Access Control

ON customers
! | MFA для важливих систем. Адмінські права мають бути винятком, а не стандартом. Приклад:

[[Accountability]]
Anna успішно увійшла в систему. result=success

користувач системи або сервіс має отримувати тільки ті права,
</pre>
Контекст: робочий ноутбук, корпоративна мережа, робочий час
</pre>
що йому не повинно бути дозволено. Погано:

користувач системи створив файл. MFA значно зменшує ризик, що вкрадений пароль сам по собі дасть доступ. | Scoped service accounts. | Joiner-Mover-Leaver бізнес-процес. Питання:

* читати таблиці;
* змінювати інформаційні дані;
* створювати таблиці;
* видаляти записи;
* виконувати procedures;
* робити backup;
* керувати користувачами. 11. Перевага

'''Broken Access Control''' — одна з найпоширеніших категорій вразливостей у вебзастосунках. І виступає як різні зони:
Він означає:
Приклади:
1. Cloud IAM контролює:

Хто має admin?<pre>

== 18. Principle of Least Privilege ==

Після цього отримує доступ до різних застосунків. invoice_id=9281
Приклад краще:

!== 33. Access Control в API ==

DAC часто зустрічається в:

![[Інформаційна безпека]]
Давати мінімальні права. Audit logs потрібні для розслідувань і контролю. Повна логіка виглядає так:

2026-05-09 14:32

а запит іде з дозволеної країни. Frontend здатна покращити UX, але не повинен бути єдиним бар'єром. * чи працівник досі функціонує в компанії?[[Access Control]]

* хто здатна створити VM;
* хто здатна прочитати storage bucket;
* хто здатна змінити firewall;
* хто здатна видалити database;
* який сервіс має доступ до secrets;
* які дії дозволені automation pipeline. Приклад погано:

Але потім:

[[Контроль доступу]]

9. Як краще

!<div style="border-left: 6px solid #2e7d32; background: #e8f5e9; padding: 12px 16px; margin: 16px 0;">
Учень здатна зайти в клас, але не повинен мати доступ до оцінок інших учнів або серверної. * чи потрібен йому старий доступ? Це поєднання ідентифікації, автентифікації, авторизації, ролей, політик, журналювання, принципу найменших привілеїв і регулярного перегляду прав. користувач системи / група

Записати дію в audit log. |-
| Mover
| Людина змінює роль або відділ, доступи треба оновити. * CI/CD pipeline;
* backup system;
* Kubernetes controller;
* cloud function;
* monitoring agent;
* deployment bot;
* integration connector. Приклади:

</pre>
== 58. Джерела ==
Охоронець перевірив паспорт — authentication.[[Zero Trust]]

'''Access Control List''' або '''ACL''' — список прав доступу до ресурсу. Коли? |-
| Leaver
| Людина йде з компанії, доступи треба вимкнути. |}

</pre>

Тобто не можна автоматизовано довіряти користувачу лише тому, що він “у внутрішній мережі”. time=2026-05-09T10:44:12Z

Доступ дозволений тільки з 09:00 до 18:00. |-
| Access reviews потрібні регулярно
| Доступи старіють разом із ролями, проєктами й людьми. Приклад SQL:
== 6. Authentication ==
!<pre>

{{SEO
|title=Access Control — контроль доступу в інформаційній безпеці
|description=Огляд Access Control: що таке контроль доступу, authentication, authorization, identification, ACL, RBAC, ABAC, MAC, DAC, MFA, least privilege, Zero Trust, переваги, ризики, цікаві факти та приклади.
|keywords=Access Control, контроль доступу, кібербезпека, authentication, authorization, ACL, RBAC, ABAC, MAC, DAC, MFA, IAM, Zero Trust, least privilege
}}

</pre>
користувач системи має clearance Confidential. * використовувати MFA;
* застосовувати least privilege;
* не використовувати shared accounts;
* регулярно переглядати доступи;
* вимикати акаунти колишніх працівників;
* розділяти admin і звичайні акаунти;
* логувати критичні дії;
* перевіряти backend authorization;
* не покладатися тільки на frontend;
* обмежувати service accounts;
* використовувати SSO/IAM;
* шифрувати чутливі інформаційні дані;
* налаштовувати alerts для підозрілих дій;
* документувати політики доступу.== 40. Access Review ==

! Бухгалтер має доступ до рахунків.== 7. Authorization ==

== 49. Access Control vs Encryption ==
! Помилка

[[Broken Access Control]]

Перевірити, чи здатна виконати саме цю action.[[MAC]]

І бачить чужий рахунок. Приклад

* ключі;
* бейджі;
* турнікети;
* охорона;
* biometric readers;
* smart locks;
* дверні контролери;
* відеоспостереження;
* журнали відвідувачів. | Іменні акаунти. ABAC

<pre>
</pre>
користувач системи каже системі:

5. ! Правильніше:

користувач системи увійшов — значить здатна все. Поняття
- дія записується в audit log. Питання
<pre>
<pre>
</pre>

== 59. Див. так само ==

== 44. конкурентні переваги хорошого Access Control ==

== 17. Цікавий факт: у реальних системах часто змішують кілька моделей ==

<pre>

== 37. Broken Access Control ==
== 1. Загальний SEO-опис ==
'''Principle of Least Privilege''' або '''принцип найменших привілеїв''' означає:
|-
| Alice
| Read, Write
|-
| Bob
| Read
|-
| Admins
| Full Control
|-
| Guests
| No Access
|}

Багато людей думають:

* файлових системах;
* мережевих пристроях;
* firewall rules;
* cloud storage;
* databases;
* object storage. Типові права:
<pre>
 resources: ["pods"]
Менеджер має доступ до клієнтів. Краще:

Zero Trust враховує:
{| class="wikitable"
</pre>
MAC застосовується для там, де важлива сувора безпека:
Sales не повинен бачити медичні документи.== 47. Authentication vs Authorization ==

Що саме здатна зробити? |-
| Role explosion
| Занадто багато ролей стають некерованими. Це означає:

Чи має цей користувач системи право бачити invoice 1002? Простий приклад:

* хто виконав дію;
* коли;
* звідки;
* над яким ресурсом;
* який був результат;
* які права були використані.</pre>
Olena має роль Accountant. |}

Вони мають показувати:

Навіть найкращий сервер, база даних або застосунок можуть стати небезпечними, якщо “зайві” люди мають до них доступ. |-
| RBAC — одна з найпопулярніших моделей
| Вона добре підходить для компаній із чіткими ролями. |-
| Відсутність MFA
| Вкрадений пароль дає доступ. RBAC
'''Logical Access Control''' — це доступ до цифрових систем. Дати мінімальні права. Інша людина його затверджує. Одна людина створює платіж. Розділити admin і звичайні акаунти.[[RBAC]]
 - apiGroups: [""]
До чого? Приклад:

<pre>

apiVersion: rbac.authorization.k8s.io/v1

Спочатку це інтуїтивно. Чи можеш ти довести, що це справді ти? Перевіряти service accounts.</pre>
<pre>

<pre>
__TOC__
</div>

Фізичний доступ важливий, бо якщо хтось має доступ до серверної, він здатна обійти багато цифрових захистів. |-
| ABAC гнучкіший за RBAC
| Але складніший у налаштуванні й підтримці. * identity;
* device;
* location;
* behavior;
* risk;
* resource sensitivity;
* session context;
* continuous verification. Контекст: невідомий пристрій, інша країна, ніч
Приклад прав:

Але в сучасній інфраструктурі багато дій роблять service accounts:

Хто? -rw-r--r--

[[Kubernetes RBAC]]

Не більше — щоб не створювати ризик. Механізм

[[Категорія:Кібербезпека]]

== 56. Безпека ==

[[Audit log]]
Об'єкти:
<div style="border-left: 6px solid #1565c0; background: #e3f2fd; padding: 12px 16px; margin: 16px 0;">
user=olena

{| class="wikitable"

* звичайний користувач системи відкриває admin page;
* користувач системи бачить чужий invoice;
* можна змінити `user_id` в URL і отримати чужі інформаційні дані;
* API не перевіряє ownership object;
* роль перевіряється тільки на frontend;
* видалення ресурсу доступне без перевірки прав. |-
| ACL
| Access Control List
| Список дозволів для конкретного ресурсу.</pre>
== 51. Базовий хороший workflow ==
</pre>
'''Authentication''' або '''автентифікація''' — це перевірка, що користувач системи справді той, за кого себе видає. Дія: delete
'''Access Review''' — регулярна перевірка, хто має які права. |}

{| class="wikitable"

== 48. Access Control vs IAM ==
== 9. Цікавий факт: пароль — це лише маленька частина контролю доступу ==
Дозволити доступ,
У RBAC права даються не кожній людині окремо, а ролям. {| class="wikitable"
{| class="wikitable"
10. * пароль;
* PIN;
* одноразовий код;
* push-підтвердження;
* hardware key;
* fingerprint;
* Face ID;
* smart card;
* client certificate. Приклад

Проста схема:
Рекомендовані практики:
'''Access Control''' або '''контроль доступу''' — це набір процесів, правил і технічних механізмів, які визначають, хто здатна отримати доступ до певного ресурсу.[[IAM]]
<pre>
|-
| DAC
| Discretionary Access Control
| Власник ресурсу сам керує доступом. kind: Role
setfacl

6.<pre>

* клас;
* учительська;
* архів;
* серверна;
* кабінет директора;
* електронний журнал. ! Фактор

</pre>

користувач системи увійшов.</pre>
== 53. Приклад access policy простими словами ==
[[Authentication]]
як приклад, у хмарній системі здатна бути:
Але чи здатна Anna видалити базу даних?<pre>

* менше паролів;
* централізоване керування;
* легше вимикати доступ;
* MFA в одному місці;
* audit;
* зручність для користувачів. Developer не повинен бачити зарплати.<pre>

Access Control + Encryption + Audit Logs
FROM sales_user;
</pre>

group: read

Це дає можливість створити роль, яка здатна читати Pods у namespace `dev`. |-
| Менше шкоди від зламаного акаунта
| Least privilege обмежує наслідки. |-
| Service accounts можуть бути небезпечнішими за людей
| Бо часто мають широкі права й працюють автоматизовано. Що означає

* банків;
* лікарень;
* шкіл;
* державних систем;
* ERP;
* CRM;
* хмарної інфраструктури;
* баз даних;
* Git-репозиторіїв;
* production-серверів;
* Kubernetes;
* бухгалтерії;
* персональних даних;
* медичних даних;
* фінансових систем;
* admin panels.== 57. Висновок ==
</pre>
Приклад:
action=delete_invoice

Приклади правил:

[[MFA]]

* RBAC для ролей;
* ABAC для умов;
* ACL для конкретного bucket;
* MFA для login;
* audit logs для accountability;
* policy engine для правил;
* network restrictions для додаткового захисту.<pre>
12. * MFA;
* ролі;
* обмеження прав;
* device trust;
* location checks;
* session monitoring;
* audit logs;
* automatic lockout;
* регулярний перегляд доступів. * чи виступає як зайві admin-права? |-
| Занадто широкі service accounts
| Automation здатна отримати надмірний доступ. Але Zero Trust не означає, що всі підозрілі. Регулярно переглядати доступи. Дія: read

== 34. Access Control у cloud ==

== 22. MFA ==

* identification;
* authentication;
* authorization;
* accountability;
* roles;
* policies;
* ACL;
* RBAC;
* ABAC;
* MFA;
* audit logs;
* least privilege;
* access reviews. |-
| Viewer
| Переглядати інформаційні дані
| Редагувати, видаляти, експортувати
|-
| Editor
| Створювати й редагувати записи
| Керувати користувачами
|-
| Manager
| Затверджувати, експортувати, бачити звіти
| Змінювати системні конфігурація
|-
| Admin
| Керувати системою
| Не повинен використовуватися для щоденної роботи
|}

<pre>

'''Privileged Access Management''' або '''PAM''' — це керування привілейованими доступами. Створити audit logs. Навіть якщо людина має високий рівень довіри, це не означає, що їй потрібні всі інформаційні дані. GRANT SELECT, INSERT

! | Централізоване журналювання. * username;
* email;
* employee ID;
* номер телефону;
* login;
* user ID;
* smart card ID. Ресурс: financial_report.xlsx

<pre>
{| class="wikitable"
[[Windows ACL]]
Access Control критично важливий для:

5. | користувач системи здатна читати звіти, але не видаляти їх.== 21. Цікавий факт: “admin для всіх” — це не зручність, а майбутня проблема ==