GH GambleHub

Operasyon erişim kontrolü

1) Neden ihtiyacınız var

Işlemlere erişimi kontrol etmek finansal kayıpları, kötüye kullanımı ve düzenleyici ihlalleri önler. "Patlama yarıçapı" hatalarını ve içeriden gelen tehditleri sınırlar, araştırmaları hızlandırır ve değişiklikleri izlenebilir hale getirir. IGaming için bu, ödeme alanları, sahtekarlık önleme, bonus programları ve oyun içeriği/oran yönetimi için kritik öneme sahiptir.

2) Temel ilkeler

Sıfır Güven: varsayılan olarak güvenmeyin; Her hareketi kontrol edin.
En Az Ayrıcalık: Sınırlı bir süre için minimum gerekli haklar.
Bilinmesi gerekenler: verilere/işlevlere yalnızca makul bir amaç için erişim.
Segregation of Duties (SoD): Rollerin ayrılığı "istek> onay> yürütme> denetim".
Hesap verebilirlik: Her eylem, kişisel/devredilmiş sorumluluğu olan adlandırılmış bir varlık üzerindedir.
Düzenlenebilirlik - Erişim, doğrulanabilen ve kod olarak çevrilebilen ilkeler tarafından oluşturulur.

3) Erişim kontrol modeli

3. 1 Rol ve nitelik modelleri

RBAC: fonksiyona göre temel roller (Destek, Risk, Ödemeler, Ticaret, Ops, Dev, SRE, Uyumluluk).
ABAC: kiracı/bölge/yargı/kanal/ürün/çevre (prod/stage/dev) nitelikleri.
PBAC/Policy-as-Code: OPA/Rego veya analoglarındaki kurallar: kim/ne/nerede/ne zaman/neden + bağlam (KRI, zaman, operasyon risk seviyesi).

3. 2 SoD matrisi (örnek)

Ödemeler/para çekme: başlatmak ≠ onaylamak ≠ yürütmek.
Bonuslar: Bir kampanya oluşturun ≠ satışta etkinleştirin ≠ limitleri değiştirin.
Faktörler/Çizgi: Modelleme ≠ yayınlama ≠ geri alma.
Veri/PII: yükleme isteği ≠ onay ≠ şifre çözme erişimi.
Sürümler: Geliştirici ≠ yayın uygulaması ≠ roll-out operatörü.

4) Tanımlama ve federasyon devresi

SSO/MFA: Zorunlu MFA, FIDO2 desteği ile tek giriş noktası.
Just-In-Time (JIT) Provizyon - Oturum açarken özniteliklere ve risk grubuna göre roller atama.
SCIM/İK odaklı: İK etkinlikleri için otomatik atama/hakların iptali (kiralama/taşıma/çıkış).
Hizmet hesapları: kısa ömürlü belirteçler/sertifikalar, sırların döndürülmesi, sınırlı kapsam.

5) Ayrıcalıklı Erişim (PAM)

JIT-yükselme: Akıl ve biletle geçici ayrıcalık tırmanışı.
Çift kontrol (4-göz): Yüksek riskli operasyonlar için (P1/P2), farklı işlevlerden iki uygulama gereklidir.
Oturum kontrolü: Kritik oturumların kaydedilmesi/keylog'u, anomali uyarıları, gerekirse kopyala yapıştır/dosya paylaşımının yasaklanması.
Kırılma camı: Sert limitli acil durum erişimi, zorunlu denetim sonrası ve otomatik geri çağırma.

6) Veri erişim kontrolü

Sınıflandırma: PII/finansal/teknik/kamu.
Veri maskeleme: rollere göre maskeleme, tanımlayıcıların tokenizasyonu.
Erişim yolları: analizler toplamları okur; Ham PII'lere erişim - yalnızca hedef zaman penceresi olan onaylanmış iş akışları aracılığıyla.
İhracat/satır: Tüm yüklemeler bir istek/bilet ile imzalanır, TTL ile şifrelenmiş olarak saklanır.

7) iGaming alan adı işlemlerinin kontrolü

Para çekme: miktar/saat/gün limitleri, 2 faktörlü uygulama, otomatik durdurma faktörleri (risk puanlaması, hız).
Bonuslar/freespinler: bütçe/kiracı için sınır, sandbox çalışır, iki onay seviyesi.
Oranlar/piyasa çizgileri: Promosyon dönemleri çift kontrol, yayın günlüğü, hızlı geri dönüş gerektirir.
KYC/AML: belgelere erişim - hedef ve biletle, toplu indirmelerin yasaklanması.
Ödeme yolları: PSP kurallarını değiştirme - yalnızca komisyonların/dönüşümlerin gözden geçirilmesiyle değişiklik yönetimi yoluyla.
Destek eylemleri: hesap dondurma, yazma/tahakkuk etme - yalnızca bir oyun kitabı şablonu aracılığıyla, bir vakanın otomatik olarak oluşturulmasıyla.

8) Altyapı erişimi

Çevre segmentasyonu: prod izole; Kısa SSH/MTLS sertifikalarına sahip bastion aracılığıyla prod'a erişim.
Kubernetes/Cloud: neimspaces/neutrwork için politikalar, varsayılan olarak yasak çıkış, PodSecurityPolicies/OPA Gatekeeper.
DB/önbellekler: erişim aracıları (DB proxy, IAM-at-the-request level), "salt okunur varsayılan", değişiklik penceresi olmadan programda DDL yasağı.
Sırlar: gizli yönetici, otomatik rotasyon, şifresiz ortam değişkenlerinde sırların yasaklanması.

9) Uygulama ve güncelleme süreçleri

Erişim kataloğu: rollerin, niteliklerin, işlemlerin risk sınıfının, dikkate alınan SLO'nun açıklamaları.
Uygulama: gerekçe, terim, nesne (kiracı/bölge/çevre), beklenen işlem hacmi.
Nisan: satır yöneticisi + veri/operasyon sahibi; Yüksek risk için - Uyum/Ödemeler/Risk.
Erişim İncelemesi: üç ayda bir - sahipler haklara olan ihtiyacı onaylar; "Asılı" erişimlerin otomatik olarak devre dışı bırakılması.

10) Kod Olarak Politikalar

Merkezileştirme: CI/CD ve yönetici konsollarında OPA/Rego/webhooks.
Sürüm oluşturma: PR süreçleri, politika incelemeleri ve testleri, diff denetimi.
Dinamik bağlam: günün saati, KRI, coğrafi, oyuncu/operasyon risk puanlaması.
Kanıtlanabilirlik: Her izin verme/reddetme çözümünün açıklanabilir bir politikası ve bir denetim kaydı vardır.

11) Günlükler ve denetimler (kurcalamaya açık)

Değişmez - merkezi toplama (WORM/değişmez depolama), kayıt imzalama.
Bütünlük: kim, ne, nerede, ne zaman, neden (bilet kimliği), ön/son değerler.
Bağlanabilirlik: konsoldan geçen işlem izi, API, veritabanı, harici sağlayıcılar.
Denetim SLA: günlük kullanılabilirliği, kontrol/düzenleyici yanıt süresi.

12) İzleme ve uyarı

Erişim KPI: % JIT erişimleri, ortalama ayrıcalık ömrü, kırılma payı, kullanılmayan haklar> N gün.
Kötüye kullanımın KRI'si: hassas eylemlerin yapışıklıkları, kütle yüklemeleri, atipik saatler/yerler, diziler "uygulama - eylem - geri dönüş".
Gerçek zamanlı uyarılar: P1/P2 işlemler için - on-call ve SecOps kanalında.

13) Testler ve kalite kontrol

Masa üstü/pentest hikayesi: içeriden birinin senaryoları, çalınan bir belirteç, destek rollerinin kötüye kullanılması, kasıtlı yapılandırma hataları.
Kaos-erişim: Süreçlerin istikrarını kontrol eden aktif bir değişim sırasında hakların zorla iptal edilmesi.
DR testleri: SSO/PAM hatası, cam kırılması erişimi, normal döngü kurtarma.

14) Uygulama Yol Haritası (8-12 hafta)

Ned. 1-2: operasyonların/rollerin/verilerin envanteri, risk değerlendirmesi ve birincil SoD matrisi.
Ned. 3-4: Her yerde SSO/MFA, erişim dizini, yönetici konsolları için JIT, temel OPA politikaları.
Ned. 5-6: PAM: JIT yükselmesi, kayıt oturumları, denetim sonrası ile kırılma camı. Yüklemelerde PII ve iş akışı maskeleme.
Ned. 7-8: prod/stage/dev segmentasyonu, bastion modeli, veritabanı erişim aracısı, DDL yasağı.
Ned. 9-10: Çift kontrollü yüksek riskli operasyonlar; KRI kötüye kullanımı konusunda uyarılar; İlk masa üstü öğretileri.
Ned. 11-12: otomatik konumlandırma/SCIM, üç aylık erişim incelemesi, tam denetim takibi ve performans ölçümleri.

15) Eserler ve desenler

Rol Kataloğu: rol, açıklama, minimum ayrıcalıklar, ABAC özellikleri, sahip.
SoD Matrix: uyumsuz roller/işlemler, istisnalar, geçici geçersiz kılma işlemi.
Hassas Ops Register: P1/P2 eylemlerin listesi, çift kontrol kriterleri, yürütme pencereleri.
Erişim Talep Formu: hedef, terim, nesne, bilet, risk değerlendirmesi, uygulamalar.
Poliçe Paketi (PaC): Testler ve örnekler içeren bir dizi Rego politikası reddet/izin ver.
Audit Playbook: Düzenleyici ile iletişim kuran bir olaylar zinciri, SLA yanıtı nasıl toplanır.

16) KPI işlevleri

SoD ve dual control kapsamındaki operasyonların yüzdesi

Yükseltilmiş ayrıcalıkların ortalama ömrü (hedef: saatler, günler değil)

JIT-vs kalıcı erişimlerin paylaşımı

Düşük riskli şablonlar kullanarak uygulamaların kapanış saati ve otomatik güncellemelerin yüzdesi

Erişimin anahtar olduğu olayların sayısı/sıklığı

Denetim Bütünlüğü (% Bilete/Nedene Bağlı Olaylar)

17) Antipatterns

"Sonsuza dek yönetici've genel hesaplar.
BI/ad hoc aracılığıyla kılık değiştirmeden ve kayıt tutmadan üretim verilerine erişim.
Kod/konsollarda zorlama olmadan kağıt üzerindeki politikalar.
Ölüm sonrası ve otomatik geri çağırma olmadan kırık cam.
PII manuel deşarjları "kendi özgür iradeleriyle".
Destek ve finansal uygulamaların rollerini karıştırmak.

Toplam

Operasyonlara erişimin etkin kontrolü, katı ilkelerin (Zero Trust, Least Privilege, SoD), teknik araçların (SSO/MFA, PAM, PaC, segmentasyon, veritabanı brokerleri), yönetim süreçlerinin (rol kataloğu, uygulamalar/güncellemeler, yeniden sertifikalandırma) ve denetlenebilir denetimin bir kombinasyonudur. Bu çerçeve, altyapı ve iş operasyonlarını sürdürülebilir kılar, kötüye kullanım olasılığını azaltır ve olay müdahalesini hızlandırır - düzenleyiciler ve ortaklarla kanıtlanmış uyum.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.