuklar - diňe read/masked.
3. Skope-Bound: kärende/sebit/marka/taslama (tenant/region scoping) boýunça giriş çäklidir.
4. Data-Minimization: PII adaty gizlenendir; de-mask - diňe aç-açan esasda.
5. Traceability: islendik giriş → magazine + 'purpose '/' ticket _ id'.
6. Revocability: çalt yzyna çagyryş (offboarding ≤ 15 minut, JIT - awto yzyna çagyryş).

3) Beýleki gözegçilikler bilen aragatnaşyk

RBAC: prinsipde kimiň edip biljekdigini kesgitleýär (esasy rol).
ABAC: haýsy şertlerde (geo, enjam/MDM, wagt, KYC derejesi, töwekgelçilik) aýdyňlaşdyrýar.
SoD: howply rol kombinasiýalaryny gadagan edýär, duýgur hereketler üçin 4-eyes talap edýär.
Segmentasiýa: tor/logiki perimetrler (töleg, KYC, DWH, syrlar).
PAM/JIT/break-glass: wagtlaýyn artykmaçlyklary ygtybarly bermek we olary ýazmak.

4) Serişdeleriň we amallaryň klassifikasiýasy

Maglumat synpyMysallarIň pes dereje
PublicSahypanyň mazmunyygtyýarnamasyz
InternalPII-siz metriklerSSO, read-only
ConfidentialDWH hasabatlary/agregatlarySSO + MFA, "viewer_..." rollary
Restricted (PII/Maliýe)KYC/AML, amallar, RGmasked-read, JIT maskalanmadyk
Highly Restrictedsyrlar, dolandyryş konsollary, PANPAM, ýazylan sessiýalar, izolýasiýa

Amallar: 'READ', 'MASKED _ READ' (PII üçin standart), 'WRITE' (skoped), 'APPROVE _' (4-eyes), 'EXPORT' (diňe penjireler, gol/magazineurnal arkaly).

5) Hukuklaryň inženerligi "wezipeden elýeterlilige"

1. User Story → Purpose: "Analitik PII bolmazdan EUB konwersiýa hasabatyny düzmeli".
2. Çeşmeleriň sanawy: 'agg _ conversions _ eu'.
3. Amallar: 'READ' (PII-siz), gadaganlyk 'EXPORT _ RAW'.
4. ABAC konteksti: iş wagty, corp-VPN/MDM, sebit = EU.
5. TTL: hemişelik masked-read; Bir gezek gizlemek üçin JIT (zerur bolsa).
6. Žurnallar: 'READ '/' EXPORT' s 'purpose' и 'fields _ scope'.

6) Maskalanmak we saýlama maskalanmak

E-poçtany/telefony/IBAN/PAN-y gizlemek;

Gizlenmedik giriş ('pii _ unmask') - diňe JIT + 'purpose' + domen eýesiniň tassyklamasy/Compliance;

Hasabatlarda - agregatlar/k-anonimlik, "kiçi saýlawlary" gadagan etmek (privacy thresholds).

7) Wagtlaýyn artykmaçlyklar: JIT we break-glass

JIT: 15-120 minut, bilet, awto yzyna çagyryş, doly audit.
Break-glass: gyssagly giriş (MFA + ikinji tassyklama, sessiýanyň ýazgysy, post-review Security + DPO).
PAM: syrlaryň seýfi, sessiýa proksi, artykmaçlyklaryň aýlanmagy.

8) Prosesler (SOP)

8. 1 Giriş (IDM/ITSM)

1. "purpose", çeşmeler, TTL/yzygiderlilik bilen ýüztutma.
2. SoD/ýurisdiksiýa/data/kontekstler synpyny awtoprowerlemek.
3. Domen eýesiniň razylygy; для Restricted+ — Security/Compliance.
4. Iň az satyn almak (köplenç masked-read).
5. Hukuklaryň sanawyna ýazgy: täzeden seredilen senesi, SLA yzyna çagyryş.

8. 2 Gaýtadan sertifikat (quarterly)

Domeniň eýesi her bir roly/topary tassyklaýar; ulanylmaýan hukuklar (> 30/60 gün) - awto yzyna almak.

8. 3 Maglumatlary eksport etmek

Diňe tassyklanan penjireler arkaly; formatlaryň ak sanawlary; gol/heş; düşüriş magazineurnaly; PII - adaty däl.

9) Wendorlara/subprosessorlara gözegçilik

Iň az API toplary, aýry-aýry açarlar per integrasiýa, allow-list IP, wagt penjireleri.
DPA/SLA: rollar, giriş magazinesurnallary, retenşn, geografiýa, hadysalar, subprosessorlar.
Offbording: açarlary yzyna almak, aýyrmagy tassyklamak, ýapylyş hereketi.

10) Audit we gözegçilik

Журналы: `ROLE_ASSIGN/REVOKE`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR: 'purpose' -siz girmek, anormal göwrümler, wagt penjiresinden çykmak/geo, SoD bozulmasy.
WORM: magazinesurnallaryň üýtgemeýän nusgasy + hash-zynjyrlar/gollar.

11) Kämillik ölçegleri (KPI/KRI)

Örtük: RBAC/ABAC aşagyndaky möhüm ulgamlaryň% -i ≥ 95%.
Masked Reads Ratio: ≥ PII ýüz tutmalarynyň 95% -i gizlenendir.
JIT Rate: ≥ 80% hukuklaryň ýokarlanmagy JIT ýaly gidýär.
Offboarding TTR: hukuklaryň yzyna alynmagy ≤ 15 minut.
Exports Signed: 100% eksport gol çekildi we çap edildi.
SoD Violations: = 0; synanyşyklar - awto-blok/bilet.
Dormant Access Cleanup: "Asylan" hukuklaryň 98% ≥ 24 sagadyň dowamynda aýrylýar.

12) Nusgawy ssenariýalar

A) VIP-müşderi üçin bir gezeklik KYC görmek

Esasy: VIP-dolandyryjyda masked-read.
Hereket: JIT-elýeterlilik 'pii _ unmask' 30 minutda bilet, meýdan ýazgysy/skrin-log, post-revyu.

B) Inerener prod-DB-e girmeli

Diňe PAM + JIT arkaly ≤ 60 min, ýazga alnan sessiýa, düzgün bozmalar ýüze çykan halatynda "SELECT" PII, post-revyu we CAPA boýunça gadaganlyk.

C) BI-hasabat

PII bolmadyk agregatlara girmek; ABAC süzgüç: 'region in [EEA]', corp-VPN/MDM, wagt 08: 00-21: 00.

13) Anti-patterns we olardan nädip gaça durmaly

"Superrollar "/serhetsiz miras → domen rollaryna bölmek, ABAC goşmak.
"Mümkin boldugyça" hemişelik artykmaçlyklar → JIT + awto yzyna çagyryş.
Prod-maglumatlary dev/stage → lakamlaşdyrma/sintetikasyna göçürmek.
PII-ni penjireden eksport etmek → ak sanawlar, gol, magazineurnal, gizlemek.
'purpose' → gaty blok we awto-bilet ýok.

14) RACI (ulaldylan)

IşjeňlikCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owners
Least Privilege syýasatyA/RCCCCCC
RBAC/ABAC/JIT dizaýnyCCA/RRRRC
Gaýtadan sertifikatlaşdyrmakCCARRRR
Eksport/GizlemekCARRRCC
Satyjylar/şertnamalarA/RCCCIII

15) Çek-listler

15. 1 Giriş berilmezden öň

  • 'purpose' we TTL
  • SoD/ýurisdiksiýa barlagy geçdi
  • Iň az gizlenmek
  • ABAC şertleri: tor/enjam/wagt/sebit
  • Magazineurnallaşdyrmak we gözden geçirmek senesi sazlandy

15. 2 Çärýek

  • Rollary/toparlary gözden geçirmek, "asylan" hukuklary awtomatiki yzyna almak
  • Anomal eksporty we break-glass barlagy
  • Gizlinlik/howpsuzlyk boýunça tassyklanan okuw

16) Durmuşa geçirmegiň ýol kartasy

Hepdeler 1-2: maglumatlaryň/ulgamlaryň inventarizasiýasy, klassifikasiýa, rollaryň esasy matrisi, kadaly maskalanmagy goşmak.
3-4 hepdeler: ABAC (çarşenbe/geo/MDM/wagt), JIT we PAM, ak eksport sanawlary, 'purpose' magazinesurnallary.
2-nji aý: offboarding awtomatlaşdyrylmagy, SOAR-alertleri ('purpose '/anomaliýalarsyz), çärýekleýin gaýtadan sertifikatlaşdyrmak.
3 aý: atributlary giňeltmek (KUS derejesi/enjam töwekgelçiligi), privacy thresholds, yzygiderli tabletop-maşklar.

TL; DR

Least Privilege = iň az gysyş + PII maskalama + ABAC konteksti + JIT/PAM + berk audit we çalt yzyna çagyryş. Elýeterliligi dolandyryp bolýar, syzmak/galplyk töwekgelçiligini azaldýar we auditleriň geçmegini çaltlaşdyrýar.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.