GH GambleHub

RBAC: rolleri ve izinleri yönetme

1) RBAC hedefleri ve ilkeleri

Amaç: Para/PII ve uyumluluğu (GDPR/AML/PCI/ISO) korumak için erişimi yönetilebilir, doğrulanabilir ve minimum hacimde yapın.
İlkeler: En Az Ayrıcalık· Bilinmesi Gerekenler· Görevlerin Ayrılması (SoD)· Sıfır Güven· Geri alınabilirlik (hızlı hatırlama)· Denetlenebilirlik (kanıtlanabilirlik).

2) Hakların ve rollerin taksonomisi

İzin türleri:
  • Veriler: 'READ', 'WRITE', 'EXPORT', 'DELETE', 'MASKED _ READ' (PII için varsayılan).
  • Операции: 'APPROVE _ WITHDRAWING', 'CHANGE _ FRM _ RULE', 'KYC _ DECISION', 'SANCTIONS _ OVERRIDE'.
  • Админ: 'ROLE _ UPDATE', 'USER _ PROVISION', 'SECRET _ ROTATE', 'BREAK _ GLASS'.
  • Entegrasyonlar: 'API _ CALL:', 'WEBHOOK _ SIGN', 'SERVICE _ CONFIG _ UPDATE'.
Rol sınıfları:
  • Çekirdek (сквозные): 'employee _ basic', 'viewer _ internal', 'auditor _ privacy'.
  • Доменные: 'support _ agent', 'vip _ manager', 'payments _ ops', 'aml _ officer', 'kyc _ operator', 'fraud _ analyst','rg _ specialist ',' bi _ analyst '.
  • Sistem/bunlar: 'devops _ admin', 'dba _ admin', 'service _ account _',' read _ only _ prod '.
  • Ayrıcalıklı (PAM/JIT aracılığıyla): 'Break _ glass _ admin', 'prod _ db _ jit _ editor'.

3) Rol mühendisliği

1. Kaynakların envanteri: sistemler/tablolar/uç noktalar, veri sınıfları (Genel/Dahili/Gizli/Kısıtlı/Çok Kısıtlı).
2. İşlevlere göre kullanıcı hikayeleri: kim ne yapar ve neden (amaç).
3. Görev eşleme - izinler - işlev başına minimum set.
4. Rolde gruplama: bir rol = bir sorumluluk alanı; "Süper rollerden" kaçının.
5. SoD testi: uyumsuzlukları kontrol etme (örn. 'ödemeler _ ops' ≠ 'dolandırıcılık _ kural _ yönetici').
6. Pilot ve ölçüm: Geçici olarak sınırlı bir grup yayınlıyoruz, bir denetim izi topluyoruz.
7. Sürüm oluşturma: Her rol değişikliği, changelog ile CAB aracılığıyla yapılır.

4) RBAC ↔ ABAC ↔ SoD etkileşimi

RBAC, prensip olarak "ABAC -'hangi koşullarda" (çevre, coğrafi, cihaz/MDM, zaman, KYC seviyesi, 'amaç') cevap verir.
SoD, tehlikeli rol kombinasyonlarını yasaklar ve kritik eylemler için 4 göz gerektirir.
Uygulama: varsayılan olarak, roller PII'ye MASKED_READ verir; Maskesiz erişim bir 'amaç' + JIT özniteliği ve olumlu bir ABAC politika kararı gerektirir.

5) Çok kiracılık ve coğrafi bağlam

Kiracı kapsamı: Roller bir kiralama/marka/yargı yetkisine bağlıdır ('rol: payments _ ops @ EEA').
Coğrafi anahtarlar: bireysel şifreleme anahtarları ve bölge başına erişim segmentleri (EC/UK/...).
Granülerlik: 'region _ code' sütununa (RLS) ve oyuncu yetki alanına göre filtreleme.

6) Satır/Sütun Düzeyinde Güvenlik ve Maskeleme

Strateji:
  • RLS (dizeler): Yalnızca ülke/marka/ekip kayıtlarınıza erişin.
  • CLS (sütunlar): hassas alanlar maskelenmiş olarak kullanılabilir; Maskesiz - sadece 'pii _ unmask' + 'amaç' ayrıcalığı ile.
Mini örnek (SQL fikri): 
sql
CREATE POLICY rls_tx
ON dwh. transactions
USING (region_code = current_setting('app. region'));

SELECT
CASE WHEN has_priv('pii_unmask') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

7) JIT, kırılma camı и PAM в RBAC

JIT: Bilet altında geçici ayrıcalıklı rol (15-120 dakika); Otomatik geri bildirim; tam denetim.
Cam kırma: MFA + ikinci onay ve oturum kaydı ile acil erişim; Security + DPO ile inceleme sonrası.
PAM: gizli mağaza, oturum proxy'si, şifre/anahtar rotasyonu.

8) Rol Yaşam Döngüsü (SOP)

SOP-1: Rol Oluşturma/Değiştirme

1. Etki alanının sahibinin sorgulanması - görevlerin listesi - izinlerin haritalanması - SoD-kontrol - pilot - CAB - serbest bırakma + belgeler.

SOP-2: İstek ve Hibe Erişimi

1. 'Amaç've son tarih ile uygulama (IDM/ITSM) - SoD/yargı otomatik doğrulama - veri sahibi onayı + Güvenlik (Kısıtlı + için) - yayınlama (genellikle JIT) - kayıt defteri girişi.

SOP-3: Geri bildirim/Offboarding

Tetikleyiciler: Sonlandırma, rol değişikliği, hareketsizlik> 30/60 gün, JIT süresi doldu.
Otomatik geri çağırma ve kayıt.

SOP-4: Yeniden sertifikalandırma

Üç ayda bir, sahipler kullanıcı rollerinin hala gerekli olduğunu onaylar; sistem "asılı" hakları kaldırır.

9) Rol matrisi örneği (fragman)

Rolİzin tabanıMaskelemeKritik eylemlerSoD-conflict
'support _ agent'READ profilleri, biletlerEvet (PII maskelenmiş)с 'kyc _ operator'
'vip _ manager'VIP OKUYUN, bonuslarEvet yaptım'payments _ ops' (onaylar) ile
'ödemeler _ ops',PII maskelenmiş'PAYMENT _ APPROVE' (4-eyes)с 'fraud _ rule _ admin'
'dolandırıcılık _ analiz',PII maskelenmiş'CHANGE _ FRM _ RULE'с 'payments _ ops'
'kyc _ operator'KYC_DECISIONMaskelenmiş belgeler (JIT aracılığıyla bir kez görüntüleme)'KYC _ APPROVE''support _ agent' с
'bi _ analyst'OKUMA birimleriHer zaman maskeli'EXPORT' via ekran örnekleriс 'dba _ admin'
'devops _ admin'infra admin'BREAK _ GLASS'iş rolleri ile

10) Araçlar ve uygulama (desenler)

Kod olarak rol kataloğu: Depoda YAML/JSON + CI doğrulayıcıları, changelog.
Merkezi IdP/SSO: SCIM sağlama, grup eşlemeleri'grup - rol '.
Politika karar noktası: bağlam nitelikleri ile politika motoru (ABAC).
Sırlar/KMS: çevre/bölge/kiracı başına anahtar yalıtımı.
Veri ağ geçidi: DWH/BI/ihracat için tek bir maskeleme/denetim katmanı.
SIEM/SOAR: korelasyon 'ROLE _ UPDATE'/' READ _ PII'/' EXPORT _ DATA', otomatik biletler.

11) Denetim ve Kayıt

Обязательные события: 'ROLE _ ASSIGN', 'ROLE _ REVOKE', 'ROLE _ UPDATE', 'BREAK _ GLASS', 'JIT _ GRANT', 'READ _ PII', 'EXPORT _ DATA', 'PAYMENT _ APPROVE', 'KYC _ DECISION'.
Gereksinimler: WORM kopyası, hash zincirleri, paket imzası, her olayda 'amaç'/' bilet _ id', zaman senkronizasyonu.

12) Metrikler ve KPI/KRI

Kapsama: RBAC altındaki sistemlerin %'si ≥ %95'i.
SoD ihlalleri: = 0; Uyumsuz roller atamaya çalışır - otomatik blok.
JIT oranı: Artışların ≥ %80'i JIT'tir.
Offboarding TTR: Hakların iptali ≤ 15 dk.
Maskelenmiş okuma oranı: PII'ye yapılan çağrıların ≥ %95'i maskelenir.
Yeniden sertifikalandırma: Üç ayda bir onaylanan %100 roller.
İmzalı ihracat: İmza/log ile yapılan ihracatın %100'ü.

13) RACI (büyütülmüş)

AktiviteUyumluluk/YasalDPOGüvenlikSRE/ITVeri/BIÜrün/EngAlan adı sahibi
RBAC/SoD PolitikasıA/RCCCCCC
Rol/hak tasarımıCCA/RRRRR
ABAC/JIT/PAMBENBENA/RRBENCBEN
Yeniden sertifikalandırmaCCARRRR
Dışa aktarma/MaskeCARRRCC

14) Kontrol listeleri

Rol oluşturmadan önce

  • Açıklanan kullanıcı hikayeleri ve 'amaç'
  • Kaynakların ve veri sınıflarının listesi
  • Minimum izinler eşleme
  • SoD kontrolü/çakışmaları
  • Maskeleme ve RLS/CLS Politikası
  • Yeniden sertifikalandırma planı ve sahipleri

Erişim izni vermeden önce

  • Sabit 'amaç've tarih
  • SoD/yargı/MDM/MFA tamamlandı
  • Varsayılan maskeleme, promosyonda JIT
  • Dergi ve revizyon tarihi dahil

15) Sık hatalar ve anti-desenler

Küçük alan adları yerine geniş haklara sahip "süper roller".
Maskeleme ve 'amaç' olmadan PII'ye doğrudan erişim.
'PAYMENT _ APPROVE'/' KYC _ APPROVE' için SoD/dördüncü göz yok.
Geçici hakların "sonsuza dek" uzatılması.
Prod verilerini dev/stage'e kopyalayın.
İmza ve log olmadan opak dışa aktarma.

16) Uygulama Yol Haritası

Hafta 1-2: Varlık envanteri/veri sınıflandırması; rollerin taslak matrisi; SoD tablosu.
3-4. Haftalar: Kod olarak RBAC (depo), IdP grupları/SCIM, ABAC motoru (temel nitelikler: çevre/jeo/MDM/zaman), JIT/PAM, DWH/BI için maskeleme katmanı.
Ay 2: yeniden sertifikalandırma, offboarding otomasyonu, RBAC/SoD/ABAC ihlalleri için SOAR uyarıları, ihracat günlükleri/WORM.
Ay 3 +: özellik uzantısı (cihaz riski, KYC seviyesi), erişim yanlılığı denetimleri, maliyet optimizasyonu ve düzenli masa üstü egzersizleri.

TL; DR

Güçlü RBAC = küçük alan rolleri + öznitelik koşulları (ABAC) + SoD ve JIT/PAM + maskeleme ve RLS/CLS + sert denetim ve yeniden sertifikalandırma. Bu, sızıntı/kötüye kullanım riskini azaltır, denetimi hızlandırır ve platformu gizlilik ve uyumluluk gereksinimlerinin sınırları içinde tutar.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.