Tjenestekonto

En tjenestekonto eller applikasjonskonto er en digital identitet brukt av en applikasjonsprogramvare eller tjeneste for å interagere med andre applikasjoner eller operativsystemet. De brukes ofte for maskin-til-maskin-kommunikasjon (M2M), for eksempel programmeringsgrensesnitt (API).^[1] Tjenestekontoen kan være en priviligert identitet innenfor konteksten av applikasjonen.^[2]

Oppdatering av passord

Lokale tjenestekontoer kan interagere med forskjellige komponenter av operativsystemet, hvilket gjør koordinering av passordendringer vanskelig.^[3] Dette medfører at passord til tjenestekontoer i praksis sjelden byttes, hvilket utgjør et betydelig sikkerhetsspørsmål for en organisasjon.^[3]

Noen typer tjenestekontoer har ikke passord.^[4]

Vide tilganger

Tjenestekontoer brukes gjerne av applikasjoner for å få tilgang til databaser, kjøre batch-jobber eller skript, eller for å gi tilgang til andre applikasjoner. Slike priviligerte identieter har ofte vide tilganger til virksomhetens underliggende datalagre som ligger i applikasjoner og databaser.^[3]

Passord for slike kontoer er ofte bygget inn og lagret i klartekst-filer, hvilket gir en sårbarhet som kan repliseres på tvers av flere tjenere for å gi feiltoleranse for applikasjoner. Denne sårbarheten utgjør en signifikant risiko for en organisasjon fordi applikasjonen ofte huser akkurat den type data som er interessante for avanserte vedvarende trusler.^[3]

Tjenestekontoer er en ikke-personlig digital identitet og kan deles.^[3]

Misbruk

Google Cloud lister opp flere muligheter for misbruk av tjenestekontoer:^[5]

Eskalering av privilegier: Noen utgir seg for å være tjenestekontoen
Spoofing: Noen etterligner tjenestekontoen for å skjule sin identitet
Ikke-fornektelse (non-repudiation): Utførelse av handlinger på på sine vegne med en tjenestekonto i tilfeller hvor det ikke er mulig å spore handlingene til misbrukeren)
Informasjonsavsløring: Uvedkommende henter ut informasjon om infrastruktur, applikasjoner eller prosesser

Se også

Kerberos Service Account, en tjenestekonto i Kerberos (protokoll)
Administrert tjenestekonto, en tjenestekonto innen administrerte tjenester (managed services)
Priviligert identitetskontroll (privileged identity management)
Programvarerobot

Referanser

^ «Understanding service accounts | IAM Documentation». Google Cloud (på engelsk). Besøkt 5. januar 2023.
^ «How to Manage and Secure Service Accounts: Best…». BeyondTrust (på engelsk). Besøkt 5. januar 2023.
^ ^a ^b ^c ^d ^e «Ldapwiki: Service Account». ldapwiki.com. Arkivert fra originalen 5. januar 2023. Besøkt 5. januar 2023.
^ «Best practices for working with service accounts | IAM Documentation». Google Cloud (på engelsk). Besøkt 5. januar 2023.
^ «Best practices for working with service accounts | IAM Documentation». Google Cloud (på engelsk). Besøkt 5. januar 2023.

Autoritetsdata

[1] «Understanding service accounts | IAM Documentation». Google Cloud (på engelsk). Besøkt 5. januar 2023.

[2] «How to Manage and Secure Service Accounts: Best…». BeyondTrust (på engelsk). Besøkt 5. januar 2023.

[:0-3] «Ldapwiki: Service Account». ldapwiki.com. Arkivert fra originalen 5. januar 2023. Besøkt 5. januar 2023.

[4] «Best practices for working with service accounts | IAM Documentation». Google Cloud (på engelsk). Besøkt 5. januar 2023.

[5] «Best practices for working with service accounts | IAM Documentation». Google Cloud (på engelsk). Besøkt 5. januar 2023.

[1]

[2]

[3]

[4]

[5]