GH GambleHub

Identity & Access Management

Gysgaça gysgaça

IAM, kimiň nämä, haýsy şertlerde we nädip gözegçilik edilýändigini üpjün edýän prosesleriň, syýasatlaryň we gurallaryň jemidir. Maksatlar: artykmaç hukuklary azaltmak, hüjümiň ýüzüni azaltmak, onbordingiň we auditiň tizlenmegi, talaplara laýyk gelmek (PCI DSS, GDPR we ş.m.) we elýeterliligiň ölçelip bolýan ygtybarlylygy.

Esasy düşünjeler

Şahsyýet (Identity): adam (işgär, potratçy), hyzmat/programma, enjam.
Autentification (AuthN): "kim" barlagy (parol → MFA → parolsyz shemalar FIDO2/passkeys).
Ygtyýarnama (AuthZ): "Rugsat berlen zat" çözgüdi (RBAC/ABAC/ReBAC, syýasatlar).
Hasap maglumatlary (Credentials): parollar, açarlar, bellikler, şahadatnamalar (mTLS).
Gizlin dolandyryş: KMS/HSM/Vault, aýlawlar, gysga TTL, dinamiki syrlar.
Durmuş sikli: Joiner-Mover-Leaver (JML) - döretmek, rollary üýtgetmek, gözden geçirmek.

IAM maksatly arhitektura

Tekizlikler we rollar:
  • IdP (şahsyýet üpjün ediji): SSO, MFA, katalog, federasiýa (OIDC/SAML), töwekgelçilik syýasaty.
  • PDP/PEP: Decision/Enforcement - syýasatyň hereketlendirijisi (OPA/Cedar) + ulanyş nokatlary (API-şlýuzlar, proksi, hyzmat-mesh).
  • Kataloglar/HR-ulgam: işgärler we rollar boýunça hakykat çeşmesi.
  • Giriş: Giriş döretmek/üýtgetmek/yzyna almak üçin SCIM/Automation.
  • Audit: merkezleşdirilen ýazgylar, UEBA, rollar we elýeterlilik boýunça hasabatlar.
Giriş akymy (user → app):
  • SSO (+ MFA) → token çykarylyşy (OIDC/JWT/SAML) → PEP tokeni/konteksti barlaýar → PDP syýasat (rol/atributlar/töwekgelçilik) boýunça karar berýär → programma girişi berýär/ret edýär.

Tassyklamak: parollardan passkeys

Parollar: diňe parol dolandyryjylary bilen, azyndan 12-14 nyşan, "senenama boýunça" aýlanmazdan, ýöne hadysada hökmany.
MFA: TOTP/WebAuthn/Push; esasy faktor hökmünde SMS-den gaça durmak.
Parolsyz giriş: Möhüm domenler üçin FIDO2/passkeys.
Adaptiw AuthN: töwekgelçilik signalyny (geo, ASN, enjam, anomaliýalar) göz öňünde tutuň → goşmaça faktor talap/bloklamak.

Giriş: RBAC, ABAC, ReBAC

RBAC: funksiýalara laýyk gelýän rollar (Support, Finance, DevOps). Ýönekeý we düşnükli, ýöne "ösýär".
ABAC: atributlar boýunça düzgünler (bölüm, töwekgelçilik derejesi, wagt, zona, çeşmeler bellikleri). Ulaldylýar.
ReBAC: "Kim nämä degişlidir" gatnaşygy (taslama eýeleri, topara gatnaşyjylar). Köp tenantly ssenariler üçin amatly.

Iň oňat amallar:
  • RBAC (esasy tor) + ABAC/ReBAC (kontekst/serhet) birleşdiriň.
  • JIT (Just-In-Time): haýyşnama/anketa arkaly wagtlaýyn artykmaçlyklary bermek, awtomatiki yzyna çagyrmak.
  • JEA (Just-Enough Access): operasiýa üçin iň az ýeterlik hukuklar.
  • PAM: sessiýa brokeri, ekrany/buýruklary ýazga almak we gysga möhletli kredileri bermek bilen izolirlenen "güýçli" girişler (DB/bulutlar administrasiýalary).

Federasiýa we SSO

Protokollar: OIDC (JWT-tokenler), SAML 2. 0 (XML assertions) - daşarky üpjün edijiler/hyzmatdaşlar üçin.
SSO: MFA bilen ýeke-täk giriş nokady, fişingiň azalmagy, merkezleşdirilen yzyna çagyryş.
B2B/B2C: hyzmatdaşlar bilen federasiýa, sebitleri çäklendirmek, domen syýasaty.
mTLS/m2m: Hyzmatlar üçin x.509 (SPIFFE/SVID) ýa-da OAuth2 Client Credentials ulanyň.

Durmuş aýlawy (JML) we üpjünçilik

Joiner: HR/katalogdan hasaplaryň we esasy rollaryň awtomatiki SCIM-provizingi.
Mover: rollar atributlar (bölek, taslama, ýerleşiş) boýunça awtomatiki üýtgeýär.
Leaver: SSO-lary, açarlary, bellikleri, repozitorlara/bulutlara/CI/CD-leri derrew yzyna almak.
Prosesler: giriş arzalary (ITSM), SoD matrisa (borçlar bölünişi), döwürleýin access review.

Syrlar, açarlar we aýlawlar

KMS/HSM: Kök/möhüm açarlary saklaň, amallaryň auditini açyň.
Vault/Secrets-dolandyryjylar: dinamiki kreddler (BD, bulutlar), TTL tamamlananda awto-rewok.
Aýlanmalar: OAuth bellikleri, JWT gol açarlary, hyzmat parollary - meýilnama boýunça we hadysalar wagtynda.
mTLS: gysga ömürli şahadatnamalar (sagatlar/günler), awtomatiki gaýtadan çykarmak.

Syýasatlar we çözgütleriň hereketlendirijisi

Deklaratiwlik: syýasaty Git-de saklaň; CI (policy-tests) -de barlaň.
Kontekst: wagt/ýerleşiş/ASN/töwekgelçilik derejesi/enjamyň ýagdaýy (MDM/EDR).

Mysal (Rego, ýönekeýleşdirilen): 
rego package authz. payments default allow = false

allow {
input. user. role == "finance"
input. device. compliant == true input. action == "read"
input. resource. type == "report"
time. now_hh >= 8 time. now_hh <= 20
}

Gözegçilik, SLO we audit

Metrikler:
  • AuthN/AuthZ (%), p95 giriş/çözgüt wagty, MFA/parolsyz girişleriň paýy.
  • JIT/PAM eskalasiýalarynyň sany, artykmaçlyklaryň ortaça dowamlylygy.
  • Compliant-enjamlaryň örtügi, gysga syrlaryň paýy.
SLO (mysallar):
  • SSO/IdP elýeterliligi ≥ 99. Aýda 95%.
  • p95 AuthZ decision ≤ 50 мс.
  • 100% hasaby ýapmak ≤ offboardingden 15 minut soň.
  • Audit we UEBA: merkezleşdirilen üýtgemeýän loglar (elýeterlilik, rollaryň üýtgemegi, şowsuz girişler, PDP çözgütleri), özüni alyp barşyň seljermesi we anomaliýalar barada aladalar.

IAM-daky waka-respons

Bellikleri/açarlary bozmak: derrew yzyna almak, hökmany logout, gol açarlarynyň aýlanmagy, gysga syrlaryň re-issue.
Hukuklardan hyýanatçylykly peýdalanmak: hasaby togtatmak, JIT/JEA-ny petiklemek, goňşy zatlar boýunça access review geçirmek.
IdP elýeterli däl: awtonom re modeimler (gysga TTL bilen tokenleriň wagtlaýyn kesh tassyklamasy), dikeldiş amallary.
Fişing: hökmany MFA, sessiýalaryň töwekgelçilik barlaglary, ulanyjylara bildirişler, okuw.

Bulutlar we Kubernetes (patternler)

Public Cloud IAM: least privilege ýörelgesi bilen milli rollary ulanyň; "baky" açarlaryň ýerine - OIDC federasiýasy bilen buluta iş ýükleri (IRSA/Workload Identity).
Kubernetes: RBAC neýspeýsler/rollar boýunça, çäklendirmek 'cluster-admin'; syrlar - daşarky dolandyryjylaryň üsti bilen; hyzmat-mesh + L7-syýasatçy üçin OPA; Admission-kontroller (gol çekilen şekiller, gadaganlyk ": latest").
API şlýuzlary: JWT/mTLS barlagy, tizlik çäkleri, duýgur endpointler üçin haýyşlaryň gollary (HMAC).

iGaming/fintech üçin tejribe

Giriş domenleri: tölegler, antifrod, PII, mazmun üpjün edijileri - rollar we tor segmentleri bilen izolirlemek.
SoD: gapma-garşy rollary birleşdirmegi gadagan etmek (mysal üçin, mahabat döretmek + tölegleri tassyklamak).
PAM we JIT: PSP/banklara we prod-DB-e girmek üçin - diňe sessiýa dellalynyň üsti bilen, ýazgy we awto-yzyna çagyryş bilen.
Gabat gelmek: PCI DSS - MFA, iň az artykmaçlyklar, CHD zonasynyň segmentasiýasy; GDPR - PII-e elýeterliligiň maglumatlary we nokat ýazgylaryny azaltmak ýörelgesi.
Mazmun hyzmatdaşlary we üpjün edijileri: federasiýa we per-tenant syýasaty; gysga ömürli tokenler we IP/ASN allow-list.

Adaty ýalňyşlyklar

"Baky" açarlar we bellikler: rotasiýa we TTL ýok → syzmak howpy ýokary.
El bilen offboarding: hukuklary yzyna almakda gijikdirmeler → "arwah" elýeterliligi.
Monolit rollary: kompozisiýa we atributlaryň ýerine bir "super rol".
MFA diňe dolandyryjyda: MFA ähli girelgeler we möhüm amallar üçin bolmaly.
Logi "hiç ýere": merkezleşdirme ýok we UEBA → wakalary soňrak ýüze çykarmak.

IAM girizmegiň ýol kartasy

1. Ulanyjylaryň/hyzmatlaryň/çeşmeleriň sanawy; maglumatlar we duýgurlyk kartasy.
2. SSO + MFA hemmeler üçin, phishing-resistant faktorlary öz içine alýar.
3. Rol modeli: esasy RBAC + kontekst üçin atributlar (ABAC); SoD matrisi.
4. "Provizhining SCIM": HR/katalogdan awto döretmek/üýtgetmek/yzyna almak; ITSM-e arzalar we arzalar.
5. PAM we JIT/JEA: artykmaç elýeterlilik üçin; sessiýalaryň ýazgysy, gysga TTL.
6. Gizlin-dolandyryş: statiki açarlardan ýüz öwürmek; dinamiki syrlar, aýlawlar, mTLS gysga şahadatnamalar bilen.
7. Git CI-de syýasatlar: düzgünleri barlamak, üýtgeşmelere gözegçilik etmek, syýasatlaryň kanareiki ýerleşdirilmegi.
8. Syn edilişi we SLO: AuthN/AuthZ dashbordlary, alertler, yzygiderli access review.

Artefaktlaryň mysallary

AWS IAM Policy (S3 hasabatlaryny okamak üçin iň az)

json
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "ReadOnlyReports",
"Effect": "Allow",
"Action": ["s3:GetObject","s3:ListBucket"],
"Resource": [
"arn:aws:s3:::reports-bucket",
"arn:aws:s3:::reports-bucket/"
],
"Condition": {
"IpAddress": { "aws:SourceIp": "203. 0. 113. 0/24" }
}
}]
}

Kubernetes RBAC (namespace-scoped dörediji)

yaml apiVersion: rbac. authorization. k8s. io/v1 kind: Role metadata:
name: dev-read-write namespace: app-prod rules:
- apiGroups: ["","apps"]
resources: ["pods","deployments","services","configmaps"]
verbs: ["get","list","watch","create","update","patch","delete"]
apiVersion: rbac. authorization. k8s. io/v1 kind: RoleBinding metadata:
name: dev-bind namespace: app-prod subjects:
- kind: User name: alice@example. com roleRef:
kind: Role name: dev-read-write apiGroup: rbac. authorization. k8s. io

OIDC: ABAC üçin tassyklamalar (mysal)

json
{
"sub": "d81f0b5c-...",
"email": "bob@example. com",
"dept": "finance",
"role": "analyst",
"device_compliant": true,
"tenant": "casino-eu"
}

Syýasat çeşmä gabat gelýän 'device _ compliant = true' we 'tenant' talap edip biler.

Gözegçilik sanawy (check-list)

  • SSO ähli programmalar üçin açykdyr; MFA, passkeys ileri tutulýar.
  • RBAC kesgitlenildi; ABAC/ReBAC kontekstini goşýar; JIT/JEA amala aşyryldy.
  • PAM artykmaç elýeterliligi goraýar; sessiýalar ýazga alynýar.
  • HR-den SCIM-provizing; offboarding doly awtomatlaşdyryldy.
  • Gysga TTL bilen dinamiki syrlar; rotasiýa awtomatlaşdyryldy.
  • Syýasatçylar Git-de wersiýa edilýär, CI-de synagdan geçirilýär; kanareýalar bar.
  • Daşbordlar we AuthN/AuthZ SLO; merkezleşdirilen loglar we UEBA.
  • Wagtal-wagtal access review we SoD barlaglary; gabat gelmek üçin hasabatlar.

FAQ

ReBAC hemmelere mätäçmi?
Ýok. Simpleönekeý gurşaw üçin RBAC + ABAC ýeterlikdir. ReBAC, çeşmelere eýelik etmegiň we köp tanatlylygyň çylşyrymly iýerarhiýasynda peýdalydyr.

Ýerli hasaplary goýup bolarmy?
Diňe break-glass we oflayn ssenariler üçin, berk çäklendirmeler we wagtal-wagtal barlamak bilen.

"Rollaryň partlamasyny" nädip azaltmaly?
Resurslaryň granulýasiýasyny ýokarlandyrmak, AVAS/şablonlary ulanmak, gykylygy awtomatlaşdyrmak we ulanylmaýan rollardan ýüz öwürmek.

Jemi

Kämillik ýaşyna ýeten IAM arhitekturasy SSO + MFA, iň az zerur hukuklar, awtomatlaşdyrylan JML, merkezleşdirilen syýasatlar we gözegçilik ukybydyr. RBAC-ny atributly we relýasiýa modelleri bilen birleşdirip, JIT/JEA we PAM-y ulanyp, şeýle hem gizlinligi üpjün etmegi we aýlanmagy awtomatlaşdyryp, howpsuzlyk we işewürlik talaplaryna laýyk gelýän dolandyrylýan, barlanylýan we ulalýan elýeterliligi alarsyňyz.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Telegram
@Gamble_GC
Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.