Полегшений прототип системи контролю доступу (MVP)

Архітектура
Контролю Доступу

Полегшений прототип системи контекстно-залежного керування доступом (Context-Aware Access Control), побудований для шкільної IT-інфраструктури ліцею. Кожен запит динамічно перевіряється за роллю, автентичністю пристрою та контекстом мережі — без жодної неявної довіри.

Запустити прототип →

                    ● policy-engine·v2.5
                
# Evaluating real-time access request...
$ ztac.evaluate_context()

                        identity: "teacher1",

                        device: "managed",

                        network: "school"
                    
→ VERDICT: ALLOW (Full Access)
$ ztac.evaluate_context()

                        identity: "admin1",

                        device: "unmanaged",

                        network: "public"
                    
→ VERDICT: DENY (Critical Risk)

Core Principles · Базові принципи

                        01 · PDP

Ніколи не довіряй

Жоден користувач, пристрій чи сесія не володіють неявною або постійною довірою, навіть у внутрішній мережі ліцею.

                        02 · CONTEXT

Завжди перевіряй

Автентичність користувача, тип девайсу (BYOD/Corporate) та контекст мережі суворо перевіряються при кожному запиті.

                        03 · PRIVILEGES

Найменші привілеї

Доступ обмежується мінімально необхідним рівнем (Least Privilege) для захисту критичних персональних даних.

Request Workflow · Логіка обробки запиту

Step 1 Access Request
Користувач ініціює запит до інфраструктурного ресурсу.

Step 2 Context Collection
Збір телеметрії пристрою та параметрів підключення.

Step 3 Policy Evaluation
Розрахунок Trust Score та аналіз правил безпеки (PDP).

Step 4 Dynamic Verdict
Формування фінального вердикту (ALLOW, LIMITED, DENY).

Example Scenarios · Сценарії верифікації моделі

Teacher with trusted corporate device

ALLOW

role: teacher device: managed net: school

Максимальний уровень довіри. Надається повний доступ до Навчальних планів та Електронного журналу оцінок (Gradebook).

Teacher from unmanaged personal device (Remote)

LIMITED ACCESS

role: teacher device: unmanaged net: home

Середній рівень ризику (BYOD-контекст). Доступ до планів дозволено, але критичне редагування оцінок в журналі повністю блокується.

Admin from unmanaged device in public network

DENY

role: admin device: unmanaged net: public

Критична аномалія. Адміністраторам суворо заборонено доступ до SIEM-панелі з публічних мереж. Запит відхилено, подія маркується як підозріла.

Student requesting admin resource

DENY

role: student resource: Admin Panel

Порушення принципу найменших привілеїв. Студентам тотально закритий доступ до адміністративних логів та панелей конфігурації.

Готові протестувати систему?