特權細分

1）為什麼需要細分

特權分割是減少「爆炸無線電」錯誤和內部濫用的關鍵。它允許您精確地限制誰以及在何處可以對哪些數據執行哪些操作，同時保持操作速度並滿足監管機構的要求。

• 由於「多余權利」而發生的事件較少；
• 加快調查：查詢是透明和可以理解的；
• 符合SoD/合規性，可證明的審計；
• 安全的實驗和快速的發布，對原核沒有風險。

2）原則

零信托：每個動作都經過上下文驗證；沒有「信任區域」。
Least Privilege：授予最低限度的權利（理想情況下為JIT）。
Context over Role：權限不僅取決於角色,還取決於屬性（tenant、區域、環境、風險）。
Segregation of Duties （SoD）：共享啟動、批準、執行和審計。
Policy-as-Code：具有驗證，測試和咆哮的代碼中的策略。

3）訪問成熟度模型

1.RBAC （roles）：起步-固定角色（支持、風險、付款、交易、操作、SRE、合規）。
2.ABAC （attributes）：添加屬性：tenant、區域、管轄權、產品、通道、環境（prod/stage/dev）,時間、操作風險類、KRI信號。
3.PBAC（基於策略）：集中式策略「誰/什麼/何時/何時/為什麼」+條件（例如，「僅通過JIT和滴答作響」）。

4）分割域（軸對軸）

4.1 Tenant/客戶

訪問和運營僅限於特定的品牌/運營商/關聯公司。
除非嚴格定義了沒有PII的聚集，否則禁止進行跨陰影活動。

4.2區域/管轄權

政策考慮了本地許可和KYC/AML規則。
玩家數據的操作受到存儲和處理地理位置的限制。

4.3環境（dev/stage/prod）

Prod是隔離的：個別信條，網絡，Bastion/PAM，「默認只讀」。
只有JIT才能訪問prod，帶有滴答聲和更改窗口。

4.4類數據

PII/財務/遊戲遙測/技術記錄儀是不同的訪問和掩蓋級別。
PII導出僅通過經批準的workflow加密和TTL。

4.5操作的臨界性

P1/P2/P3類：系數的發布，手動排序，結論，PSP漫遊的變化-需要雙重控制。
低風險操作可能會受到政策的自動推動。

5）特權級別（tiers）

查看器：僅讀取聚合和蒙版數據。
操作員：在不更改配置的情況下執行隨機程序。
貢獻者：更改非關鍵域中的配置。
Approver：申請批準和高風險操作（不與執行-SoD結合使用）。
Admin （JIT）：雙重控制下罕見任務的短期升級和會話記錄。

6）SoD和不兼容的角色

• 啟動結論≠批準≠最終進行。
• 創建獎勵活動≠激活銷售≠更改限制。
• 開發ficha ≠應用釋放≠釋放到插件中。
• 請求卸載PII ≠批準≠解密。

每對夫婦都有正式的禁止和豁免政策，並有修訂日期。

7） JIT訪問和PAM

根據請求提供的服務：指明目的/截止日期；到期後-自動召回。
雙重控制：P1/P2動作-兩個來自不同功能的應用程序。
會話控制：記錄關鍵會話，異常異常，禁用PII時共付。
破玻璃：具有嚴格限制和強制性後期審核的緊急訪問。

8）服務帳戶和API漏洞

最小的漏洞；按任務/微服務劃分；短壽命令牌/證書。
輪換秘密，禁止共享秘密；禁止「god-scope」。
限制rate/quotas，idempotency鍵，webhook簽名（HMAC）。

9）基礎設施層面的細分

網絡：分段隔離（per-domain/per-tenant）,默認禁止使用egress, mTLS。
Kubernetes/Cloud：用於禁止危險模式的Gatekeeper/OPA的內幕/環境和域項目。
DB/緩存：訪問代理（DB proxy/IAM）,默認只讀,DDL禁令在窗口外銷售。
存儲：具有用於審核的TTL和WORM策略的不同按鍵/按類數據。

10）策略作為代碼（PaC）

存儲庫中的策略（Rego/YAML），PR review，自動測試（unit/e2e），diff審核。
動態環境：白天時間，位置，KRI級別，風險評分操作。
allow/Deny解決方案的可解釋性以及審計中的策略引用。

11）日誌和審計

完整性：誰/什麼/何時/為什麼，前/後值，ID字幕。
不可換用：集中收集，WORM/immutable，記錄簽名。
連通性：來自管理控制臺的鏈條→ API → DB →外部提供商。
審計SLA：對控制/監管請求的響應速度。

12）Dashbords和指標（KPI/KRI）

KPI訪問：JIT vs永久權利份額，特權平均持續時間，SoD覆蓋率百分比，申請處理時間，再認證覆蓋率。
KRI濫用：敏感操作激增，大量卸載，非典型位置/時鐘，「zayavka→deystviye→otkat」序列。
Exec-dashbord：高風險角色地位的軌道，破玻璃事件，趨勢。

13）策略示例（草圖）

Prod-операции: `allow if role in {Operator, Admin} AND env=prod AND jit=true AND ticket!=null AND sod_ok AND time in ChangeWindow`.

Экспорт PII: `allow if data_class=PII AND purpose in ApprovedPurposes AND ttl<=7d AND encryption=ON AND approvers>=2`.

PSP-роутинг: `allow if action=UpdateRouting AND dual_control AND risk_assessment_passed AND rollback_plan_attached`.

14）實施路線圖（8至12周）

奈德。1-2：操作/角色/數據清單、SoD矩陣、數據分類和分割域。
奈德。3-4：RBAC基礎，角色目錄，prod控制臺的JIT，PaC開始（OPA/Gatekeeper）。
奈德。5-6： ABAC： tenant屬性/區域/環境/數據類；Neymspace/項目分離。
奈德。7-8：PAM（JIT-elevation，會議記錄，斷玻璃），DDL禁令和DB經紀人，PII出口政策。
奈德。9-10：用於高風險操作（結論，獎金，PSP），雙重控制，KRI-alerta的PBAC。
奈德。11-12：季度再認證，100%高風險的PaC運營覆蓋，報告和培訓。

15）文物

角色目錄：角色，最低特權，所有者。
SoD Matrix：不兼容的角色/操作，例外，超越過程。
Policy Pack：一組PaC策略,其中包含測試和deny/allow示例。
Access Request Form：目標、期限、對象（tenant/地區/環境）、風險評估、應用程序。
感官操作註冊：操作P1/P2列表，窗口，雙重控制標準。
審計劇本：收集和提供期刊，SLA回應，角色。

16）反模式

永久管理權和一般會計。
為了方便起見，可以進行交叉訪問。
缺少prod/stage/dev隔離。
在紙上沒有代碼/控制臺中的強制策略。
通過手動安排導出PII而無需加密和TTL。
缺乏重新認證和「懸而未決」的權利。

17）結果

特權分割不僅僅是「正確的角色」。它是多維隔離（tenant，區域，環境，數據，臨界值）+動態上下文（ABAC/PBAC）+過程（SoD，JIT，重新認證）+技術脅迫（PaC，PAM，網絡/DB）。這樣的回路大大降低了錯誤和濫用的風險，加快了安全的變化，並使平臺能夠滿足規模和監管機構的要求。