Продукт · Карта доступу
Подивіться, до чого має доступ кожен агент — читання проти запису
Для кожного агента, сесії та ідентичності карта доступу показує ресурси, яких він торкається, відокремлює читання від записів і позначає момент, коли спостережений доступ розходиться з тим, що ви дозволили. Виявляється пасивно зі сигналів, які у вас уже є, — без проксі в шляху даних.
У продукті
Карта, з реальної консолі
Справжній знімок екрана консолі Olivares, заповнений прикладовими даними. Походження ліворуч, ресурси, яких вони торкаються, праворуч, розфарбовані за типами доступу — читання, запис/RW, невідоме й приблизне. Відкриття карти — це привілейована, занесена до журналу аудиту дія: вона показує зв’язки, ніколи SQL, корисне навантаження чи секрети.
Модель
Читання, запис і чесне невідоме
Olivares класифікує кожен доступ на конекторі, із самого оператора чи дієслова — за типом SQL, методом HTTP, семантикою MCP-інструмента, режимом відкриття файлу. Вона записує зв’язок, ніколи оператор: жодного тексту SQL, жодних параметрів, корисного навантаження чи секретів.
Читання
Агент, що лише читає ресурс, — SELECT, GET, виклик інструмента лише для читання. Зображено спокійно, у нейтральних тонах.
Читання / Запис
Агент, що може змінювати ресурс, — INSERT чи UPDATE, інструмент запису, виклик зі зміною стану. Ребра, що визначають радіус ураження.
Невідоме · приблизне
Там, де сховище не пропонує аудиту за окремою ідентичністю або сигнал слабкий, Olivares так і каже — пунктирним, приглушеним ребром — замість того, щоб вигадувати впевненість.
Відхилення від least-privilege
Дозволено проти спостереженого — висновок, що має значення
Відхилення — це розрив між доступом, який ви надали, і доступом, що відбувається насправді. Olivares звіряє спостереження, приписане агентові, з ідентичністю, яку цей агент справді використовує, і виводить три чесні стани.
- Неочікуваний доступ
Спостережено, але ніколи не дозволено. Висновок найвищого пріоритету — доступ, що відбувається без жодного дозволу за ним.
- Очікує звіряння
Спостережено без відповідного дозволу, але зв’язок агента з ідентичністю ще не встановлено. Виводиться як таке, що очікує, а не як підтверджене порушення, — чесна невизначеність, а не сфабрикована тривога.
- Невикористані дозволи
Дозволено, але ніколи не спостережено. Надмірне виділення прав, яке варто звузити, — least-privilege, з іншого боку.
Як це працює
Від дозволів і спостережень до єдиного вердикту
Olivares бере те, що ви дозволили, і те, що вона спостерегла, звіряє їх між походженнями та відображає результат: збіг, відхилення або зв’язок, який вона може лише задекларувати, — ніколи той, який вона вдає, що бачила.
Покриття, заявлене чесно
Дві осі точності — і ми не підробляємо жодної
Наскільки добре ресурс можна аудитувати і наскільки твердо доступ прив’язується до конкретного агента — це дві різні речі. Olivares показує обидві, для кожного вузла, і деградує коректно, замість того щоб вгадувати.
Покриття ресурсу
Наскільки повно можна аудитувати сам ресурс.
- Чисте
- Нативний аудит — Postgres pgAudit, AWS CloudTrail тощо. Повна точність за кожним доступом.
- З втратами
- Документні та векторні сховища: частковий сигнал, показаний як частковий, — не округлений угору.
- Непрозоре
- Redis, SQLite, D1 та подібні не пропонують аудиту за окремою ідентичністю. Позначено як непрозоре, ніколи не підвищено мовчки.
Приписування походження
Наскільки твердо доступ прив’язується назад до конкретного агента.
- Тверде
- Виділена нелюдська ідентичність — облікові дані SPIFFE/WIF, видані для кожного агента. Намальовано суцільною лінією.
- Приблизне
- Спільний або пуловий обліковий запис: доступ реальний, агент неоднозначний. Намальовано пунктиром, позначено як приблизне.
- Невідоме
- Жодного сигналу про ідентичність. Приглушено — і ніколи не підвищено до названого агента.
Дві осі незалежні: доступ до непрозорого сховища все одно може бути твердо приписаний, якщо кооперативний сигнал назвав агента. Чого Olivares не робитиме — це відображати приблизне чи невідоме так, ніби воно тверде.
Що реально
Побудовано й перевірено — і чесно щодо меж
Карта доступу пройшла свій технічний етап proof-of-concept і є тим, що записує граф. Дві чесні примітки:
- Відкриття карти — це привілейована, занесена до журналу аудиту дія: кожен запит запечатує запис у журналі лише для додавання. Вона призначена для оборонного огляду — зв’язки, не вміст.
- Точність залежить від ваших джерел. Підключіть нативний аудит (pgAudit, CloudTrail) та ідентичності для кожного агента, і карта буде найгострішою; без них Olivares показує рівень нижчої точності, а не впевнену фікцію.
Карта доступу — питання
Чи потрібен їй проксі або вбудований агент?
Ні. Olivares виявляє доступ пасивно зі сигналів, які у вас уже є, — нативного аудиту бази даних, хмарних журналів аудиту, OpenTelemetry, eBPF та MCP-інтроспекції. У шляху даних немає обов’язкового проксі, і нема за чим наглядати.
Чи зберігає карта мій SQL, корисне навантаження чи секрети?
Ні. Кожен доступ класифікується за оператором або дієсловом — типом SQL, методом HTTP, семантикою інструмента — і записується як зв’язок: походження, ресурс, читання чи запис. Текст оператора, параметри, корисне навантаження та секрети ніколи не захоплюються.
А як щодо сховищ без аудиту за окремою ідентичністю, як-от Redis?
Вони позначаються як непрозоре покриття. Olivares показує зв’язок із тією точністю, яку справді може довести, і позначає обмеження, замість того щоб вигадувати приписування за окремою ідентичністю, яке сховище не може підтримати.
Як вона відрізняє читання від читання/запису?
Із самого оператора чи дієслова, класифікованого на конекторі, — SELECT проти INSERT чи UPDATE, GET проти методу зі зміною стану, виклик інструмента лише для читання проти виклику із записом. Колір ребра відповідає: читання, запис/RW або невідоме, коли сигнал слабкий.
Подивіться власну карту доступу
Розгорніть Olivares на власній інфраструктурі, спрямуйте її на ваші джерела аудиту й отримайте карту читання/запису, яку ваші команди платформи та безпеки давно просили.