RBAC: Rollary we çözgütleri dolandyrmak

1) RBAC-nyň maksatlary we ýörelgeleri

Maksat: pul/PII-ni goramak we talaplary (GDPR/AML/PCI/ISO) berjaý etmek üçin dolandyrylýan, barlanylýan we göwrümi boýunça iň az elýeterliligi üpjün etmek.
Ýörelgeler: Least Privilege· Need-to-Know· Separation of Duties (SoD)· Zero Trust· Revocability (çalt yzyna çagyryş)· Auditability (subut edilip bilinjekdigi).

2) Hukuklaryň we rollaryň taksonomiýasy

• Maglumatlar: 'READ', 'WRITE', 'EXPORT', 'DELETE', 'MASKED _ READ' (PII üçin standart).
• Операции: `APPROVE_WITHDRAWAL`, `CHANGE_FRM_RULE`, `KYC_DECISION`, `SANCTIONS_OVERRIDE`.
• Админ: `ROLE_UPDATE`, `USER_PROVISION`, `SECRET_ROTATE`, `BREAK_GLASS`.
• Integrasiýa: 'API _ CALL:', 'WEBHOOK _ SIGN', 'SERVICE _ CONFIG _ UPDATE'.

• Core (сквозные): `employee_basic`, `viewer_internal`, `auditor_privacy`.
• Доменные: `support_agent`, `vip_manager`, `payments_ops`, `aml_officer`, `kyc_operator`, `fraud_analyst`, `rg_specialist`, `bi_analyst`.
• Ulgam/tech: 'devops _ admin', 'dba _ admin', 'service _ account _', 'read _ only _ prod'.
• Artykmaç (PAM/JIT arkaly): 'break _ glass _ admin', 'prod _ db _ jit _ editor'.

3) Rollaryň dizaýny (role engineering)

1. Çeşmeleriň sanawy: ulgamlar/tablisalar/endpointler, maglumat synplary (Public/Internal/Confidential/Restricted/Highly Restricted).
2. User stories funksiýalary boýunça: kim näme edýär we näme üçin (purpose).
3. Meseleler → permissions mapping: her funksiýa üçin iň az toplum.
4. Rolda toparlamak: bir rol = bir jogapkärçilik domeni; "super rollardan" gaça durmak.
5. SoD synagy: gabat gelmeýänligi barlamak (mysal üçin, 'payments _ ops' ≠ 'fraud _ rule _ admin').
6. Pilot we ölçeg: wagtlaýyn çäklendirilen topara berýäris, audit yzyny ýygnaýarys.
7. Wersiýalaşdyrmak: roluň her üýtgemegi - changelog bilen CAB arkaly.

4) Özara gatnaşygy RBAC, ABAC, SoD

RBAC "prinsipde kim edip biler", ABAC - "haýsy şertlerde" (gurşaw, geo, enjam/MDM, wagt, KYC derejesi, 'purpose') jogap berýär.
SoD howply rol kombinasiýalaryny gadagan edýär we möhüm hereketler üçin 4-eyes talap edýär.
Amal: rollar PII-e MASKED_READ berýär; gizlenmedik giriş üçin 'purpose' + JIT atributy we ABAC syýasatynyň oňyn çözgüdi talap edilýär.

5) Köp kärende we geo-kontekst

Tenant-skope: rollar kärende/marka/ýurisdiksiýa baglanýar ('role: payments _ ops @EEA').
Geo-keys: Aýry-aýry şifrlemek açarlary we per sebit giriş segmentleri (EC/UK/...).
Granularity: 'region _ code' (RLS) sütünine we oýunçynyň ýurisdiksiýasyna görä süzülýär.

6) Row/Column-Level Howpsuzlyk we Maskalama

• RLS (setirler): diňe öz ýurdunyň/markasynyň/toparynyň ýazgylaryna girmek.
• CLS (sütünler): duýgur meýdanlar gizlin elýeterlidir; gizlenmedik - diňe 'pii _ unmask' + 'purpose' artykmaçlygy bilen.

sql
CREATE POLICY rls_tx
ON dwh. transactions
USING (region_code = current_setting('app. region'));

SELECT
CASE WHEN has_priv('pii_unmask') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

7) JIT, break-glass и PAM в RBAC

JIT: wagtlaýyn artykmaç rol (15-120 minut); awto yzyna almak; doly audit.
Break-glass: MFA + sessiýanyň ikinji tassyklamasy we ýazgysy bilen gyssagly giriş; Security + DPO bilen post-revew.
PAM: syrlary saklamak, sessiýa proksi, parollary/açarlary aýlamak.

8) Rollaryň durmuş sikli (SOP)

SOP-1: Roly döretmek/üýtgetmek

1. Domen eýesiniň soragy → meseleler sanawy → mapping permissions → SoD-çek → pilot → CAB → goýbermek + resminamalar.

SOP-2: Elýeterliligi talap etmek we bermek

1. Arza (IDM/ITSM) 'purpose' we möhlet bilen → SoD/ýurisdiksiýanyň awto-barlagy → maglumat eýesiniň tassyklamasy + Howpsuzlyk (Restricted + üçin) → bermek (köplenç JIT) → reýestre ýazgy.

SOP-3: Yzyna almak/offbording

Triggerler: işden aýrylmak, roluň üýtgemegi, işjeňligiň ýoklugy> 30/60 gün, JIT möhleti gutardy.
Awtomatiki jogap we magazineurnal.

SOP-4: Gaýtadan sertifikatlaşdyrmak

Eýeler çärýekde ulanyjylaryň rollarynyň henizem zerurdygyny tassyklaýarlar; ulgam "asylan" hukuklary aýyrýar.

9) Rol matrisasynyň mysaly (bölek)

10) Gurallar we satuwlar (patternler)

Rollaryň katalogy kod hökmünde: ammarda YAML/JSON + CI-validatorlar, changelog.
Merkezi IdP/SSO: SCIM-provizing, toparlaýyn mappingler 'group → role'.
Policy decision point: kontekst atributlary bolan syýasat hereketlendirijisi (ABAC).
Secrets/KMS: çarşenbe/sebit/tenant açarlarynyň izolýasiýasy.
Data gateway: DWH/BI/eksport üçin ýekeje örtük/audit gatlagy.
SIEM/SOAR: korrelasiýa 'ROLE _ UPDATE '/' READ _ PII '/' EXPORT _ DATA', awto-biletler.

11) Audit we žurnallaşdyrma

Обязательные события: `ROLE_ASSIGN`, `ROLE_REVOKE`, `ROLE_UPDATE`, `BREAK_GLASS`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `KYC_DECISION`.
Talaplar: WORM-göçürme, heş-zynjyrlar, bukjalaryň goly, her wakada 'purpose '/' ticket _ id', wagt-sinhronizasiýa.

12) Metrikler we KPI/KRI

Coverage: RBAC-daky ulgamlaryň% -i ≥ 95%.
SoD violations: = 0; gabat gelmeýän rollary bellemek synanyşyklary - awto-blok.
JIT rate: ≥ 80% ýokarlanmagy JIT ýaly gidýär.
Offboarding TTR: hukuklaryň yzyna alynmagy ≤ 15 minut.
Masked reads ratio: ≥ PII ýüz tutmalaryň 95% -i gizlenýär.
Recertification: Rollaryň 100% -i çärýekde tassyklandy.
Exports signed: 100% eksport bilen gol/magazineurnal.

13) RACI (ulaldylan)

14) Çek-listler

Roly döretmezden öň

• user-stories we 'purpose' tarapyndan beýan edildi
• Çeşmeleriň we maglumat synplarynyň sanawy
• Mapping minimal permissions
• SoD barlagy/gapma-garşylyklary
• Gizlemek syýasaty we RLS/CLS
• Gaýtadan sertifikatlaşdyryş meýilnamasy we eýeleri

Giriş berilmezden öň

• Bellenen 'purpose' we möhlet
• SoD/ýurisdiksiýalar/MDM/MFA ýerine ýetirildi
• Mahabat, JIT
• Täzeden seredilen magazineurnal we senesi girizildi

15) Ýygy-ýygydan ýalňyşlyklar we anti-patternler

Kiçi domenleriň ýerine giň hukukly "Superrollar".
Gizlenmezden PII-e gönüden-göni girmek we 'purpose'.
'PAYMENT _ APPROVE '/' KYC _ APPROVE' üçin SoD/dördünji gözüň ýoklugy.
Wagtlaýyn hukuklaryň "hemişelik" uzaldylmagy.
Prod-maglumatlary dev/stage -e göçürmek.
Goly we magazineurnaly bolmadyk aç-açan däl eksportlar.

16) Durmuşa geçirmegiň ýol kartasy

1-2-nji hepdeler: çeşmeleriň inventarizasiýasy/maglumatlaryň klassifikasiýasy; rollaryň gara matrisa; SoD tablisasy.
3-4 hepdeler: RBAC kod (ammar), IdP toparlary/SCIM, ABAC hereketlendirijisi (esasy atributlar: gurşaw/geo/MDM/wagt), JIT/PAM, DWH/BI üçin maskalanma gatlagy.
2-nji aý: RBAC/SoD/ABAC düzgün bozmalaryna garşy gaýtadan sertifikatlaşdyrmak, offboarding awtomatlaşdyrylmagy, SOAR-alertleri, eksport magazinesurnallary/WORM.
3-nji aý: atributlary giňeltmek (enjamyň töwekgelçiligi, KYC-derejesi), giriş bias-auditleri, bahany optimizirlemek we yzygiderli tabletop-maşklar.

TL; DR

Güýçli RBAC = ownuk domen rollary + atribut şertleri (ABAC) + SoD we JIT/PAM + maskalama we RLS/CLS + berk audit we gaýtadan sertifikatlaşdyrmak. Bu syzmak/hyýanatçylykly peýdalanmak töwekgelçiligini peseldýär, auditi çaltlaşdyrýar we platformany gizlinlik we laýyklyk talaplarynyň çäginde saklaýar.