V1.2.1 Authentication Architecture

Requirement:#

Verify the use of unique or special low-privilege operating system accounts for all application components, services, and servers. (C3)

Explanation:#

Требование определяет необходимость использования уникальных или специальных учетных записей операционной системы с минимальными правами для всех компонентов приложений и сервисов.

Уникальные или специальные учетные записи с низкими привилегиями - учетные записи которые должны быть сконфигурированы с минимальными правами, то есть иметь минимальный уровень доступа, необходимый для выполнения своих специфических функций.

Importance:

1.Isolation: Использование уникальных учетных записей для каждого компонента изолирует их друг от друга. Это означает, что если один из компонентов будет скомпрометирован, злоумышленнику будет сложнее продвигаться по системе.

2.Least Privilege: Настройка учетных записей с низкими привилегиями гарантирует, что каждый компонент сможет получить доступ и изменить только те ресурсы, которые необходимы ему для выполнения своих задач. Это снижает потенциальные последствия нарушения безопасности.

3.Accountability: Наличие отдельных учетных записей позволяет повысить уровень подотчетности. При возникновении инцидента безопасности легче отследить, какой именно компонент или служба были задействованы.

4.Security Configuration: Специальные учетные записи с низкими привилегиями могут быть сконфигурированы с определенными настройками безопасности и контроля доступа, соответствующими их функциям, что повышает общую безопасность.

К примеру, веб-приложение состоит из следующих компонентов:

Web server (например, Apache or Nginx)
Application server (например, Tomcat or Node.js)
Database server (например, MySQL or PostgreSQL)
Backup server
Monitoring service

Для каждого из этих компонентов необходимо создать специальные учетные записи в операционной системе.

1. Web server:

Account Name: webserveruser
Privileges: Доступ на чтение к каталогу веб-содержимого, минимальные системные привилегии

2. Application server:

Account Name: appserveruser
Privileges: Доступ к каталогу кода приложения, минимальные системные привилегии

3. Database server:

Account Name: dbserveruser
Privileges: Доступ к системе баз данных, ограниченный необходимыми базами данных и операциями

4. Backup server:

Account Name: backupuser
Privileges: Доступ к каталогам резервного копирования и минимальные системные привилегии

5. Monitoring service:

Account Name: monitoringuser
Privileges: Доступ к инструментам и журналам мониторинга, минимальные системные привилегии

Remediation:#

Для выполнения этого требования выполните следующие действия:

1. Account Creation:

Создайте уникальные учетные записи для каждого компонента приложения, службы и сервера. Убедитесь, что эти учетные записи не являются общими для нескольких компонентов.

Least Privilege:

Настройте эти учетные записи с минимальными привилегиями, необходимыми для выполнения их функций. Это касается доступа к файловой системе, сетевых разрешений и прав пользователей.

Security Policies:

Внедрите политики безопасности и средства контроля доступа, ограничивающие возможности каждой учетной записи. Для этого могут использоваться списки контроля доступа (ACL) или групповые политики.

Regular Review:

Периодически проверяйте и обновляйте привилегии и конфигурацию этих учетных записей. Убедитесь, что они по-прежнему соответствуют принципу наименьших привилегий.

Logging and Monitoring:

Включите логирование для этих учетных записей. Отслеживайте их активность на предмет подозрительных или несанкционированных действий.

Password Management:

Используйте уникальные пароли для этих учетных записей и внедрите политику управления паролями.

Requirement:#

Explanation:#

Remediation:#

Additional:#