Olet tässä:
OAuth-käytäntöjen määrittäminen: Asiakastunnusten kulkujen käytäntöjen määrittäminen
Tämä tietoturva-asetus estää Asiakastunnukset-kulun käyttämistä turvallisempien ja käyttäjäkonteksteihin perustuvien todennusmenetelmien puolesta.
Ohjaimen nimi
Ulkoiset asiakassovellukset: OAuth-käytäntöjen määrittäminen: Asiakastunnusten kulkujen käytäntöjen määrittäminen
Suositeltu kokoonpano
Asiakastunnusten kulkujen käytäntöjen määrittäminen.
Ohjauksen yleiskatsaus
Tämä tietoturvatilanne estää Asiakastunnukset-kulun käyttämistä turvallisempien ja käyttäjäkontekstiin perustuvien todennusmenetelmien puolesta varmistaakseen, että kaikki tietojen käyttöoikeudet on sidottu tiettyyn tunnistettavissa olevaan yksityishenkilöön. Asiakastunnukset-kulku hallitsee ulkoisten asiakassovellusten kykyä todentaa ja hankkia käyttöoikeusvaltuuksia asiakastunnuksen ja salaisuuden avulla ilman ihmisen toimia.
Tietoturvariski, jos ei määritetty
Tämän kulun käyttäminen aiheuttaa suuren riskin tietojen väärinkäytölle, koska se ohittaa käyttäjätason valtuutuksen, jolloin taustapalvelutilit voivat toimia koko organisaation datajoukon pysyvällä, itsenäisellä käyttöoikeudella.
Uhkien skenaariot
Vaarantunut ulkoinen palvelin käyttää tallennettuja asiakastunnuksiaan suodattaakseen suuria määriä tietueita ohjelmallisesti tai muokatakseen kriittisiä järjestelmäkokoonpanoja ilman interaktiivista sisäänkirjautumista tai monimenetelmäistä todennusta.
Arvioitu CVSS-pistealue
Korkea (7.0–8,9).
Riskien vaikutuksissa huomioitavia asioita
Ylimääräisen etuoikeutettujen palvelun identiteettien käyttäminen aiheuttaa yksittäisen vastuun puutetta, ja se voi johtaa täyden skaalan datan rikkomukseen, jos ulkoiseen asiakassovellukseen liittyvät staattiset tunnukset kaapataan tai vuodaan.
Korkeampi riski, kun
Asiakastunnusten kulku kartoitetaan suorituskäyttäjälle, jolla on laajat hallintaoikeudet tai kun integraatiolla ei ole IP-osoite- tai pyyntöjen rajoituksia.
Matalan riskin milloin
Jos yritys korvaa asiakastunnusten kulun JWT-haltijan kululla käyttämällä yksilöllistä digitaalista sertifikaattia tai rajoittaa palvelutilin rajoittamaan käyttöoikeusjoukon ja tietyt verkkoalueet.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Vaikka tämä kulku on helpompi toteuttaa automatisoiduille palvelinpalvelimen prosesseille, se vaatii tarkkoja sisäisiä hallintaprosesseja palvelutilin ja siihen liittyvien käyttöoikeuksien elinkaaren hallitsemiseksi.
Suositeltu korjaus
Arvioi integraatioarkkitehtuuri siirtyäksesi asiakastunnusten kulusta turvallisempaan menetelmään, kuten JWT Bearer -kulkuun, ja varmista, että kaikki jäljellä olevat palvelutilit on kohdistettu erilliselle suorituskäyttäjälle, jolla on absoluuttinen vaadittu käyttöoikeus.
Tietoturvan terveystarkastuksen ohjeet
Tietoturvan terveystarkastus tunnistaa nämä käytännöt vahvasti suositeltaviksi integraation käyttötarkoituksesta riippuen, koska näiden automatisoitujen prosessien välttyminen tai tiukentaminen auttaa varmistamaan, että taustalla toimivat järjestelmät käyttävät rajoitettua identiteettiä estääkseen suurten tietojen väärinkäytön.
