Ролевая модель

Безопасность role-model
Редактировать
Описание

Ролевая модель используется для управления доступом к серверам, базам данных и другим ресурсам инфраструктуры на основе ролей. Вместо назначения доступа каждому пользователю отдельно, роли создаются с набором прав и привилегий, которые соответствуют функциональным обязанностям и уровням ответственности.

Ценность
Преимущества:
  • Ограничение прав доступа с помощью ролей снижает риски несанкционированных действий или случайных ошибок, например, удаление данных или изменение критически важных конфигураций.
  • Администраторы могут централизованно управлять правами доступа, изменяя роли, вместо необходимости настраивать доступ каждому пользователю вручную.
  • Принцип минимальных привилегий (Principle of least privilege). Пользователи получают доступ только к тем ресурсам, которые необходимы для выполнения своих задач, что сокращает количество потенциальных точек для атаки.
Последствия отсутствия:
  • При предоставлении доступа на индивидуальном уровне пользователи могут получить слишком много прав, что увеличивает риск случайного или преднамеренного нарушения безопасности.
  • Сложное и трудоемкое управление доступом, особенно в масштабируемых системах с большим количеством пользователей и ресурсов.
  • Отсутствие понятной ролевой модели затрудняет аудит доступа, усложняя отслеживание того, кто имеет доступ к каким ресурсам и что они могут делать.
Действия для развития:
  • Использование системы управления доступом (например, LDAP, Active Directory, Keycloak, RooX UIDM), которая позволит централизованно и быстро изменять права пользователей в соответствии с ролевой моделью.
  • Определение набора ролей для каждой функциональной области, какие права входят в каждую роль, основываясь на принципе минимальных привилегий.
  • Ведение документации по каждой роли и связанным правам доступа, а также назначенным пользователям, чтобы всегда иметь актуальную информацию о распределении прав.
  • Формирование процесса для автоматического отзыва прав у сотрудников при их переводе или увольнении.
Критерии оценки 4
SURVEY

Существует ли актуальная задокументированная ролевая модель?

Варианты ответа:
  • +1 Да
  • 0 Существует, но неактуальная
  • -1 Нет
INTERVIEW

Какие инструменты используются для реализации ролевой модели и управления досутпом? Есть ли автоматизация?

INTERVIEW

Как организовано централизованное управление ролями? Кто отвечает за изменения и поддержание ролевой модели?

INTERVIEW

Как часто проводится пересмотр ролевой модели, и какие триггеры могут повлиять на этот процесс?

Ресурсы 1
  • Модуль Deckhouse user-authz - отвечает за генерацию объектов ролевой модели доступа, основанной на базе стандартного механизма RBAC Kubernetes; - предоставляет role-based-подсистему сквозной авторизации, расширяя функционал стандартного механизма RBAC; - предоставляет набор готовых ролей и уровней доступа для более детальной настройки прав доступа к объектам Deckhouse;
Действия
Редактировать практику Новая практика в этом домене
Метаданные
ID:
46e1676c-ca99-45d1-aad7-4faa4db8b7b7
Slug:
role-model
Версия:
2.0
Проекты:
ПСБ/Инфраструктура как код
Критерии:
1 survey 3 interview
Создано:
2026-04-30
Обновлено:
2026-04-30