Ayrıcalık segmentasyonu
1) Segmentasyon neden gereklidir?
Ayrıcalık segmentasyonu, "patlama yarıçapı" hatalarını ve içeriden kötüye kullanımı azaltmanın anahtarıdır. Operasyonların hızını ve yasal gerekliliklere uyumu korurken, kimin hangi verilerle ve nerede hangi eylemleri gerçekleştirebileceğini doğru bir şekilde sınırlamanıza olanak tanır.
Kazançlar:- "Gereksiz haklar" nedeniyle daha az olay;
- Araştırmaların hızlandırılması: erişim şeffaf ve açıklanabilir;
- SoD/uyumluluk, kanıtlanabilir denetim ile uyumluluk;
- Üretim çekirdeği için risk olmadan güvenli deneyler ve hızlı sürümler.
2) İlkeler
Sıfır Güven: her eylem bağlamsal olarak kontrol edilir; "Güvenilir bölge" yok.
Minimum Ayrıcalık: Minimum süre için verilen minimum haklar (ideal olarak JIT).
Rol Üzerindeki Bağlam: haklar sadece role değil, aynı zamanda niteliklere de (kiracı, bölge, çevre, risk) bağlıdır.
Görev Ayrımı (SoD): Ayrı başlatma, onay, yürütme ve denetim.
Kod Olarak Politika: sürüm, test ve inceleme içeren koddaki politikalar.
3) Erişim olgunluk modeli
1. RBAC (roller) - başlangıç - sabit roller (Destek, Risk, Ödemeler, Ticaret, Ops, SRE, Uyumluluk).
2. ABAC (özellikler): özellikler ekleyin: kiracı, bölge, yetki alanı, ürün, kanal, çevre (prod/stage/dev), zaman, risk sınıfı, KRI sinyalleri.
3. PBAC (politika tabanlı):'kim/ne/nerede/ne zaman/neden "+ koşulları (örneğin," satışta - yalnızca JIT tarafından ve bir biletle ") merkezileştirilmiş politikalar.
4) Segmentasyon alanları (eksene göre eksen)
4. 1 Kiracı/müşteri
Erişim ve işlemler belirli bir marka/operatör/bağlı kuruluş ile sınırlıdır.
Kiracı arası faaliyetler, kesinlikle tanımlanmış PII dışı toplamalar dışında yasaktır.
4. 2 Bölge/yargı alanı
Politikalar yerel lisanslama ve KYC/AML kurallarını dikkate alır.
Oyuncu veri işlemleri, depolama ve işleme coğrafyası ile sınırlıdır.
4. 3 Çevre (dev/sahne/prod)
Prod izole edilmiştir: bireysel krediler, ağlar, Bastion/PAM, "varsayılan olarak salt okunur".
Sadece JIT'i bir biletle prod etmek ve pencereleri değiştirmek için erişim.
4. 4 Veri sınıfı
PII/finans/oyun telemetri/teknoloji uzmanları - farklı erişim ve maskeleme seviyeleri.
PII'yi dışa aktarın - yalnızca onaylanmış şifreli iş akışları ve TTL aracılığıyla.
4. 5 Operasyonların kritikliği
P1/P2/P3 sınıfları: katsayıların yayınlanması, manuel ofsetler, sonuçlar, PSP yönlendirme değişikliği - ikili kontrol gerektirir.
Düşük riskli operasyonlar siyaset tarafından otomatik olarak kaldırılabilir.
5) Ayrıcalık seviyeleri (katmanlar)
Görüntüleyici: salt okunur kümeler ve maskelenmiş veriler.
Operatör - Yapılandırmaları değiştirmeden çalışma kitabı prosedürlerini gerçekleştirin.
Katılımcı-Kritik olmayan alanlardaki yapılandırmaları değiştirir.
Onaylama: Uygulamaların ve yüksek riskli işlemlerin onaylanması (yürütme - SoD ile birleştirilmez).
Admin (JIT): Çift kontrol ve oturum kaydı altında nadir görevler için kısa vadeli promosyon.
6) SoD ve uyumsuz roller
Uyumsuzluklara örnekler:- Sonuçları başlatın ≠ onaylayın ≠ sonuçlandırın.
- Bir bonus kampanyası oluşturun ≠ satışta etkinleştirin ≠ limitleri değiştirin.
- Özelliği geliştirin ≠ serbest bırakma ≠ prod'a uygulayın.
- Bir PII yüklemesi isteyin ≠ onaylayın ≠ şifreyi çözün.
Her çift için - revizyon tarihi olan resmi bir yasaklama ve dışlama politikası.
7) JIT erişimi ve PAM
Talep üzerine yükseklik: Hedefi/bileti/terimi belirtin; Son kullanma tarihinden sonra - otomatik hatırlama.
İkili kontrol: P1/P2 eylem - farklı işlevlerden iki uygulama.
Oturum kontrolü: kritik oturumları kaydetmek, anomali uyarıları, PII ile çalışırken yapıştırma yasağını kopyalayın.
Break-glass: Sert limitli acil durum erişimi ve zorunlu denetim sonrası.
8) Hizmet hesapları ve API kapsamları
Minimal kapsamlar; Görev/mikro hizmet bölümleme kısa ömürlü belirteçler/sertifikalar.
Sırların döndürülmesi, paylaşılan sırların yasaklanması; "Tanrı kapsamı" yasağı.
Oran/kota limitleri, idempotency tuşları, webhook imzası (HMAC).
9) Altyapı seviyesi segmentasyonu
Ağlar: segment yalıtımı (alan başına/kiracı başına), varsayılan çıkış engelleme, mTLS.
Kubernetes/Bulut: çevre ve etki alanı başına ad alanları/projeler, tehlikeli kalıpları yasaklamak için Gatekeeper/OPA.
DB/Önbellekler: erişim aracısı (DB proxy/IAM), varsayılan olarak salt okunur, DDL pencere dışı satışlarda engellenir.
Depolar: Denetim için TTL ve WORM politikaları ile sınıf başına farklı anahtarlar/kovalar.
10) Kod Olarak Politikalar (PaC)
Depolardaki politikalar (Rego/YAML), PR incelemesi, otomatik testler (unit/e2e), diff denetimi.
Dinamik bağlam: günün saati, yeri, KRI seviyesi, operasyonun risk skorlaması.
İzin verme/reddetme kararının açıklanabilirliği ve denetimde politikaya atıfta bulunulması.
11) Günlükler ve denetim
Bütünlük: kim/ne/nerede/ne zaman/neden, ön/posta değerleri, bilet kimliği.
Değiştirilemez: merkezi koleksiyon, WORM/değişmez, kayıt imzalama.
Bağlantı: bir yönetici konsolları zinciri - API'ler - veritabanları - harici sağlayıcılar.
Denetim SLA: Kontrol/regülatör taleplerine yanıt oranı.
12) Gösterge Panoları ve Metrikler (KPI/KRI)
Erişim KPI: JIT'in kalıcı haklara karşı payı, ortalama ayrıcalık süresi, SoD tarafından kapsanan %, başvuru işleme süresi, yeniden sertifikalandırma kapsamı.
Kötüye kullanım KRI: hassas işlemlerin patlamaları, kütle boşaltma, atipik yerler/saatler, "zayavka - deystviye - otkat" dizileri.
Exec-dashboard: yüksek riskli rollerin, kırılma olaylarının, trendlerin durumunu izleyin.
13) Politika örnekleri (eskizler)
Prod- операции: 'if role in {Operator, Admin} AND env = prod AND jit = true AND ticket! = null AND sod_ok AND time in ChangeWindow'.
Экспорт PII: 'allow if data_class=PII AND Purposes in ApprovedPurposes AND tl <= 7d AND encryption = ON AND approvers> = 2'.
PSP- роутинг: 'allow if action = UpdateRouting AND dual_control AND risk_assessment_passed AND rollback_plan_attached'.
14) Uygulama Yol Haritası (8-12 hafta)
Ned. 1-2: Operasyon/Rol/Veri Envanteri, SoD Matrisi, Veri Sınıflandırma ve Segmentasyon Alanları.
Ned. 3-4: RBAC temeli, rol kataloğu, üretim konsolları için JIT, PaC'nin başlangıcı (OPA/Gatekeeper).
Ned. 5-6: ABAC: kiracı/bölge/çevre/veri sınıfı nitelikleri; Ad alanlarının/projelerin ayrılması.
Ned. 7-8: PAM (JIT yükselmesi, oturum kaydı, kırılma camı), DDL yasağı ve veritabanı brokeri, PII ihracat politikaları.
Ned. 9-10: Yüksek riskli işlemler için PBAC (sonuçlar, bonuslar, PSP), ikili kontrol, KRI uyarıları.
Ned. 11-12: Üç ayda bir yeniden sertifikalandırma, PaC operasyonlarının %100 yüksek riskli kapsamı, raporlama ve eğitim.
15) Eserler
Rol Kataloğu: roller, minimum ayrıcalıklar, sahipler.
SoD Matrix: uyumsuz roller/işlemler, istisnalar, geçersiz kılma işlemi.
Politika Paketi: Testler ve örnekler içeren bir dizi PaC politikası reddeder/izin verir.
Erişim Talep Formu: hedef, terim, nesne (kiracı/bölge/çevre), risk değerlendirmesi, uygulamalar.
Hassas Ops Register: P1/P2 eylemlerin listesi, pencereler, çift kontrol kriterleri.
Denetim Oyun Kitabı: günlükleri toplama ve sağlama, SLA yanıtı, roller.
16) Antipatterns
Kalıcı yönetici hakları ve genel hesaplar.
Çapraz kiracı "kolaylık için" erişir.
İzolasyon ürünü/sahne/dev yok.
Kod/konsollarda zorlama olmadan kağıt üzerindeki politikalar.
Şifreleme ve TTL olmadan manuel düzenleme ile PII ihracat.
Recertifications ve asılı hakları eksikliği.
17) Alt satır
Ayrıcalık segmentasyonu sadece "doğru roller" değildir. "Bu çok boyutlu izolasyon (kiracı, bölge, çevre, veri, kritiklik) + dinamik bağlam (ABAC/PBAC) + süreçler (SoD, JIT, yeniden sertifikalandırma) + teknik zorlama (PaC, PAM, ağlar/DB). Bu döngü, hata ve kötüye kullanım riskini önemli ölçüde azaltır, güvenli değişimi hızlandırır ve platformu ölçek ve düzenleyici gereksinimlere karşı esnek hale getirir.