Перейти до вмісту

Access Control

Матеріал з K2 ERP Wiki

Physical Access Control керує доступом до фізичних місць.;== 27.; Цікавий факт: Zero Trust не означає “нікому не довіряти взагалі” == а запит іде з дозволеної країни.; У Kubernetes контроль доступу часто базується на RBAC.; Він означає:

Authorization або авторизація — це визначення того, що користувачу дозволено робити.; Приклад Kubernetes RBAC Access Control — це фундаментальна частина безпеки, яка визначає, хто має доступ до ресурсів і що саме має змогу робити.; |- | Менше шкоди від зламаного акаунта | Least privilege обмежує наслідки.; Розділити admin і звичайні акаунти.; Чи можеш ти довести, що це справді ти?;== 54.; Цікаві факти == Access Control List або ACL — список прав доступу до ресурсу.; |- | Щось, що ви знаєте | Пароль, PIN.; |- | Помилки в політиках | Неправильна IAM policy має змогу відкрити зайвий доступ.; | Least privilege.; !; * users;

  • groups;
  • file permissions;
  • ownership;
  • sudo;
  • ACL;
  • capabilities;
  • SELinux;
  • AppArmor.; |}

Що тобі дозволено?; Він має змогу дозволити іншому користувачу читати або змінювати цей файл.; Заборонено

Ресурс: financial_report.xlsx

4.; Регулярно переглядати доступи.; !; {| class="wikitable" Недолік: Контекст: робочий ноутбук, корпоративна мережа, робочий час 

'''Discretionary Access Control''' або '''DAC''' — модель, у якій власник ресурсу має змогу сам визначати, хто має доступ.;== 29. Logical Access Control ==
Приклад:

|- | Access Control | Конкретні правила й механізми доступу до ресурсів.; Що саме має змогу зробити?; користувач системи / група

  • Read;
  • Write;
  • Modify;
  • Full Control;
  • Execute;
  • List folder contents.;ACL

Коли?; І бачить чужий рахунок.; Поняття

Single Sign-On або SSO надає можливість входити в різні сервіси через один identity provider.; |}

є собою пароль — значить є собою безпека.; |- | Service accounts можуть бути небезпечнішими за людей | Бо часто мають широкі права й працюють автономно.; | користувач системи ввів пароль і MFA-код.; invoice_id=9281 

</div>

У маленькій команді часто кажуть:
resource: CRM

як ілюстрація, у хмарній системі має змогу бути:

Приклад правила:

Приклади:

Поганий приклад логіки: Фізичний доступ важливий, бо якщо хтось має доступ до серверної, він має змогу обійти багато цифрових захистів.; - apiGroups: [""]

  • звичайний користувач системи відкриває admin page;
  • користувач системи бачить чужий invoice;
  • можна змінити `user_id` в URL і отримати чужі інформаційні дані;
  • API не перевіряє ownership object;
  • роль перевіряється тільки на frontend;
  • видалення ресурсу доступне без перевірки прав.;


Роль Accountant надає можливість створювати invoices.; * identity provider стає критично важливою системою.; setfacl
user: manager01
[[Кібербезпека]]

<pre>

== 33.; Access Control в API ==

Приклад ролей:

!;<pre>

== 28. Physical Access Control ==

Його головні елементи:
/invoice/1002
користувач системи назвав себе.; Хто має admin?; |-
| Rule-Based
| Rule-Based Access Control
| Доступ визначається правилами.; Критерій
== 1.; Загальний характеристика ==
Приклади:

Приклад:

<pre>

<pre>

FROM sales_user;
!;== 23. SSO ==



8. Accountability


DAC часто зустрічається в:
Людське пояснення: Access Control — це як платформа ключів у великій будівлі.;MAC

Приклад:

Multi-Factor Authentication або MFA — це автентифікація з кількома факторами.; |-
| Authentication
| Хто ти?; * чи працівник досі функціонує в компанії?; Приклад




!;<pre>
 namespace: dev
 name: pod-reader




  • OAuth 2.0;
    • 

  • OpenID Connect;
    • 

  • JWT;
    • 

  • API keys;
    • 

  • scopes;
    • 

  • claims;
    • 

  • roles;
    • 

  • policies.; |-


| Основа
| Ролі
| Атрибути
|-
| Приклад
| Manager має змогу approve invoices
| User department=Finance і device=trusted має змогу approve invoices
|-
| Простота
| Простішій
| Складніший
|-
| Гнучкість
| Менша
| Більша
|-
| Ризик
| Role explosion
| Складність політик
|-
| Найкраще для
| Організацій із чіткими ролями
| Складних систем із контекстними умовами
|}




Добрий контроль доступу схожий на продуману будівлю: кожен має змогу потрапити туди, де має працювати, але критичні зони захищені, а важливі дії записуються.; Ідея
== 20. Separation of Duties ==

MFA значно зменшує ризик, що вкрадений пароль сам по собі дасть доступ.; Чому небезпечно





У Linux контроль доступу базується на:
Need to Know — принцип, за яким доступ дають тільки тим, кому відомості реально потрібна.; |}



verbs: ["get", "list", "watch"]



26. Zero Trust


IAM можна вважати великою системою, яка реалізує access control у масштабі організації або cloud-середовища.; У RBAC права даються не кожній людині окремо, а ролям.;== 18. Principle of Least Privilege ==

платформа перевіряє доказ.; |-
| Перевірка тільки на frontend


| API можна викликати напряму.; Видаляти старі акаунти.;

6. Authentication



sudo




Охоронець дозволив зайти тільки на 3 поверх — authorization.;


<pre>

API access control часто використовує:

1.; У базах даних контроль доступу визначає, хто має змогу:
Приклад:
!; ABAC
користувач системи надає доказ.; Проблема
!; Адмінські права мають бути винятком, а не стандартом.;== 34.; Access Control у cloud ==

* надмірні права;
* старі акаунти;
* відсутність MFA;
* погані IAM policies;
* broken access control у застосунках;
* shared admin accounts;
* відсутність журналювання;
* поганий контроль service accounts.; Перевіряти контекст.; Характеристика




3.; Access Control простими словами


Приклад:
Суть:
Але чи має змогу Anna видалити базу даних?;IDOR
Доступ до фінансових звітів дозволено, якщо:
Атрибути можуть бути:




Головні ризики:

Приклади:

якщо користувач системи із відділу Finance,

result=success




ip: 10.0.5.22



42. Audit Logs


!; |-
| Leaver
| Людина йде з компанії, доступи треба вимкнути.; |-
| Занадто широкі service accounts
| Automation має змогу отримати надмірний доступ.; Cloud IAM контролює:
TO sales_user;
Хто має пароль?; |-
| RBAC — одна з найпопулярніших моделей
| Вона добре підходить для компаній із чіткими ролями.; Правильніше:



== 15. ACL ==
{| class="wikitable"
Краще:
'''Access Control''' або '''контроль доступу''' — це набір процесів, правил і технічних механізмів, які визначають, хто має змогу отримати доступ до певного ресурсу.; | Централізоване журналювання.; kind: Role

== 2.; Коротка характеристика ==
[[Безпека даних]]
others: read
<pre>
ABAC гнучкіший за RBAC, але складніший.; * чи є собою неактивні акаунти?; Приклади ідентифікаторів:
7.; '''Zero Trust''' — сучасний підхід до безпеки.; Питання
Після цього отримує доступ до різних застосунків.; '''Joiner-Mover-Leaver''' — модель життєвого циклу доступу.;<pre>

<pre>

Приклад:




Вони мають показувати:
Privileged Access Management або PAM — це керування привілейованими доступами.; |}

Люди часто звертають увагу на користувачів:




Але сам логін ще нічого не доводить.; |-
| Access Control існує не тільки в IT
| Замки, ключі, бейджі й охорона — теж контроль доступу.; * чи є собою зайві admin-права?; !; 8.; |-
| Role explosion
| Занадто багато ролей стають некерованими.; IAM особливо важливий у cloud.; {| class="wikitable"



52.; Приклад простої RBAC-моделі


  • файл;
    • 

  • папка;
    • 

  • база даних;
    • 

  • сервер;
    • 

  • застосунок;
    • 

  • API;
    • 

  • хмарний сервіс;
    • 

  • корпоративна мережа;
    • 

  • кабінет у будівлі;
    • 

  • банківський рахунок;
    • 

  • медична картка;
    • 

  • репозиторій коду;
    • 

  • панель адміністратора;
    • 

  • Kubernetes-кластер;
    • 

  • ERP/CRM-система.; Як краще


Authorization відповідає на питання:





Хто ти?; Усі працівники мають admin access.;</syntaxhighlight>



9.; Цікавий факт: пароль — це лише маленька частина контролю доступу


  • хто виконав дію;
    • 

  • коли;
    • 

  • звідки;
    • 

  • над яким ресурсом;
    • 

  • який був результат;
    • 

  • які права були використані.; користувач системи: Anna


  • ключі;
    • 

  • бейджі;
    • 

  • турнікети;
    • 

  • охорона;
    • 

  • biometric readers;
    • 

  • smart locks;
    • 

  • дверні контролери;
    • 

  • відеоспостереження;
    • 

  • журнали відвідувачів.; * чи потрібен йому старий доступ?; Accountability — це можливість відстежити, хто що зробив.; У Windows широко використовуються ACL.;
    <syntaxhighlight lang="sql">

Видалення права:

Рекомендовані практики:

* використовувати MFA;
* застосовувати least privilege;
* не використовувати shared accounts;
* регулярно переглядати доступи;
* вимикати акаунти колишніх працівників;
* розділяти admin і звичайні акаунти;
* логувати критичні дії;
* перевіряти backend authorization;
* не покладатися тільки на frontend;
* обмежувати service accounts;
* використовувати SSO/IAM;
* шифрувати чутливі інформаційні дані;
* налаштовувати alerts для підозрілих дій;
* документувати політики доступу.;</pre>

!; | Scoped service accounts.; Сучасний access control — це не одна кнопка, а шарова платформа.; Визначити потрібні дії.; рішення для бізнесу: дозволити

6.; !; Дамо всім admin, щоб не заважало працювати.; |-
| Encryption
| Робить інформаційні дані нечитабельними без ключа.;[[Контроль доступу]]

/invoice/1001

Бухгалтер має доступ до рахунків.; HR має змогу бачити персональні інформаційні дані працівників.; '''Identity and Access Management''' або '''IAM''' — це ширша платформа керування користувачами, ролями, політиками й доступом.;</pre>
{| class="wikitable"

користувач системи має змогу зробити те,

<div style="border-left: 6px solid #2e7d32; background: #e8f5e9; padding: 12px 16px; margin: 16px 0;">

== 13. RBAC ==

* users;
* groups;
* permissions;
* NTFS ACL;
* Active Directory;
* Group Policy;
* UAC;
* local admins;
* domain admins;
* inheritance.;</div>

[[SSO]]

Access Control критично важливий для:

</pre>

* root;
* Administrator;
* database admin;
* cloud admin;
* domain admin;
* Kubernetes cluster-admin;
* production deployment account.; * чи відповідає доступ принципу least privilege?; Створити audit logs.; Але потім:

== 37. Broken Access Control ==
Developer не повинен бачити зарплати.; !; {| class="wikitable"

</pre>

[[Broken Access Control]]

* login/password;
* permissions;
* database roles;
* API tokens;
* SSH keys;
* cloud IAM policies;
* firewall rules;
* Kubernetes RBAC;
* application roles.; |-
| Щось, що ви маєте
| Телефон, hardware key, smart card.; chmod

* роль користувача;
* відділ;
* країна;
* час;
* IP address;
* device trust;
* sensitivity ресурсу;
* ownership;
* location;
* project;
* data classification.; |-
| Authorization
| Що тобі дозволено?; Тестувати access control у застосунках.; |-
| MAC
| Mandatory Access Control
| Доступ визначається централізованими політиками й рівнями безпеки.; |}

!; Приклад:

{| class="wikitable"

* Role;
* ClusterRole;
* RoleBinding;
* ClusterRoleBinding;
* ServiceAccount.; 5.; Чи треба записати твої дії в журнал?;[[Identification]]

[[RBAC]]

Документ має рівень Secret.; Його часто пояснюють так:

Доступ дозволений тільки з 09:00 до 18:00.; Приклад:
PAM сприяє:
Краще:
|-
| DAC
| Discretionary Access Control
| Власник ресурсу сам керує доступом.; Визначити ресурси.; !; Це надає можливість створити роль, яка має змогу читати Pods у namespace `dev`.; |-
| Broken Access Control — дуже часта вебвразливість
| Особливо коли backend не перевіряє права на конкретний об'єкт.; * викликати API напряму;
* змінити request;
* використати dev tools;
* написати скрипт;
* повторити запит.; Дія: read

Доступ заборонено.;<pre>
<pre>
<pre>
== 41. Joiner-Mover-Leaver ==
І є собою різні зони:
!; 9.;== 24. IAM ==
Приклад:
</pre>
</pre>
{| class="wikitable"

Чи має змогу Anna змінити ролі інших користувачів?; RBAC
<pre>
<pre>
Не більше.; Правильна людина має правильний ключ до правильних дверей, але не до всіх дверей одразу.; Дозволено

== 50.; Коли Access Control особливо важливий ==
як ілюстрація:
</pre>
Директор має змогу мати ширший доступ, але навіть йому не завжди потрібен прямий доступ до всіх технічних секретів.;




Якщо login із нової країни — вимагати MFA.; Привілейовані акаунти:
Приклад прав:

action completed




38. IDOR


Вони не замінюють одне одного.; користувач системи має clearance Confidential.; істотно: Access Control — це не тільки пароль.; Одна людина створює платіж.;DAC
|-
| Назва
| Access Control
|-
| Українською
| Контроль доступу
|-
| Сфера
| Інформаційна безпека, фізична безпека, адміністрування, IAM
|-
| Основна мета
| Дозволяти доступ тільки тим, кому він потрібен і дозволений
|-
| Ключові поняття
| Identification, Authentication, Authorization, Accountability
|-
| Типові моделі
| DAC, MAC, RBAC, ABAC, ACL, Rule-Based Access Control
|-
| Принцип
| Least privilege
|-
| Сучасний підхід
| Zero Trust
|-
| Приклади
| Паролі, MFA, ролі, права файлів, IAM policies, ACL, badges, biometrics
|}

Linux permissions

Контроль доступу можна пояснити на прикладі школи.; Об'єкти:



Sales не повинен бачити медичні документи.;


!;== 40. Access Review ==
rules:
4.; | Іменні акаунти.; metadata:



16. Rule-Based Access Control


  • військові системи;
    • 

  • державні системи;
    • 

  • високозахищені середовища;
    • 

  • SELinux;
    • 

  • AppArmor у певних сценаріях;
    • 

  • системи з класифікацією даних.;== 43.; Типові помилки в Access Control ==


  • клас;
    • 

  • учительська;
    • 

  • архів;
    • 

  • серверна;
    • 

  • кабінет директора;
    • 

  • електронний журнал.; 


переважні аспекти SSO:

Access Control буває не тільки цифровим.;Least privilege



Постійно переоцінювати ризик.; Attribute-Based Access Control або ABAC — модель, де рішення для бізнесу про доступ залежить від атрибутів.; |}

Access Control найкраще функціонує не як одноразове конфігурація, а як постійний бізнес-процес: видавати доступ, перевіряти його, прибирати зайве, логувати важливе й адаптувати політики до змін у компанії.; Приклад погано:


  • захист даних;
    • 

  • менше ризику зловживань;
    • 

  • кращий контроль;
    • 

  • простіший аудит;
    • 

  • менша шкода від зламаних акаунтів;
    • 

  • відповідність security-вимогам.; IAM охоплює:


Найчастіша проблема:



== 57.; Висновок ==
які потрібні для виконання конкретної роботи.; Що означає
apiVersion: rbac.authorization.k8s.io/v1

{| class="wikitable"

* шахрайства;
* помилок;
* зловживань;
* прихованих змін;
* single point of failure.;== 45.; Недоліки і складність ==

DAC

2026-05-09 14:32

* RBAC для ролей;
* ABAC для умов;
* ACL для конкретного bucket;
* MFA для login;
* audit logs для accountability;
* policy engine для правил;
* network restrictions для додаткового захисту.; Це поєднання ідентифікації, автентифікації, авторизації, ролей, політик, журналювання, принципу найменших привілеїв і регулярного перегляду прав.; У хорошій системі кожна людина має рівно той доступ, який їй потрібен для роботи.; 5.; * чи є собою публічні ресурси?; | MFA для важливих систем.; Факт
!; Не давати доступ автономно.; * читати таблиці;
* змінювати інформаційні дані;
* створювати таблиці;
* видаляти записи;
* виконувати procedures;
* робити backup;
* керувати користувачами.; Роль
!; До чого?; Повна назва

з цієї причини access control має перевірятися на backend.; Перевага DAC:

Розробник має доступ до dev environment.; Zero Trust враховує:
group: read
<pre>
<pre>
<div style="border-left: 6px solid #1565c0; background: #e3f2fd; padding: 12px 16px; margin: 16px 0;">
<pre>

- пристрій корпоративний;
Проблема не в самому числі в URL, а в з цієї причини, що backend не перевірив:
MAC застосовується там, де важлива сувора безпека:

22. MFA




MFAAuthentication або автентифікація — це перевірка, що користувач системи справді той, за кого себе видає.; Чи не змінився контекст доступу?; |-





Ризик надмірної бюрократії

-

Щось, чим ви є собою

-

Потрібні регулярні перевірки

Access control старіє разом із компанією.;

  • хто має змогу створити VM;
    • 

  • хто має змогу прочитати storage bucket;
    • 

  • хто має змогу змінити firewall;
    • 

  • хто має змогу видалити database;
    • 

  • який сервіс має доступ до secrets;
    • 

  • які дії дозволені automation pipeline.; |-


Кращий аудит

Видно, хто що робив.; Чи має змогу Anna переглянути зарплати?; result: success


Записати дію в audit log.; | Backend authorization checks.; Значення

login: ivan.petrenko


Учень має змогу зайти в клас, але не повинен мати доступ до оцінок інших учнів або серверної.; |-





Відповідність вимогам

Access control потрібен для багатьох стандартів і регуляцій.; Або:

Never trust, always verify.;== 46. RBAC vs ABAC ==

Фактори:



  • слабким;
    • 

  • вкраденим;
    • 

  • повторно використаним;
    • 

  • записаним у нотатках;
    • 

  • переданим іншій людині;
    • 

  • збереженим у небезпечному місці;
    • 

  • перехопленим через phishing.; користувач системи: Anna


Контекст: невідомий пристрій, інша країна, ніч



; користувач системи каже системі:

- користувач системи належить до Finance або Management;
“Введи пароль”.; Rule-based підхід часто комбінується з RBAC або ABAC.; Поняття

Приклад:



  • username;
    • 

  • email;
    • 

  • employee ID;
    • 

  • номер телефону;
    • 

  • login;
    • 

  • user ID;
    • 

  • smart card ID.; getfacl






  • файлових системах;
    • 

  • desktop OS;
    • 

  • простих shared folders;
    • 

  • document sharing.;== 53.; Приклад access policy простими словами ==


Фізичний і логічний контроль доступу часто мають працювати разом.; Повна логіка виглядає так:
Access Control — це не про недовіру до людей.; | Joiner-Mover-Leaver бізнес-процес.; Контроль доступу відповідає на питання:




Типові права:

що йому не повинно бути дозволено.; |-



Баланс безпеки й зручності

Надто суворі правила можуть заважати роботі.; Що робить

Я — ось цей користувач системи.; Чи має цей користувач системи право бачити invoice 1002?; |}

Перевірити, чи має змогу виконати саме цю action.; Визначити ролі.; |-



ABAC

Attribute-Based Access Control

Доступ залежить від атрибутів користувача, ресурсу й контексту.;
API має перевіряти доступ до кожної важливої дії.;

ip=10.1.4.55
є собою різні люди:

Але в сучасній інфраструктурі багато дій роблять service accounts:

* менше паролів;
* централізоване керування;
* легше вимикати доступ;
* MFA в одному місці;
* audit;
* зручність для користувачів.; ACL часто використовуються у:




; Доступ

Це означає:

3.;== 17.; Цікавий факт: у реальних системах часто змішують кілька моделей ==
Windows ACL
Ресурс: payroll_database



== 39.; Цікавий факт: frontend-перевірка доступу не є собою справжнім захистом ==
<pre>

!; Access reviews особливо важливі після:
'''Principle of Least Privilege''' або '''принцип найменших привілеїв''' означає:
'''Rule-Based Access Control''' використовує правила.; |-
| Кращий порядок у компанії
| Ролі й відповідальність стають зрозумілішими.; Етап

Frontend має змогу покращити UX, але не повинен бути єдиним бар'єром.; характеристика
!; Перевіряти service accounts.; |-
| Менше ризику витоку даних
| Люди бачать тільки те, що їм потрібно.; У хмарі access control зазвичай реалізується через IAM.;== 48. Access Control vs IAM ==

== 7. Authorization ==
Адміністратор має окремий privileged account.; 3.;== 19. Need to Know ==
Простий приклад:
пристрій корпоративний,
Приклади:
Тобто не можна автономно довіряти користувачу лише з цієї причини, що він “у внутрішній мережі”.;== 32.; Access Control у базах даних ==

Для цього використовують:

* хтось випадково видаляє інформаційні дані;
* обліковий запис зламують;
* неможливо зрозуміти, хто що зробив;
* колишній працівник зберігає доступ;
* auditor ставить незручні питання;
* production змінюють без контролю.;== 4.; Основна ідея ==
платформа просить доказ.; * NIST: Access Control concepts
* OWASP: Broken Access Control
* OWASP: Authorization Cheat Sheet
* Microsoft Entra ID documentation
* AWS IAM documentation
* Google Cloud IAM documentation
* Kubernetes RBAC documentation
* Linux permissions documentation
* Windows access control documentation
* Zero Trust security model documentation

== 58.; Джерела ==

'''Mandatory Access Control''' або '''MAC''' — модель, де доступ визначається централізованою політикою, а не бажанням власника файлу.;== 36.; Цікавий факт: найнебезпечніший доступ часто має не людина, а сервісний акаунт ==
<pre>
== 47. Authentication vs Authorization ==
<pre>

[[Authorization]]

<pre>
Audit logs потрібні для розслідувань і контролю.; Дозволити доступ,

<pre>

* пароль;
* PIN;
* одноразовий код;
* push-підтвердження;
* hardware key;
* fingerprint;
* Face ID;
* smart card;
* client certificate.; chgrp

2.; |-
| Немає audit logs
| Неможливо розслідувати інцидент.; |-
| Усім admin
| Один зламаний акаунт дає повний контроль.;== 44.; переважні аспекти хорошого Access Control ==

* контролювати admin-доступ;
* видавати тимчасові права;
* записувати сесії;
* вимагати approval;
* обмежувати доступ;
* зменшувати ризик зловживань.; {| class="wikitable"

* користувач системи має змогу випадково дати зайвий доступ;
* важче централізовано контролювати безпеку.; User → Role → Permissions




  • identification;
    • 

  • authentication;
    • 

  • authorization;
    • 

  • accountability;
    • 

  • roles;
    • 

  • policies;
    • 

  • ACL;
    • 

  • RBAC;
    • 

  • ABAC;
    • 

  • MFA;
    • 

  • audit logs;
    • 

  • least privilege;
    • 

  • access reviews.;


Багато людей думають:
Хто?; Accountability важлива, бо без журналів складно зрозуміти, що сталося після інциденту.; Перевага






!;<pre>

* MFA;
* ролі;
* обмеження прав;
* device trust;
* location checks;
* session monitoring;
* audit logs;
* automatic lockout;
* регулярний перегляд доступів.; Це зменшує ризик:

{{SEO
|title=Access Control — контроль доступу в інформаційній безпеці
|description=Огляд Access Control: що таке контроль доступу, authentication, authorization, identification, ACL, RBAC, ABAC, MAC, DAC, MFA, least privilege, Zero Trust, переваги, ризики, цікаві факти та приклади.
|keywords=Access Control, контроль доступу, кібербезпека, authentication, authorization, ACL, RBAC, ABAC, MAC, DAC, MFA, IAM, Zero Trust, least privilege
}}

Людина змінила роль або пішла,

* AWS IAM;
* Azure RBAC / Entra ID;
* Google Cloud IAM;
* Oracle Cloud IAM;
* Kubernetes RBAC;
* Terraform-managed policies.;[[Audit log]]
[[Інформаційна безпека]]
== 35.; Access Control у Kubernetes ==
Access Control не зводиться до фрази:



56.; Безпека


12. MAC


Приклади:



5. Identification


10.; Основні типи Access Control


У підручниках моделі виглядають окремо:
Приклад SQL:






Alice

Read, Write




Bob

Read




Admins

Full Control




Guests

No Access



51.; Базовий хороший workflow


  • файлових системах;
    • 

  • мережевих пристроях;
    • 

  • firewall rules;
    • 

  • cloud storage;
    • 

  • databases;
    • 

  • object storage.;== 49. Access Control vs Encryption ==


RBAC
10.; |}

12.; користувач системи або сервіс має отримувати тільки ті права,

Менеджер має доступ до клієнтів.; Якщо service account має надмірні права, його компрометація має змогу бути дуже небезпечною.; Приклад краще:
time=2026-05-09T10:44:12Z
з цієї причини сучасний контроль доступу часто охоплює:
Не кожен має доступ всюди.; Не більше — щоб не створювати ризик.; | користувач системи має змогу читати звіти, але не видаляти їх.; Дати мінімальні права.; |}

Access Control + Encryption + Audit Logs



31.; Access Control у Windows


Дія: delete



11. DAC



'''Logical Access Control''' — це доступ до цифрових систем.; |-
| Відсутність MFA
| Вкрадений пароль дає доступ.; Olena має роль Accountant.; Поганий контроль доступу схожий на офіс, де всі мають ключі від усіх кімнат, сейфів і серверної.;<div style="border-left: 6px solid #f57c00; background: #fff3e0; padding: 12px 16px; margin: 16px 0;">
[[Authentication]]
!; Тип

користувач системи увійшов — значить має змогу все.; Але насправді пароль має змогу бути:

як ілюстрація:
-rw-r--r--
'''Access Review''' — регулярна перевірка, хто має які права.; |-
| Пароль — не дорівнює повна безпека
| Потрібні MFA, ролі, журнали й least privilege.; {| class="wikitable"

- увімкнено MFA;

Доступ до admin panel дозволений тільки з корпоративної мережі.; Що тобі дозволено робити?; '''Identification''' — це бізнес-процес заявлення особи.;


Це про порядок.; |-



RBAC

Role-Based Access Control

Доступ залежить від ролі користувача.;
Role-Based Access Control або RBAC — одна з найпопулярніших моделей контролю доступу.;
REVOKE INSERT
!; користувач системи змінює URL:




 resources: ["pods"]
Приклади правил:
|-
| Joiner
| Нова людина приходить у компанію і отримує потрібні доступи.; !;


  • банків;
    • 

  • лікарень;
    • 

  • шкіл;
    • 

  • державних систем;
    • 

  • ERP;
    • 

  • CRM;
    • 

  • хмарної інфраструктури;
    • 

  • баз даних;
    • 

  • Git-репозиторіїв;
    • 

  • production-серверів;
    • 

  • Kubernetes;
    • 

  • бухгалтерії;
    • 

  • персональних даних;
    • 

  • медичних даних;
    • 

  • фінансових систем;
    • 

  • admin panels.; користувач системи увійшов.;


; Питання:

Перевірити, чи має змогу він бачити саме цей object.; 2.; * CI/CD pipeline;



  • backup system;
    • 

  • Kubernetes controller;
    • 

  • cloud function;
    • 

  • monitoring agent;
    • 

  • deployment bot;
    • 

  • integration connector.; Не менше — щоб не заважати.; IDOR означає Insecure Direct Object Reference.; |-


Старі доступи не прибираються

Колишні працівники або старі ролі зберігають доступ.; користувач системи створив файл.; !; chown




Viewer

Переглядати інформаційні дані

Редагувати, видаляти, експортувати




Editor

Створювати й редагувати записи

Керувати користувачами




Manager

Затверджувати, експортувати, бачити звіти

Змінювати системні конфігурація




Admin

Керувати системою

Не повинен використовуватися для щоденної роботи



Accountability

Команди:



;== 55.; Людське пояснення: чим є собою Access Control ==

action=delete_invoice
ACL
user=olena
Authentication відповідає на питання:




Інша людина його затверджує.; MAC
Назва має змогу звучати агресивно.;[[Access Control]]

== 14. ABAC ==

Поняття:
<pre>
!; * гнучкість;
* зручність для користувачів;
* без зайвих зусиль ділитися ресурсами.; Приклад:
<pre>
!; Механізм
<pre>

[[IAM]]

Головні переважні аспекти:

* identity;
* device;
* location;
* behavior;
* risk;
* resource sensitivity;
* session context;
* continuous verification.; характеристика
GRANT SELECT, INSERT
- дія записується в audit log.; action: exported customer list
рішення для бізнесу: заблокувати або вимагати додаткову перевірку
!; * звільнення працівників;
* зміни посад;
* завершення проєктів;
* інцидентів;
* аудитів;
* міграцій.;<pre>

а старі доступи залишилися.; |-
| ABAC гнучкіший за RBAC
| Але складніший у налаштуванні й підтримці.; |}

Недолік:

Спочатку це комфортно.; |-
| ACL
| Access Control List
| Список дозволів для конкретного ресурсу.;<pre>
Ресурсом має змогу бути:




Складність конфігурація

-

Mover

Людина змінює роль або відділ, доступи треба оновити.; характеристика

ресурс має classification Internal,

Це схоже на аеропорт: навіть якщо людина вже всередині, це не означає, що вона має змогу зайти в кабіну пілота.; Охоронець перевірив паспорт — authentication.; |-



Least privilege зменшує шкоду

Якщо акаунт зламано, обмежені права зменшують наслідки.; Separation of Duties означає розділення критичних повноважень між різними людьми.; Увімкнути MFA.; Звідки?; Помилка

На яких умовах?;


Broken Access Control — одна з найпоширеніших категорій вразливостей у вебзастосунках.;
{| class="wikitable"



1.; |-



Безпечніша автоматизація процесів

Service accounts мають обмежені права.; Проста схема:

ABAC



  • audit logs;
    • 

  • access logs;
    • 

  • security events;
    • 

  • timestamps;
    • 

  • user IDs;
    • 

  • IP addresses;
    • 

  • device IDs;
    • 

  • session IDs.; Фактор


Але Zero Trust не означає, що всі підозрілі.; таким чином, Olena має змогу створювати invoices.; А в реальному житті вони змішуються.; користувач системи входить через корпоративний Microsoft Entra ID, Google Workspace, Okta або Keycloak.; Пояснення

owner: read/write





</syntaxhighlight>




Access Control

Визначає, хто має змогу отримати доступ.;

Zero Trust




Якщо кнопка “Delete” прихована в інтерфейсі, це ще не безпека.; |-



Access reviews потрібні регулярно

Доступи старіють разом із ролями, проєктами й людьми.; ON customers

30.; Access Control у Linux


Навіть найкращий сервер, база даних або застосунок можуть стати небезпечними, якщо “зайві” люди мають до них доступ.; * учень;



  • учитель;
    • 

  • директор;
    • 

  • охоронець;
    • 

  • бухгалтер;
    • 

  • гість.; * Administrator;
    • 

  • Manager;
    • 

  • Accountant;
    • 

  • Sales;
    • 

  • Support;
    • 

  • Developer;
    • 

  • Viewer.; - запит іде не з заблокованої країни;



== 25. PAM ==

!; це платформа правил і механізмів, які визначають, хто, до чого, коли і на яких умовах має доступ виступає ключовою рисою '''Головна ідея:''' Access Control.; * чи є собою service accounts без власника?; ABAC

11.; Схема:

* users;
* groups;
* roles;
* permissions;
* policies;
* service accounts;
* MFA;
* SSO;
* access reviews;
* audit logs;
* lifecycle management;
* privileged access management.; |-
| Один shared account
| Неможливо зрозуміти, хто що зробив.; ON customers
== Див.; 59.; додатково ==
Навіть якщо людина має високий рівень довіри, це не означає, що їй потрібні всі інформаційні дані.; Хто ти?; |-
| IAM
| Ширша платформа керування identity, ролями, політиками, групами й життєвим циклом доступу.;== 21.; Цікавий факт: “admin для всіх” — це не зручність, а майбутня проблема ==



Погано:



користувач системи має змогу:
 <syntaxhighlight lang="sql">











Отримано з https://wiki.corp2.eu/index.php?title=Access_Control&oldid=1360