Сервисный аккаунт

Учетная запись службы или учетная запись приложения — это цифровой идентификатор , используемый прикладным программным обеспечением или службой для взаимодействия с другими приложениями или операционной системой . Они часто используются для межмашинного взаимодействия (M2M), например, для интерфейсов прикладного программирования (API). ^[1] Учетная запись службы может быть привилегированным идентификатором в контексте приложения. ^[2]

Обновление паролей

Учетные записи локальных служб могут взаимодействовать с различными компонентами операционной системы, что затрудняет координацию смены паролей . ^[3] На практике это приводит к тому, что пароли для учетных записей служб меняются редко, что представляет собой значительный риск для безопасности организации. ^[3]

Некоторые типы учетных записей служб не имеют пароля. ^[4]

Широкий доступ

Учетные записи служб часто используются приложениями для доступа к базам данных , выполнения пакетных заданий или сценариев или для доступа к другим приложениям. Такие привилегированные пользователи часто имеют обширный доступ к базовым хранилищам данных организации, расположенным в приложениях или базах данных. ^[3]

Пароли для таких учетных записей часто создаются и сохраняются в простых текстовых файлах , что представляет собой уязвимость, которая может быть реплицирована на несколько серверов для обеспечения отказоустойчивости приложений. Эта уязвимость представляет значительный риск для организации, поскольку в приложении часто хранятся данные, представляющие интерес для постоянных постоянных угроз . ^[3]

Учетные записи служб являются обезличенными цифровыми удостоверениями , и ими можно делиться. ^[3]

Неправильное использование

Google Cloud перечисляет несколько возможностей злоупотребления сервисными учетными записями: ^[4]

Повышение привилегий : кто-то выдает себя за учетную запись службы.
Подмена : кто-то выдает себя за учетную запись службы, чтобы скрыть свою личность.
Неотказ от ответственности : Выполнение действий от своего имени с учетной записью сервиса в случаях, когда не представляется возможным отследить действия нарушителя.
Раскрытие информации : Несанкционированные лица извлекают информацию об инфраструктуре, приложениях или процессах.

См. также

Учетная запись службы Kerberos, учетная запись службы в Kerberos (протокол)
Администрируемая учетная запись службы, учетная запись службы в управляемых службах.
Привилегированное управление идентификацией
Роботизированная автоматизация процессов

Ссылки

^ «Понимание учетных записей служб | Документация IAM» . Проверено 5 января 2023 г.
^ «Как управлять учетными записями служб и защищать их: лучшее…» . Проверено 5 января 2023 г.
^ Перейти обратно: ^а ^б ^с ^д ^и «Ldapwiki: Сервисная учетная запись» . Проверено 5 января 2023 г. ^{[ источник, созданный пользователем ]}
^ Перейти обратно: ^а ^б «Рекомендации по работе со служебными учетными записями | IAM-документация» . Проверено 5 января 2023 г.

[1] «Понимание учетных записей служб | Документация IAM» . Проверено 5 января 2023 г.

[2] «Как управлять учетными записями служб и защищать их: лучшее…» . Проверено 5 января 2023 г.

[:0-3] Перейти обратно: ^а ^б ^с ^д ^и «Ldapwiki: Сервисная учетная запись» . Проверено 5 января 2023 г. ^{[ источник, созданный пользователем ]}

[auto-4] Перейти обратно: ^а ^б «Рекомендации по работе со служебными учетными записями | IAM-документация» . Проверено 5 января 2023 г.

[1]

[2]

[3]

[4]