Contraseñas comunes entre servidores / sitios web en una plataforma de desarrollo

5

He participado en una discusión sobre el uso de un nombre de usuario y una contraseña estándar en un entorno de desarrollo y agradecería comentarios:

El único servidor de desarrollo contiene una serie de bases de datos basadas en Linux y servidores web, un par por proyecto de cliente. Hay una única instancia de PostgreSQL que contiene varias tablas de clientes y un solo servidor web (Apache o NGINX) que aloja múltiples frontales web. Los datos en cada tabla de base de datos de clientes están ofuscados y anonimizados y los frontales web para cada cliente están asociados con una tabla de base de datos específica para formar un sitio de trabajo. Esta configuración completa solo está disponible para desarrolladores internos y también para una empresa de pruebas de terceros a través de una VPN segura. Al final del desarrollo, la estructura de la base de datos del sitio y la personalización de la Web se trasladan a una plataforma separada orientada al cliente y se carga con datos reales para que el cliente los pruebe. Estas nuevas plataformas siempre se crean desde cero y no se transfieren nombres de usuario ni contraseñas de desarrollo.

En la plataforma de desarrollo interna, los desarrolladores desean utilizar un nombre de usuario / contraseña común para los sitios web, y lo mismo ocurre con las cuentas de la base de datos y el usuario raíz de Linux, argumentando que esto hace la vida más fácil a medida que pasan del sitio. en el sitio durante el desarrollo y de todos modos no hay datos sensibles al cliente.

A un nivel simple, tener un conjunto de cuentas para todo hace la vida más fácil, pero ¿cómo iría en contra de los estándares formales (UK) de seguridad y otros estándares como ISO27001? ¿Pueden el caso de uso y el entorno hacer esto aceptable, o iría en contra de las pautas formales o informales de que debería tener detalles de cuenta únicos para todas las cuentas que administra y nunca compartir contraseñas?

En otras palabras, ¿cómo se vería esta configuración en una auditoría de seguridad formal?

Gracias

    
pregunta Linker3000 23.03.2017 - 16:57
fuente

1 respuesta

1

Si bien pueden ser difíciles de evitar, las cuentas compartidas son generalmente una mala idea para la seguridad de la información y no están bien atendidas por ISO27001 o los auditores de seguridad.

Las cuentas compartidas dificultan la creación de un seguimiento de auditoría adecuado, ya que las acciones no se pueden vincular directamente con una persona real. Sin embargo, hay formas de evitar esto, por ejemplo, implementando una herramienta para administrar y rastrear el uso de las credenciales.

    
respondido por el 714toSydney 08.05.2017 - 01:16
fuente

Lea otras preguntas en las etiquetas