GH GambleHub

Gerekli asgari haklar ilkesi

1) Amaç ve tanım

Amaç: Kullanıcıya/hizmete yalnızca belirli bir görevin yerine getirilmesi için kesinlikle gerekli olan kaynaklara, minimum yeterli süre boyunca ve minimum hacimde izin vermek.
Tanım: "Enlemde minimum (kaynaklar), derinlik (işlemler), zaman (TTL), bağlam (geo/cihaz/shift), duyarlılık (PII/finans)".

2) Uygulamanın temel ilkeleri

1. Bilinmesi Gerekenler: Her hak belirli bir amaç (temel) ile ilişkilidir.
2. Zamana Bağlı: TTL (JIT) ile verilen yükseltilmiş haklar; kalıcı haklar - yalnızca okuma/maskeleme.
3. Kapsam Sınırı: Erişim, kiralama/bölge/marka/proje (kiracı/bölge kapsamı) ile sınırlıdır.
4. Veri Küçültme: PII varsayılan olarak maskelenir; De-mask - sadece açık zeminde.
5. İzlenebilirlik: herhangi bir erişim++ 'amaç'/' bilet _ id' günlüğü.
6. Geri alınabilirlik: hızlı geri bildirim (offboard ≤ 15 dakika, JIT - otomatik geri bildirim).

3) Diğer kontrollerle iletişim

RBAC: prensipte kimin yapabileceğini belirler (temel rol).
ABAC: hangi koşullar altında (geo, cihaz/MDM, zaman, KYC seviyesi, risk) olduğunu belirtir.
SoD: tehlikeli rol kombinasyonlarını yasaklar, hassas eylemler için 4-göz gerektirir.
Segmentasyon: ağ/mantıksal çevreler (ödeme, KYC, DWH, sırlar).
PAM/JIT/break-glass: Geçici ayrıcalıkların güvenli bir şekilde verilmesi ve kaydedilmesi.

4) Kaynak ve operasyon sınıflandırması

Veri sınıfıÖrneklerMinimum seviye
Kamusite içeriğiYetki olmadan
DahiliPII olmayan metriklerSSO, salt okunur
GizliDWH raporları/toplamlarıSSO + MFA, viewer_... roller
Kısıtlı (PII/Finans)KYC/AML, İşlemler, RGMaskelenmiş-okunmuş, maskesiz için JIT
Son derece kısıtlısırlar, yönetici konsolları, PANPAM, kaydedilen oturumlar, izolasyon

İşlemler: 'READ', 'MASKED _ READ' (PII için varsayılan), 'WRITE' (scoped), 'APPROVE _' (4-eyes),' EXPORT '(storefronts only, signature/journal aracılığıyla).

5) Görev-erişim hakları mühendisliği

1. Kullanıcı Hikayesi - Amaç: "Analistin PII olmadan bir AB dönüşüm raporu oluşturması gerekiyor".
2. Kaynak listesi: vitrin 'agg _ conversions _ eu'.
3. İşlemler: 'READ' (PII olmadan), 'EXPORT _ RAW' yasağı.
4. ABAC bağlamı: iş saatleri, corp VPN/MDM, bölge = AB.
5. TTL: sürekli maskeli-okumuş; Bir kerelik maskeleme için JIT (gerekirse).
6. Loglar: 'READ'/' EXPORT' with 'purpose've' fields _ scope '.

6) Maskeleme ve seçici maskeleme

Varsayılan olarak e-posta/telefon/IBAN/PAN maskeleme;

Maskesiz erişim ('pii _ unmask') - yalnızca JIT + 'amaç' + alan adı sahibinin onayı/Uyumluluk;

Raporlarda - kümeler/k-anonimlik, "küçük örneklerin" yasaklanması (gizlilik eşikleri).

7) Geçici ayrıcalıklar: JIT ve kırılma camı

JIT: 15-120 dakika, bilet, otomatik, tam denetim.
Kırılma camı: acil erişim (MFA + ikinci onay, oturum kaydı, Güvenlik + DPO inceleme sonrası).
PAM: gizli kasa, oturum proxy'si, ayrıcalık rotasyonu.

8) Süreçler (SOP)

8. 1 Erişim Desteği (IDM/ITSM)

1. "Amaç'ile talep, kaynaklar, TTL/sebat.
2. SoD/yargı/veri sınıfı/bağlam otomatik doğrulama.
3. Alan sahibi onayı; для Sınırlı + - Güvenlik/Uyumluluk.
4. Minimum kapsam verilmesi (genellikle maskelenmiş okuma).
5. Haklar kaydına giriş: revizyon tarihi, SLA geri çağırma.

8. 2 Yeniden sertifikalandırma (üç ayda bir)

Alan adı sahibi her rolü/grubu onaylar; Kullanılmayan haklar (> 30/60 gün) - otomatik.

8. 3 Veri dışa aktarma

Sadece onaylanmış vitrinler aracılığıyla; Beyaz listeleri biçimlendirin; İmza/hash; İndirme günlüğü PII - varsayılan olarak depersonalized.

9) Satıcı/alt işlemci kontrolü

Minimal API kapsamları, entegrasyon başına ayrı anahtarlar, izin listesi IP, zaman pencereleri.
DPA/SLA: roller, erişim günlükleri, saklama, coğrafya, olaylar, alt işlemciler.
Offboarding: anahtar hatırlama, silme onayı, kapanış eylemi.

10) Denetim ve izleme

Журналы: 'ROLE _ ASSIGN/REVOKE', 'JIT _ GRANT', 'READ _ PII', 'EXPORT _ DATA', 'PAYMENT _ APPROVE', 'BREAK _ GLASS'.
SIEM/SOAR: 'Amaç' olmadan erişim uyarıları, anormal hacimler, zaman aşımı/coğrafi, SoD ihlali.
WORM: logların değiştirilmemiş kopyası + hash zinciri/imza.

11) Olgunluk Ölçütleri (KPI/KRI)

Kapsam: RBAC/ABAC için kritik sistemlerin %'si ≥ %95'i.
Maskelenmiş Okuma Oranı: PII'ye yapılan çağrıların ≥ %95'i maskelenir.
JIT Oranı: Yüksekliklerin ≥ %80'i JIT'tir.
Offboarding TTR: Hakların iptali ≤ 15 dk.
İhracat İmzalanır: İhracatın %100'ü imzalanır ve kaydedilir.
SoD İhlalleri: = 0; denemeler - otomatik blok/bilet.
Dormant Access Cleanup: Askıya alma haklarının ≥ %98'i 24 saat içinde silinir.

12) Tipik senaryolar

A) VIP istemci için bir kerelik KYC görünümü

Temel: VIP yöneticisinde maskeli okuma.
Eylem: JIT erişimi 'pii _ unmask' bilet üzerinde 30 dakika, alan kaydı/ekran günlüğü, inceleme sonrası.

B) Mühendisin prod-DB'ye erişmesi gerekiyor

Sadece PAM + JIT 60 dakika ≤ sonra, kaydedilen oturum, ihlaller için PII, post-review ve CAPA tarafından 'SELECT' yasağı.

C) Ülkeye Göre BI Raporu

PII olmadan birimlere erişim; ABAC filtresi: '[EEA]'daki bölge', corp VPN/MDM, saat 08: 00-21: 00.

13) Anti-kalıplar ve bunlardan nasıl kaçınılacağı

"Süper roller "/sınırları olmayan miras - alan rollerine bölünür, ABAC'ı içerir.
Kalıcı ayrıcalıklar "sadece durumda" - JIT + otomatik.
Prod verilerini dev/stage'e kopyalama - aliasing/sentetics.
PII'yi vitrin dışına dışa aktarın - beyaz liste, imza, dergi, maskeleme.
'Amaç' yokluğu - sert blok ve otomatik bilet.

14) RACI (büyütülmüş)

AktiviteUyumluluk/YasalDPOGüvenlikSRE/ITVeri/BIÜrün/EngDomain sahipleri
En az ayrıcalık politikasıA/RCCCCCC
RBAC/ABAC/JIT tasarımıCCA/RRRRC
Yeniden sertifikalandırmaCCARRRR
Dışa aktarma/MaskeCARRRCC
Satıcılar/SözleşmelerA/RCCCBENBENBEN

15) Kontrol listeleri

15. 1 Erişim izni vermeden önce

  • Belirtilen 'amaç've TTL
  • SoD/Yargı Yetkileri Doğrulandı
  • Varsayılan maskeleme, minimum kapsam
  • ABAC Koşulları Ağ/Cihaz/Zaman/Bölge
  • Günlük kaydı ve revizyon tarihi yapılandırıldı

15. 2 Üç aylık

  • Rollerin/grupların revizyonu, otomatik "asılı" haklar
  • Anormal ihracat ve kırılma camı olup olmadığını kontrol edin
  • Onaylanmış Gizlilik/Güvenlik Eğitimi

16) Uygulama Yol Haritası

1-2. Haftalar: veri/sistem envanteri, sınıflandırma, temel rol matrisi, varsayılan maskelemeyi etkinleştirme.

3-4. Haftalar: ABAC (Çarşamba/geo/MDM/saat), JIT ve PAM, ihracat beyaz listeleri, 'amaç' günlükleri

2. Ay: offboarding otomasyonu, SOAR uyarıları ('amaç'/anomaliler olmadan), üç ayda bir yeniden sertifikalandırma.

Ay 3 +: Özelliklerin genişletilmesi (CUS seviyesi/cihaz riski), gizlilik eşikleri, düzenli masa üstü egzersizleri.

TL; DR

Minimum Ayrıcalık = minimum kapsam + PII maskeleme + ABAC bağlamı + JIT/PAM + sert denetim ve hızlı geri çağırma. Erişimi yönetilebilir hale getirir, sızıntı/dolandırıcılık riskini azaltır ve denetimleri hızlandırır.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.