Технические учётные записи

Зона ответственности: Printum + Заказчик / Интегратор

Коротко: Для взаимодействия внутренних компонентов и интеграции с внешними сервисами Printum использует отдельные технические учётные записи. Пароли технических сервисов могут изменяться администраторами системы и не связаны с учётными записями пользователей.

Требование

Система должна обеспечивать использование отдельных технических учётных записей для выполнения служебных операций и взаимодействия компонентов системы.

Использование сервисных учётных записей позволяет разделить действия пользователей и внутренних процессов системы, а также обеспечить независимое управление их полномочиями и учётными данными.

Как это реализовано в Printum

Для работы внутренних сервисов и компонентов Printum используются отдельные технические учётные записи и сервисные пароли.

В зависимости от конфигурации системы технические учётные записи могут использоваться для:

PostgreSQL;
Redis;
ClickHouse;
CUPS;
FTP;
служб каталогов;
других интеграционных сервисов.

Пароли сервисов хранятся отдельно от пользовательских учётных записей и могут быть изменены администратором системы.

Для большинства внутренних сервисов при установке используются автоматически сгенерированные сложные пароли.

Рекомендуется использовать пароли длиной не менее 16 символов с использованием цифр, букв разных регистров и специальных символов.

Администратор может изменять пароли технических сервисов без изменения пользовательских учётных записей.

В отказоустойчивых конфигурациях изменение паролей должно быть синхронизировано между всеми компонентами системы, использующими соответствующий сервис.

Что требуется от инфраструктуры

Для подключения к внешним системам могут использоваться отдельные технические учётные записи.

К таким системам относятся:

LDAP и Active Directory;
SMTP-серверы;
FTP-серверы;
другие внешние сервисы, используемые в конкретной инфраструктуре.

Создание, сопровождение и управление жизненным циклом таких учётных записей выполняется администраторами инфраструктуры заказчика.

При изменении паролей внешних сервисов соответствующие параметры подключения должны быть обновлены в настройках Printum.

Ограничения и особенности

Пароли технических сервисов не связаны с пользовательскими учётными записями и не изменяются средствами парольной политики пользователей.

После изменения паролей внутренних сервисов может потребоваться обновление конфигурационных файлов и перезапуск компонентов системы.

В отказоустойчивых конфигурациях изменение паролей должно быть выполнено на всех узлах, использующих соответствующий сервис.

Для хранения конфиденциальных параметров конфигурации может использоваться шифрование конфигурационных файлов средствами системы.

Совместимость с антивирусным ПО

Атрибутный состав записи в журнале

Аудит действий администраторов

Журналы без чувствительных данных

Защита журналов от изменения и доступ к журналам

Мониторинг и анализ событий безопасности

Передача событий в SIEM

Перечень регистрируемых событий безопасности

Синхронизация времени (NTP)

Мандатное управление доступом

Профили безопасности

Хранение паролей в хэшированном и зашифрованном виде

Rootless режим контейнера

Отсутствие SUID-SGID файлов и утилит повышения привилегий

Соответствие рекомендациям CIS Benchmark

Фиксированные теги контейнерных образов

Хранение секретов в контейнерных образах

Контроль целостности ПО и конфигурационных файлов

Механизмы резервного копирования и восстановления

Использование небезопасных сетевых протоколов

Сегментация сети и зоны безопасности

Анонимный доступ запрещён

Блокировка и управление учётными записями

Доменная аутентификация и единый вход (SSO)

Идентификация и аутентификация пользователей

Парольная политика

Ролевая модель RBAC

Тайм-аут сессии и автоматическое завершение сеанса

Технические учётные записи

Использование СКЗИ и ГОСТ-криптографии

Управление сертификатами

Шифрование каналов связи

Технические учётные записи

Требование

Как это реализовано в Printum

Что требуется от инфраструктуры

Ограничения и особенности