본문으로 건너뛰기

제품 · 액세스 맵

모든 에이전트가 접근할 수 있는 범위를 확인하십시오 — 읽기 대 쓰기

액세스 맵은 모든 에이전트와 세션, 아이덴티티에 대해 이들이 접근하는 리소스를 보여주고, 읽기와 쓰기를 구분하며, 관측된 액세스가 허용한 권한에서 벗어나는 순간을 표시합니다. 이미 보유하고 계신 신호로부터 패시브하게 발견되며, 데이터 경로에 프록시를 두지 않습니다.

자체 호스팅으로 시작하기 작동 방식

제품 내에서

실제 콘솔에서 본 맵

예시 데이터로 채워진 Olivares 콘솔의 실제 스크린샷입니다. 왼쪽에는 오리진이, 오른쪽에는 이들이 접근하는 리소스가 있으며, 읽기·쓰기/RW·미상·근사치에 따라 색상으로 구분됩니다. 맵을 여는 것은 권한이 필요한 감사 대상 작업으로, SQL이나 페이로드, 시크릿이 아닌 관계만을 보여줍니다.

실제 스크린샷
왼쪽의 에이전트와 세션이 오른쪽의 데이터베이스와 오브젝트 스토어, API, 통합 대상에 접근합니다. 엣지 색상은 읽기와 읽기/쓰기를 나타내며, 하나의 엣지는 예상치 못한 쓰기 — 최소 권한 드리프트 — 로 표시되어 있습니다.
실제 스크린샷
“허용된 권한 대 관측된 액세스”로 전환하면, 맵은 부여하신 권한과 실제 액세스를 비교합니다. 즉 관측되었으나 허용된 적 없는 것과, 허용되었으나 한 번도 사용되지 않은 것을 보여줍니다.

모델

읽기, 쓰기, 그리고 정직한 미상

Olivares는 각 액세스를 커넥터 단에서, 구문이나 동사 자체로부터 분류합니다 — SQL의 종류, HTTP 메서드, MCP 도구의 시맨틱, 파일 열기 모드를 기준으로 합니다. 구문이 아니라 관계만을 기록합니다. SQL 텍스트도, 파라미터도, 페이로드도, 시크릿도 남기지 않습니다.

읽기

리소스를 읽기만 하는 에이전트 — SELECT, GET, 읽기 전용 도구 호출입니다. 차분한 색상의 중립 톤으로 표시됩니다.

읽기 / 쓰기

리소스를 변경할 수 있는 에이전트 — INSERT나 UPDATE, 쓰기 도구, 상태를 변경하는 호출입니다. 보안 침해 시 영향 범위를 결정짓는 엣지입니다.

미상 · 근사치

스토어가 아이덴티티별 감사를 제공하지 않거나 신호가 약한 경우, Olivares는 확신을 지어내는 대신 그 사실을 그대로 밝힙니다 — 점선으로, 강조를 낮춘 엣지로 표현합니다.

최소 권한 드리프트

허용된 권한 대 관측된 액세스 — 정말로 중요한 발견

드리프트란 부여하신 액세스와 실제로 일어나고 있는 액세스 사이의 간극입니다. Olivares는 한 에이전트에 귀속된 관측을 그 에이전트가 실제로 사용하는 아이덴티티와 대조하여, 세 가지 정직한 상태를 드러냅니다.

  • 예상치 못한 액세스

    관측되었으나 허용된 적이 없습니다. 가장 우선순위가 높은 발견 — 뒷받침하는 권한 부여 없이 일어나고 있는 액세스입니다.

  • 조정 대기 중

    일치하는 권한 부여 없이 관측되었으나, 에이전트와 아이덴티티 간 연결이 아직 미해결 상태입니다. 확정된 위반이 아니라 대기 중으로 표시됩니다 — 지어낸 경보가 아닌, 정직한 불확실성입니다.

  • 미사용 권한

    허용되었으나 한 번도 관측되지 않았습니다. 조여야 할 과도한 프로비저닝 — 반대 방향에서 본 최소 권한입니다.

작동 방식

권한 부여와 관측에서 단일한 결론으로

Olivares는 허용하신 것과 관측한 것을 가져와 오리진 전반에 걸쳐 대조하고 그 결과를 렌더링합니다. 일치, 드리프트, 또는 선언만 할 수 있는 관계 — 결코 본 척하지 않는 관계 — 로 말입니다.

다이어그램: 허용된 권한과 관측된 액세스를 비교하여, 일치하는 것은 확정으로, 어긋나는 것은 주황색 드리프트로 표시하고, 선언되었으나 한 번도 관측되지 않은 관계는 점선으로 그립니다.
오리진 전반에 걸쳐 대조한 허용된 권한 대 관측된 액세스입니다. 점선은 선언되었으나 한 번도 관측되지 않았음을 뜻합니다 — 숨기지 않고 정직하게 그립니다.

정직하게 밝힌 커버리지

두 가지 정밀도 축 — 어느 쪽도 꾸며내지 않습니다

리소스가 얼마나 잘 감사될 수 있는지와, 액세스가 특정 에이전트에 얼마나 확실하게 결부되는지는 서로 다른 문제입니다. Olivares는 노드별로 두 가지를 모두 보여주며, 추측하는 대신 우아하게 단계적으로 낮춥니다.

리소스 커버리지

리소스 자체가 얼마나 완전하게 감사될 수 있는지를 나타냅니다.

클린
네이티브 감사 — Postgres pgAudit, AWS CloudTrail 등입니다. 액세스마다 완전한 정밀도를 제공합니다.
부분적
문서 스토어와 벡터 스토어: 신호가 부분적이며, 부풀리지 않고 부분적인 그대로 표시됩니다.
불투명
Redis, SQLite, D1 등은 아이덴티티별 감사를 제공하지 않습니다. 불투명으로 표시되며, 결코 슬며시 상향되지 않습니다.

오리진 귀속

액세스가 특정 에이전트로 얼마나 확실하게 거슬러 올라가는지를 나타냅니다.

확실
전용 비인간 아이덴티티 — 에이전트마다 발급된 SPIFFE/WIF 자격 증명입니다. 실선으로 그립니다.
근사치
공유 또는 풀링된 계정: 액세스는 실재하지만 에이전트가 모호합니다. 점선으로 그리고 근사치로 표기합니다.
미상
아이덴티티 신호가 전혀 없습니다. 강조를 낮추며 — 결코 특정 에이전트로 격상하지 않습니다.

두 축은 서로 독립적입니다. 협력하는 신호원이 에이전트를 식별했다면, 불투명한 스토어에 대한 액세스라도 확실하게 귀속될 수 있습니다. Olivares가 하지 않는 일은 근사치나 미상을 마치 확실한 것처럼 렌더링하는 것입니다.

실재하는 것

구축되고 검증되었으며 — 경계에 대해서도 정직합니다

액세스 맵은 기술 개념 증명 관문을 통과했으며 그래프를 작성하는 주체입니다. 두 가지 정직한 참고 사항이 있습니다:

  • 맵을 여는 것은 권한이 필요한 감사 대상 작업입니다. 모든 쿼리는 추가 전용 원장에 항목으로 기록됩니다. 이는 방어적 검토를 위한 것으로 — 내용이 아니라 관계를 다룹니다.
  • 정밀도는 보유하신 소스에 달려 있습니다. 네이티브 감사(pgAudit, CloudTrail)와 에이전트별 아이덴티티를 연결하면 맵이 가장 선명해집니다. 그것이 없다면, Olivares는 그럴듯한 허구 대신 더 낮은 정밀도 단계를 보여줍니다.

액세스 맵 — 자주 묻는 질문

프록시나 인라인 에이전트가 필요합니까?

아닙니다. Olivares는 이미 보유하고 계신 신호 — 네이티브 데이터베이스 감사, 클라우드 감사 로그, OpenTelemetry, eBPF, MCP 인트로스펙션 — 로부터 액세스를 패시브하게 발견합니다. 데이터 경로에 필수 프록시가 없으며, 관리하며 돌봐야 할 것도 없습니다.

맵이 제 SQL이나 페이로드, 시크릿을 저장합니까?

아닙니다. 각 액세스는 동사 — SQL의 종류, HTTP 메서드, 도구의 시맨틱 — 로부터 분류되어, 오리진·리소스·읽기 또는 쓰기라는 관계로 기록됩니다. 구문 텍스트와 파라미터, 페이로드, 시크릿은 결코 수집되지 않습니다.

Redis처럼 아이덴티티별 감사가 없는 스토어는 어떻게 합니까?

불투명 커버리지로 표시됩니다. Olivares는 실제로 입증할 수 있는 정밀도로 관계를 보여주고, 스토어가 뒷받침할 수 없는 아이덴티티별 귀속을 지어내지 않으며 그 한계를 표기합니다.

읽기와 읽기/쓰기를 어떻게 구분합니까?

구문이나 동사 자체로부터, 커넥터 단에서 분류합니다 — SELECT 대 INSERT나 UPDATE, GET 대 상태를 변경하는 메서드, 읽기 전용 대 쓰기 도구 호출입니다. 엣지 색상이 이를 따릅니다: 읽기, 쓰기/RW, 또는 신호가 약할 때는 미상입니다.

직접 액세스 맵을 확인하십시오

Olivares를 자체 인프라에 배포하고 감사 소스를 가리키게 한 뒤, 플랫폼 팀과 보안 팀이 줄곧 요청해 온 읽기/쓰기 맵을 확보하십시오.

자체 호스팅으로 시작하기 방식 비교하기