關於企業帳號管理與權限控管的問題存在已久,因此市場上早就有像SSO(single sign on)單一簽入、帳號整合等相關的解決方案提出。但近年來在IT雲端化趨勢與法規遵循的要求下,企業除了針對用戶進行身分認證(知道你是誰?)外,還要更進一步加強對權限的控管(你能做什麼?),尤其對銀行或電信這些系統龐雜且又有嚴格法令規範的業者而言,更需要一套可行的解決方案來滿足其安全與稽核的管理需求。
台灣企業在權限控管上仍嫌不足
台灣網威業務支援及技術服務協理呂思偉估計,台灣目前政府單位、大型企業約近八成有導入帳號整合、單一簽入的產品,但在權限控管上卻仍嫌不足。如果以銀行業動輒上百套應用系統來看的話,一個分行主管可能就有20種不同AP的存取權限,當IT稽核要檢查個人所持有的權限是否適當並符合業務需求時,各系統負責人就必需以手動方式調出個人的權限後,再到Excel中匯整成一個符合法規要求的權限矩陣,不但耗時費工也常會出現疏漏。
因此呂思偉建議,企業在帳號整合後的下一步就需要導入IAM (Identity Access Manager)身分存取管理解決方案,將分散在不同系統中的權限控管機制整合起來,利用不同Driver進入各系統中取得相關資訊,再集中到一個相同的管理介面上;以全盤檢視並定義人員所擁有的各項存取權限,並自動迅速產出稽核報表來符合法規遵循的要求。
呂思偉補充,在人員權限的制定上,可由各系統使用單位與IT人員,依據業務所需的最小權限原則共同制訂權限範圍,然後再經由IAM集中套用到各系統之中。
特權帳號的濫用與管控
除了一般人員的使用者權限控管外,IAM也能解決特權帳號的濫用問題。呂思偉指出,以往銀行單位的主機管理人員為了日常維護作業的方便,常常使用相同的Administrator管理帳號登入作業,讓管理稽核無法落實而造成特權帳號的濫用情況。
對於這種特權帳號的管理問題,IAM能提供主機端的代理程式管理(Agent-Based),或是以代理方式(Proxy-Based)的方式來執行特權帳號控管。透過安裝agent方式,即使是用root特權帳號登入也能限制其所能執行的指令,並同時側錄使用者行為。
而如果主機不適合安裝agent的話,則可以利用proxy代登入的方式來進行權限控管,雖然無法做到像agent那樣的細部功能設定,但優點是使用者不會直接接觸到特權密碼,以減少人為密碼外洩的安全漏洞,其重點就是讓銀行原本各自獨立的系統,其帳號與權限透過IAM的集中變得可供管理與稽核。
透過標準API介面與現有系統介接
至於IAM是如何與企業現有的眾多不同系統去做介接?通常IAM廠商會提供標準API介面,讓企業得以將應用系統的使用者資訊串接到IAM平台上,當然也就不免需要進行程式的撰寫甚至是修改原有應用程式。因此有些廠商會預先提供介接的Driver,以便企業能在不修改AP的情況下,迅速完成使用者帳號、權限等資料的同步作業。
呂思偉進一步說明像NetIQ(Novell)一開始就是以整合為概念去發展IAM產品,因此會先按照業界常見的認證協定標準,將已知系統的相關組態設定與資料格式放入Driver中提供企業使用,也就是把原本企業要根據廠商提供的API來撰寫介接程式的工作,轉交由NetIQ(Novell)來完成。但對於一些自行開發又沒有按照業界標準開始的應用系統,呂思偉也提到此時就可能需要客制化,透過撰寫script,用類似正規化的方式來收集或去掉不必要的資訊,以完成現有應用系統對IAM的介接。
中小企業的存取控管迷思
不只是銀行業者,隨著企業規模的擴展,資安意識較為薄弱的中小企業也會需要IAM這類的集中存取控管機制。台灣網威總經理黃成弘提醒國內企業常有的一種迷思就是認為公司已架有微軟的AD,員工登入電腦都需先經過AD網域認證,這樣就算有做到身分存取的控制,但其實企業不是僅靠一套AD目錄服務就能控管企業內部包括主機與應用程式端的所有存取行為。
一般我們會透過AD來進行個人工作站或企業伺服器的認證授權,因此如果還要用相同的AD來控制AP的權限的話,可能會讓AD工作負擔過重,且另一個主要原因就是用來做為工作站主機與伺服器存取登入依據的AD網域,其樹狀架構(schema)本身就與AP層有所不同,使兩者業務難以相容,即使勉強整合也只會讓整個AD在設定上變得更加複雜且難以管理。因此呂思偉建議除了控管硬體設備的AD外,企業也需要有另一套目錄服務來執行應用系統的存取權限設定。
黃成弘舉例,像政府機關控管PC工作站和帳號的AD,可能會以設備所在地理位置做為其目錄結構的設計參考,但如果從應用系統角度來看的話,由於業務職掌的不同,其目錄架構的設計就比較適合以人事、行政…等組織單位來做基礎,如果硬要將兩者擠在一起反而會讓整個目錄服務系統難以設計。
國際研究顧問機構Gartner在其”The Do''s and Don''ts of Identity and Access Management”的研究報告也提到,企業不應期望以單一的目錄服務套用在所有的權限控管上;站在效能與安全的考量,企業至少將內部與外部使用者的目錄服務區隔開來,管PC網路與管AP的目錄服務也應有所區隔。
在此要強調的是,我們所想要達到的目標是,透過IAM平台讓企業現有的權限控管能夠集中,以便簡化管理稽核的工作,而不是盲目追求目錄服務的單一化。
雲端上的IAM
隨著網路雲端不斷擴展下,企業不可免的將使用到雲端服務,甚至本身可能也需要提供雲端服務給自己的員工、客戶,或合作夥伴,這種公私雲混合的架構也將成為企業雲端應用的常態,在這種情況下,如何將帳號權限的存取控管機制導入雲端中,便成為企業在營運與資安上的一大挑戰。
由於雲端使用者帳號不同於以往皆在內部的情況,對於使用者帳號的建立與驗證可能會由其他的服務供應商來提供,如果要進行簡化管理的話,就會需要一套可供交換的身分機制,像SAML(Security Assertion Markup Language,安全宣示標記語言)、OpenID等標準。
例如NetIQ SocialAccess就支援符合SAML 2.0或OpenID標準的帳號來源,讓用戶可以使用Facebook、Twitter、Google等常見社群網站的帳號來登入,不僅免去用戶註冊帳號的麻煩,提高使用網路服務的意願,同時又無需自行維護使用者帳號資料。而NetIQ CloudAccess則能協助企業將現有的身分存取與控管機制延伸到網路雲端的SaaS服務上,只要是使用SAML標準的SaaS服務,就能利用NetIQ CloudAccess的連接器,在經過組態的調整與設定參數後與SaaS服務進行整合,對雲端中的重要資源進行存取控制。
企業對身分存取控管機制的建立與維護是一個持續不斷的流程,從帳號整合、單一簽入、多因素認證到權限控管,到現在的雲端身分交換,IAM的需求會隨著IT環境的不同而演進,因此企業最好別抱著一次到位的急切心態,尤其是牽涉到權限控管機制這種大規模的更新部署,不管在人員、技術上都會產生巨大衝擊,為IAM導入專案埋下不可知的變數,所以建議IT以階段性方式部署,避免衝擊的同時又可累積經驗、發現問題,以朝向可管理的身分控管目標前進。
瞭解更多 ~
讓連續多年榮獲Gartner領導象限的NetIQ(Novell)告訴你。
專題報導系列:
系列一:透過資訊整合 打造全方位的安全監控平台
系列二:善用SIEM做好法規遵循
系列三:雲端時代,企業需要更進一步的權限控管