¿La guía de contraseña de PCI-DSS se aplica a las cuentas de servicio?

3

Una cuenta de servicio es una cuenta de usuario creada con el único propósito de ejecutar una aplicación. Por ejemplo, un sitio web de banca en línea puede tener una sola cuenta de servicio bajo la cual se ejecuta el código.

Las cuentas de servicio, como cualquier otra cuenta, tienen contraseñas. Se diferencian de las contraseñas de las cuentas de usuario final en dos formas importantes:

  1. Las contraseñas son generados por nosotros (y son grandes y aleatorios)
  2. Las contraseñas son almacenado por Windows para que pueda iniciar los servicios cuando sea necesario sin interacción humana.

Estoy tratando de averiguar qué tipo de proceso de administración de contraseñas necesitamos para defender estas cuentas.

La guía

PCI-DSS establece las siguientes pautas generales para las contraseñas:

  • Asigne a todos los usuarios una ID única antes de permitirles acceder a los componentes del sistema o datos del titular de la tarjeta.
  • Controle la adición, eliminación y modificación de ID de usuario, credenciales y otros objetos identificadores.
  • Revocar inmediatamente el acceso de los usuarios finalizados.
  • Eliminar / deshabilitar cuentas de usuario inactivas dentro de los 90 días.
  • Limite los intentos de acceso repetidos bloqueando el ID de usuario después de no más de seis intentos.
  • Establezca la duración del bloqueo en un mínimo de 30 minutos o hasta que un administrador habilite la ID de usuario.
  • Si una sesión ha estado inactiva durante más de 15 minutos, solicite al usuario que vuelva a autenticarse para volver a activar el terminal o la sesión.
  • Cambie las contraseñas / contraseñas de los usuarios al menos una vez cada 90 días

Pero algunas de estas reglas no tienen ningún sentido para una cuenta de servicio. Por ejemplo, tal vez no tiene sentido imponer bloqueo . Y podría ser un verdadero problema cambiar la contraseña cada 90 días, si se utiliza la misma identidad para una serie de microservicios, por ejemplo.

¿Alguna de estas reglas se aplica a las cuentas de servicio, o solo a las cuentas de usuario final? Si las reglas son solo para cuentas de usuarios finales, ¿qué reglas existen (si las hay) para las cuentas de servicio?

(Por "aplicar" quiero decir "se consideran durante una auditoría PCI")

    
pregunta John Wu 13.08.2018 - 21:48
fuente

2 respuestas

1

El uso de la palabra "orientación" está desactivado.

Bajo la norma hay 4 partes por requisito:

  • el propio requisito
  • procedimientos de prueba
  • Instrucciones para reportar
  • Orientación

    Estos se pueden encontrar en ROC y documentos estándar en la biblioteca de documentos del PCI SSC.

El requisito 8.2.4 establece:

  

Cambie las contraseñas / contraseñas de los usuarios al menos una vez cada 90 días.

Tiene su procedimiento de prueba correspondiente:

  

Para cada elemento de la muestra, describa cómo se verificaron los ajustes de configuración del sistema de que los parámetros de contraseña / contraseña de usuario están configurados para requerir que los usuarios cambien las contraseñas / frases de contraseña al menos una vez cada 90 días.

Sin embargo, su guía proporciona la intención detrás del requisito:

  

Las contraseñas / frases de contraseña que son válidas durante mucho tiempo sin un cambio brindan a las personas malintencionadas más tiempo para eliminar la contraseña / frase.

Entonces, si puede demostrar que puede pasar la intención (guía) sin cambiar su contraseña cada 90 días sin usar otro requisito (mediante la hoja de cálculo de control de compensación), por ejemplo, tener una contraseña con tal complejidad que su hash no pueda ser resquebrajado su tiempo utilizado, con registro adicional (por encima de los requisitos), etc. Luego, el QSA podría decir que el requisito ha cumplido con la intención.

Algunas definiciones de lo que cuenta como ' Admin 'para sus cuentas de servicio (sin embargo, el estándar" sobrescribe todas las preguntas frecuentes y la documentación de "Orientación" a voluntad de PCI y el QSA).

    
respondido por el grimthaw 10.12.2018 - 04:23
fuente
0

La respuesta real es lo que diga un QSA cuando se audita.

Si tienes canales oficiales para preguntar, úsalos. Obtenga una respuesta por escrito, si es posible.

El cumplimiento automatizado es la mejor ruta; a medida que aumenta la acción manual, también lo hace la probabilidad de error humano.

En un empleador anterior, éramos muy reacios a los riesgos en cuestiones de cumplimiento. En este caso, manejamos cuentas de servicio como cualquier otra cuenta de usuario.

La automatización es más o menos necesaria si tienes algo más allá de una huella pequeña. Consideramos varios enfoques para cumplir con estos requisitos.

Nuestras tres opciones

En Windows, si usa cuentas de servicio administradas de grupo (GMSA), son técnicamente cuentas de máquina en lugar de cuentas de usuario, además los cambios de contraseña se manejan automáticamente. Sin costo si tiene un dominio de Windows, pero debe estar al nivel de 2012 o superior.

Puede usar una aplicación como Secret Server, que cambiará, almacenará, validará, etc. las contraseñas por usted. A diferencia de los GMSA, sus administradores pueden autenticarse manualmente si necesitan realizar pruebas o solucionar problemas, potencialmente una ventaja, dependiendo de su entorno. Sin embargo, hay que considerar una tarifa de licencia, además de que es otra aplicación / base de datos para administrar.

Cambie la contraseña y actualice las configuraciones del servicio mediante un script. Puede usar PowerShell para cambiar la contraseña de la cuenta y luego enviar ese cambio a sus dispositivos con el comando Set-Service. Esto no cuesta dinero por adelantado, pero requiere más mano de obra que los GMSA, ya que tendrá que escribir y mantener los scripts.

    
respondido por el DoubleD 10.12.2018 - 19:53
fuente

Lea otras preguntas en las etiquetas