L'orientamento della password PCI-DSS si applica agli account di servizio?

3

Un account di servizio è un account utente creato al solo scopo di eseguire un'applicazione. Ad esempio, un sito Web di banking online può disporre di un singolo account di servizio in base al quale viene eseguito il codice.

Gli account di servizio, come qualsiasi altro account, hanno password. Differiscono dalle password degli account degli utenti finali in due modi importanti:

  1. Le password sono generato da noi (e sono grandi e casuali)
  2. Le password sono memorizzato da Windows in modo che possa avviare i servizi quando necessario senza interazione umana.

Sto cercando di capire quale tipo di processo di gestione delle password dobbiamo tenere in piedi attorno a questi account.

Le istruzioni

PCI-DSS definiscono le seguenti linee guida generali per le password:

  • Assegna a tutti gli utenti un ID univoco prima di consentire loro di accedere ai componenti del sistema o dati dei titolari di carta.
  • Controlla aggiunta, eliminazione e modifica di ID utente, credenziali e altri oggetti identificatori.
  • revoca immediatamente l'accesso per gli utenti che hanno interrotto il servizio.
  • Rimuovi / disabilita gli account utente inattivi entro 90 giorni.
  • Limita i tentativi di accesso ripetuto bloccando l'ID utente dopo non più di sei tentativi.
  • Imposta la durata del blocco su un minimo di 30 minuti o finché un amministratore non abilita l'ID utente.
  • Se una sessione è rimasta inattiva per più di 15 minuti, richiedere all'utente di eseguire nuovamente l'autenticazione per riattivare il terminale o la sessione.
  • Cambia password / passphrase utente almeno una volta ogni 90 giorni

Ma alcune di queste regole non hanno alcun senso per un account di servizio. Ad esempio, forse non ha senso imporre blocco . E potrebbe essere un vero e proprio dolore al collo cambiare la password ogni 90 giorni, se la stessa identità viene utilizzata per una serie di microservizi, per esempio.

Qualcuna di queste regole si applica agli account di servizio o solo agli account degli utenti finali? Se le regole sono solo per gli account degli utenti finali, quali regole esistono (se esistono) per gli account di servizio?

(Con "apply" intendo "sono considerati durante un audit PCI")

    
posta John Wu 13.08.2018 - 21:48
fonte

2 risposte

1

Il tuo uso della parola "guida" è un ma fuori campo.

Sotto lo standard ci sono 4 parti per requisito:

  • Il requisito stesso
  • Procedure di test
  • Istruzioni per la segnalazione
  • Guida

    Questi possono essere trovati sotto ROC e Standard nella libreria documenti PCI SSC.

Il requisito 8.2.4 afferma:

Change user passwords/passphrases at least once every 90 days.

Ha la sua procedura di test corrispondente:

For each item in the sample, describe how system configuration settings verified that user password/passphrase parameters are set to require users to change passwords/passphrases at least once every 90 days.

La sua guida fornisce comunque l'intento dietro il requisito:

Passwords/passphrases that are valid for a long time without a change provide malicious individuals with more time to work on breaking the password/phrase.

Quindi SE puoi dimostrare di poter passare l'intento (guida) senza cambiare la password ogni 90 giorni senza usare un altro requisito (compensando il foglio di lavoro di controllo) dicendo, avendo una password con tale complessità che il suo hash non può essere incrinato all'interno il tempo impiegato, con registrazione aggiuntiva (sopra i requisiti), ecc. Quindi il QSA potrebbe dire che il requisito ha soddisfatto l'intento.

Alcune definizioni di ciò che conta come " Admin 'account per i tuoi account di servizio (tuttavia' lo standard 'sovrascrive tutte le domande frequenti e la documentazione' Guida 'a volontà di PCI e il QSA).

    
risposta data 10.12.2018 - 04:23
fonte
0

La vera risposta è qualunque cosa un QSA dice quando sei controllato.

Se hai canali ufficiali da chiedere, usali. Ottieni una risposta per iscritto, se possibile.

La conformità automatica è la soluzione migliore; con l'aumentare dell'azione manuale, aumenta anche la probabilità di errore umano.

In un precedente datore di lavoro, eravamo molto avversi al rischio per le questioni di conformità. In questo caso, abbiamo gestito gli account di servizio come qualsiasi altro account utente.

L'automazione è più o meno necessaria se si dispone di qualcosa che va oltre l'ingombro minimo. Abbiamo preso in considerazione diversi approcci per soddisfare questi requisiti.

Le nostre tre opzioni

Su Windows, se si utilizzano gli account dei servizi gestiti di gruppo (GMSA), sono tecnicamente account computer anziché account utente, più le modifiche alle password vengono gestite automaticamente. Nessun costo se hai un dominio Windows, ma deve essere al livello 2012 o superiore.

Puoi usare un'applicazione come Secret Server, che cambierà, memorizzerà, convaliderà, ecc. le password per te. A differenza dei GMSA, i tuoi amministratori possono autenticarsi manualmente se devono eseguire test o risoluzione dei problemi --- potenzialmente un vantaggio, a seconda del tuo ambiente. Tuttavia, c'è una tassa di licenza da considerare, oltre a un'altra applicazione / database da gestire.

Modifica la password e aggiorna le configurazioni del servizio tramite script. È possibile utilizzare PowerShell per modificare la password dell'account e quindi inviare tale modifica ai propri dispositivi con il comando Set-Service. Questo non costa soldi in anticipo, ma richiede più lavoro di GMSA in quanto dovrai scrivere e mantenere gli script.

    
risposta data 10.12.2018 - 19:53
fonte