Quali standard ci sono per la gestione di password ad alto valore?

Naviga le tue risposte
8

Sto conducendo una piccola squadra in una start-up e sto affrontando un problema con password di alto valore.

Sono l'unico del team che conosce tutte le password chiave per server di produzione, database ... ecc. Se vengo investito da un autobus, il resto del team non ha modo di tornare a tutti questi elementi essenziali Servizi.

Quali standard esistono per i processi nel decidere chi dovrebbe avere accesso a password di alto valore e come viene comunicato e memorizzato? Come hai affrontato questo problema sui precedenti team / start-up.

L'applicazione su cui stiamo lavorando memorizza i dati finanziari, quindi il mio interesse per gli "standard".

Aggiornamento:

Per rispondere ad alcune delle domande nei commenti:

  • Tutti i server sono RedHat Enterprise Linux
  • App Server è tomcat
  • Il database è postgres
  • Datacenter è certificato SSA16
  • Server dedicati
  • Ogni server ha tre reti fisiche distinte di cui fa parte, il traffico di produzione in una nicchia, i backup su un'altra nicchia e la gestione del server su un'altra nicchia.
  • Password ad alto valore per proteggere password server Linux, certificati SSL, password per file JKS, password per l'infrastruttura di sviluppo e l'infrastruttura di distribuzione come SendGrid, stripe, Jira, controllo sorgente, ecc.

Aggiornamento 2:

Finora le risposte suggeriscono tutti i modi per risolvere il problema, ma ci sono standard supportati da alcuni enti normativi su come farlo? Terrò questa domanda aperta nella speranza che qualcuno possa nominare standard specifici.

    
posta ams 04.10.2012 - 19:15
fonte

4 risposte

3

Per mantenere le password delle applicazioni, mi sono imbattuto in uno strumento open source chiamato CorporateVault . Si tratta di un'applicazione web di gestione password multiutente progettata per le organizzazioni che memorizzano le password. Scritto in Grails, Groovy e Java.

È un ottimo strumento da utilizzare per la gestione delle password

    
risposta data 04.10.2012 - 19:24
fonte
3

Quindi, in linea con gli standard, il fatto di avere tutte le credenziali di tutti i sistemi è già una gigantesca bandiera rossa (a meno che tu non sia l'unica persona del team). Ora capisco che è una startup, ma solo menzionandola mentre la tua azienda cresce. Andando avanti, ciò che dovrebbe accadere è che ci dovrebbe essere un amministratore (persona diversa per ogni sistema) che ha le credenziali per quel sistema specifico, insieme a una persona separata che ha la possibilità di ripristinare / reimpostare tale password in caso di violazione / perdita parola d'ordine. È importante tenere separate queste persone e imporre la password e la rotazione delle posizioni. Quindi questo trimestre sono un ingegnere del software, il prossimo trimestre sono un DBA, ecc. Forzando una password di amministratore cambia ogni volta.

Fondamentalmente quello che vuoi è una chiara separazione dei doveri per ogni persona responsabile della gestione di un sistema, questo aiuterà anche a mitigare il concetto di minaccia interna (non completamente rimosso, ma consente un migliore 'tracciamento'). Questo tipo di cose è generalmente definito in una politica che deve avere i denti (applicabile e ha ripercussioni tra cui la cessazione).

Se la domanda è come gestire queste password in modo sicuro, in termini di archiviazione su hardware fammelo sapere e mi impegnerò per rispondere a questo.

EDIT

Un'altra possibile soluzione è generare giornalmente una password di amministratore casuale e distribuirla alle persone appropriate tramite una e-mail crittografata, riducendo anche l'esposizione dei sistemi agli addetti ai lavori e agli estranei.

    
risposta data 04.10.2012 - 19:26
fonte
1

Nelle aziende in cui ho lavorato, mi hanno dato accesso a un sito Web in cui posso accedere utilizzando la mia password di Active Directory e richiedere una password per qualsiasi server. Se il mio login è cancellato per quel server, vedo la password in testo semplice, altrimenti riceverei un messaggio di errore non autorizzato.

Potresti anche utilizzare alcuni software di gestione delle password di terze parti, una rapida ricerca su Google restituirà risultati come KeePass .

    
risposta data 04.10.2012 - 19:21
fonte
0

Un approccio è quello di annotare tutte le password e memorizzarle in una cassastrong fisica. Se si dispone di un amministratore o di un account, rappresentano una buona scelta per gestirli. Se sei investito da un autobus, possono rendere disponibili le password per la tua sostituzione. Un'altra possibilità, considerando la tua posizione come fondatore di una startup, è quella di darle al tuo avvocato o contabile, o forse a tua moglie.

Chiedete in modo specifico sugli standard. ISO 27002 sarebbe il primo posto in cui cercherò informazioni su questo. Ho appena avuto una rapida occhiata e non ho trovato nulla di specifico. Una considerazione però è la responsabilità individuale. Piuttosto che dare a qualcuno la tua password, dovresti creare account separati con gli stessi privilegi (e una password diversa) - e tenere al sicuro quei secondi account.

Un rischio con questo approccio è che stai dando completa fiducia a qualcuno. Tua moglie o il tuo commercialista potrebbero avere il controllo completo dei tuoi server. Esiste una soluzione tecnica per questo chiamato condivisione segreta . Potresti, ad esempio, fornire a tre persone parti del segreto e organizzarlo in modo che due di loro possano combinare i loro segreti per recuperare le password. Tuttavia, questa è probabilmente più una curiosità tecnica piuttosto che un sistema che in realtà si desidera utilizzare.

    
risposta data 17.05.2014 - 08:08
fonte

Leggi altre domande sui tag

Schema di gestione delle chiavi in PHP conforme a NIST SP 800-57 Come mitigare il rischio di una violazione della sicurezza del servizio di integrazione continua?