Una cuenta de servicio es una cuenta de usuario creada con el único propósito de ejecutar una aplicación. Por ejemplo, un sitio web de banca en línea puede tener una sola cuenta de servicio bajo la cual se ejecuta el código.
Las cuentas de servicio, como cualquier otra cuenta, tienen contraseñas. Se diferencian de las contraseñas de las cuentas de usuario final en dos formas importantes:
- Las contraseñas son generados por nosotros (y son grandes y aleatorios)
- Las contraseñas son almacenado por Windows para que pueda iniciar los servicios cuando sea necesario sin interacción humana.
Estoy tratando de averiguar qué tipo de proceso de administración de contraseñas necesitamos para defender estas cuentas.
La guíaPCI-DSS establece las siguientes pautas generales para las contraseñas:
- Asigne a todos los usuarios una ID única antes de permitirles acceder a los componentes del sistema o datos del titular de la tarjeta.
- Controle la adición, eliminación y modificación de ID de usuario, credenciales y otros objetos identificadores.
- Revocar inmediatamente el acceso de los usuarios finalizados.
- Eliminar / deshabilitar cuentas de usuario inactivas dentro de los 90 días.
- Limite los intentos de acceso repetidos bloqueando el ID de usuario después de no más de seis intentos.
- Establezca la duración del bloqueo en un mínimo de 30 minutos o hasta que un administrador habilite la ID de usuario.
- Si una sesión ha estado inactiva durante más de 15 minutos, solicite al usuario que vuelva a autenticarse para volver a activar el terminal o la sesión.
- Cambie las contraseñas / contraseñas de los usuarios al menos una vez cada 90 días
Pero algunas de estas reglas no tienen ningún sentido para una cuenta de servicio. Por ejemplo, tal vez no tiene sentido imponer bloqueo . Y podría ser un verdadero problema cambiar la contraseña cada 90 días, si se utiliza la misma identidad para una serie de microservicios, por ejemplo.
¿Alguna de estas reglas se aplica a las cuentas de servicio, o solo a las cuentas de usuario final? Si las reglas son solo para cuentas de usuarios finales, ¿qué reglas existen (si las hay) para las cuentas de servicio?
(Por "aplicar" quiero decir "se consideran durante una auditoría PCI")