Розділення прав
Принцип найменших привілеїв, JIT access, розділення ролей та управління service accounts в AI-розробці
least-privilegeJITrole-separationservice-accountsaccess
📎ОФІЦІЙНА ДОКУМЕНТАЦІЯ
Розділення прав у Zero Trust
Принцип найменших привілеїв (Least Privilege) -- основа Zero Trust. Кожний суб'єкт (користувач, AI-агент, сервіс) отримує лише мінімально необхідні дозволи для виконання конкретної задачі.
Least Privilege Principle
Застосування для AI-розробки
| Суб'єкт | Дозволено | Заборонено |
|---|---|---|
| AI-агент | Читання/запис робочої директорії | Доступ до ~/.ssh, ~/.aws, production |
| Розробник | Commit, PR, staging deploy | Production deploy без approval |
| CI/CD Pipeline | Build, test, deploy to staging | Direct production deploy |
| Reviewer | Read code, approve/reject PR | Merge без review |
| Admin | Manage users, roles, policies | Bypass security gates |
Принцип розділення обов'язків (SoD)
Separation of Duties запобігає зловживанню:
- Код + Review -- розробник не може approve свій PR
- Deploy + Approve -- deployer не може сам approve production release
- Admin + Audit -- адміністратор не може видаляти audit logs
- Data + Access -- data steward не управляє технічним доступом
Just-In-Time (JIT) Access
Як працює JIT
Сценарії JIT для AI
| Сценарій | Тривалість | Approver |
|---|---|---|
| Доступ до production logs | 2 години | Team Lead |
| Deploy до production | 1 година | Engineering Manager |
| Зміна AI-конфігурації | 4 години | AI Admin + Security |
| Доступ до sensitive data | 1 година | Data Steward + CISO |
| Emergency hotfix | 2 години | On-call Manager |
💡Порада
Налаштуйте автоматичний JIT для рутинних операцій (наприклад, deploy до staging) з обов'язковим MFA, але без manual approval.
Role Separation
Ролі в AI-проєкті
Матриця відповідальності (RACI)
| Операція | Developer | Reviewer | Security | DevOps |
|---|---|---|---|---|
| Написання коду | R | I | - | - |
| Code Review | I | R | C | - |
| Security Scan | I | I | R | A |
| Deploy Staging | C | - | I | R |
| Deploy Production | I | A | A | R |
R = Responsible, A = Accountable, C = Consulted, I = Informed
Service Accounts Management
Правила для service accounts
- Один account -- одна функція -- не sharing між сервісами
- Без інтерактивного входу -- service accounts не повинні використовуватися для login
- Certificate auth -- замість паролів де можливо
- Ротація -- регулярна ротація credentials
- Моніторинг -- алерт на аномальну активність
Managed Identities
Використовуйте Azure Managed Identities замість збереження credentials:
bash
# Замість API-ключів використовуйте Managed Identity
az webapp identity assign --name myapp --resource-group mygroup
Access Review Process
Регулярний review дозволів:
| Частота | Що перевіряється |
|---|---|
| Щотижня | Привілейовані акаунти (admin, root) |
| Щомісяця | Service accounts, AI tool access |
| Щоквартально | Всі ролі та дозволи |
| При зміні ролі | Повний re-evaluation |
| При звільненні | Негайне відкликання всього доступу |
Див. також
Контроль доступу
RBAC, MFA та Entra ID
Розробка AI-коду
Sandbox та ізоляція
Принципи Zero Trust
Основи архітектури Zero Trust