整合實體與邏輯安全可以為企業帶來許多好處,但是要能成功並不容易。
一般來說,大部分的企業都是將實體安全(physical security)和邏輯安全(logical security)-就是眾所皆知的IT安全-分開來運行。事實上,IT和實體安全團隊被看待為如同混合油和水一樣。但如果將邏輯安全結合實體安全將可以帶來大量的好處。
因為使用者是流暢的存取到實體和IT資源,所以兩者的結合將會帶來效率並降低客服中心的電話量。員工們可以享受到使用單一個裝置同時進出辦公大樓與網路。更佳的存取管理可以帶來更好的安全並且可以滿足各式各樣法規遵循的要求因為使用者僅能夠存取他們被授權的資源,其他的資源則無法存取。
美國政府從過去到現在都在宣傳整合實體與邏輯(PL)的好處。第12號國土安全總統令 (Honeland Presidential Security Directive 12; HSPD 12)的個人身分辨識(Personal Identity Verification; PIV)計畫會對所有聯邦雇員以及契約者配給智慧卡。這些卡片是用來進行實體與邏輯的存取。
然而,所有的聯姻都需要付出心力,PL整合當然也不會例外。將兩個不同的安全名詞整合在一起是很困難的。在期間所進行異質系統的組合、升級實體存取系統的使用品、佈署智慧卡與安裝工作站軟體都是充滿著複雜性的工作。我們將會檢視PL整合的相關挑戰以及公司成功完成這場聯姻的步驟。
我們在討論的到底是什麼?
實體和邏輯整合對於許多IT安全從業者來說聽起來是件很棒的事,但是對於它到底是什麼存在著一些疑惑。PL整合是關於一個單一使用者認證者以及單一系列對於實體與IT身份和資源的管理程序。一般來說整合的里程碑有常見的認證器(common authenticator)、使用者生命週期管理(user lifecycle management)、安全資訊管理(security information management)以及內容授權(contextual authorization)。
常見的認證器(Common authenticator)
PL整合通常都是使用常見的使用者憑證來進行認證。最常見的認證器就是智慧卡。PL智慧卡擁有兩個界面。第一個介面是非接觸式的介面用於實體存取(見p.XX)。當使用智慧卡非接觸式介面的時候,使用者僅需要將智慧卡靠近門禁讀取器。如果認證成功,實體存取系統就會解開門鎖。該認證以及後續存取行為被稱為“授予(badging)”
智慧卡的另一個界面是接觸式的介面,是用來作為進行電腦的存取。大部分的PL智慧卡對於接觸式與非接觸式的介面有著不同的儲存機制。最近上市的PL智慧卡技術是使用雙介面(dual interface)智慧卡,接觸式與非接觸式介面共享相同的儲存空間來提供更多的功能性。
第二種類型的認證器就是在智慧卡上使用生物辨識,生物辨識裝置的代表裝置就是已經在實體存取使用很久歷史的指紋讀取器,雖然通常都是要求高度安全的環境才會使用這項裝置。在IT存取中指紋生物辨識很常被用在智慧卡的接觸式介面認證上。
使用者生命週期管理(User lifecycle management)
為了提高使用性組織必須將智慧卡個人化。個人化的過程包括身分授與(identity badging)(將使用者個人的照片圖形輸出在智慧卡上)、憑證獲取(利用X.509認證在智慧卡上儲存可以代表使用者的認證和相關私密金鑰),以及在實體存取系統上註冊特定智慧卡。
然而在PL界中有一句至理名言:越高度的個人化,管理就越複雜。總歸來說,大部分的PL整合發展會需要一個智慧卡管理系統(smart card management system; CMS)。CMS更加強了智慧卡的個人化趨勢。CMS的供應商有ActivIdentity、Bell ID、Intercede以及 EMC的 RSA security division。此外,CMS以及身份管理供應系統(identity management provisioning system)之間的整合在過去12個月有著大幅度的進展。身份管理的供應商有CA、Hewlett-Packard、IBM以及Sun Microsystems。在CMS的供應商中,ActivIdentity CMS與供應系統擁有最佳的整合。
PL使用者生命週期管理增進了效率並促進安全與遵循當CMS與供應系統整合之後以上的好處會更佳的明顯。新雇員會在有時效性的管理下存取實體與邏輯資源。當員工離開公司,他在實體與邏輯資源的權限會快速的被終止。透過終止後的快速移除存取權限以及提供支援最小需求存取的架構,PL使用者生命週期管理可以提高遵循的效率。幾乎所有的遵循-從醫療保險相互運用性與責任性法案(HIPAA)與沙賓法案(SOX)到支付卡產業資料安全標準都要求強健的存取控制政策。
安全資訊管理(Security information management)
安全資訊管理(Security information management; SIM)系統已經成為企業所必須的。這些系統會聯合與關聯使用者行為來提供使用者行為的整體觀進而完成遵循與鑑識的目的。而將IT安全稽核事件整合進SIM卻是還在發展中,從實體存取系統整合安全事件是一個必須依靠實體存取系統成熟度的雜集(mixed bag)。然而,在大多數的情況下整合是可行的而且可以因為對潛在安全危害進行標記而帶來好處。
舉例來說,SIM可以對實體存取系統所使用的UNIX系統中的安全事件進行關聯並且偵測是否有使用者已經喪失了實體存取權限卻還是會嘗試登入到資料中心UNIX系統的終端。同樣的,SIM可以關聯來自微軟視窗軟體與實體存取系統的事件來指出已經去到洛杉磯校園的使用者竟然還透過芝加哥的工作站來向Active Directory進行認證。
SIM 供應商包含ArcSight、CA、IBM、Novell以及EMC的RSA。一些SIM產品是直接以提供實體安全事件整合為主體的。例如,3VR的產品套件是透過記錄本地終端或其他SIM產品的事件到數位影像記錄器(digital video recorder; DVR) 並對這些事件建立索引讓這些紀錄可以被搜尋進行作業。
內容授權(Contextual authorization)
讓我們檢視上述例子的下一個「邏輯」步驟:當我們知道使用者已經被派往洛杉磯辦公室,是否可以停止透過芝加哥工作站進行認證的使用者? 這就是內容授權的目的。舉例來說,Imprivata的OneSign產品就有能力可以依照使用者是被派往哪個建築物來拒絕對於Active Directory以及其他IP平台的存取。
整合的障礙有哪些?(What''s Against this Union?)
對於成功進行PL整合其中一個最主要的障礙就是傳統會建立兩個不同的部門來負責實體與IT安全。這不容易修正,因為實體與IT安全團隊有不同的報告結構以及沒有良好的混合文化。實質上,工作團隊經常是被分別區分為保全人員與電腦玩家。
除了組織的挑戰,還有實體的問題需要被解決。
由於併購以及其他的理由,大部分大型組織在不同成熟度的階段對於實體存取系統有不同的工作環境。例如,某個有數千個地點的組織可能使用的實體存取技術會有從古老的鑰匙門鎖系統到滑刷式系統(請想像信用卡的方式)到非接觸式系統。這些工作環境上的問題分為兩個大方向。第一,某些實體系統缺乏連線到IT系統的必需介面,導致成為PL整合上的障礙。第二,不同實體存取系統的多樣性通常會阻礙在不同場所移動的使用者對於單一認證的使用。
對於大部份組織來說的另一個問題是他們沒有足夠的能力來進行外出標記(egress badging),就是當使用者離開建築物後權限會被暫時停止。在沒有外出標記的狀況下,組織會因為無法確定使用者的位置而在協調實體與IT系統事件上發生困難。
還有許多IT上的挑戰。組織必須佈署智慧卡中介軟體到所有的工作站上;這個中介軟體允許作業系統與應用程式(像是網頁瀏覽器、VPN用戶端與電子郵件用戶端)和智慧卡進行溝通。取決於不同的功能需求與作業系統,智慧卡中介軟體可能會置換工作站上登入元件的介面,例如Windows作業系統中的GINA。自從Windows 2000被開發後,微軟在改善作業系統讓智慧卡部署更加容易上作的很好。Windows Vista也不例外,但是一般來說組織還是要部署中介軟體來讓作業系統可以存取智慧卡。除了Windows 2000與Vista的工作站之外智慧卡也支援各式各樣的其他系統。
另一個額外的挑戰是關聯使用者的網路和實體位置。由於無線基地台、代理伺服器、VPN與現在大部分防火牆所提供的網路位址轉換的使用,導致很難去判斷使用者的網路位置,而這對於SIM與內容授權元件來說是很重要的資訊。
整合的要點(Convergence Tips)
1. 慎思而後行(Look before you leap). 由於整合異質系統、重整組織的實體與IT團隊、升級實體存取系統與重新發放認證元件的複雜性,PL整合會是一個組織的不斷改進的過程並且會至少花費數年的時間才能完成。在真正進行之前先檢視組織環境、盤查您的系統並且採懷疑論的態度來衡量整合的效益。
2. 使用單一的認證器系統(Aim for a single authenticator system)
許多PL整合後的效益是來自於使用單一的認證器,這樣可以增進使用率以及降低管理的複雜度。在進行整合計畫之前,請考慮減少認證器與實體存取系統的數量。這些數量上的減少可能必須置換較舊的實體存取技術,包含安裝在每一扇門上的元件。不過,使用多層技術的門禁讀取器以及智慧卡可以消彌轉換到單一技術上的困難。
3. 對智慧卡管理系統(CMS)進行投資(Invest in a smart card management system (CMS))
除非您想要加重使用者與管理者的困惱,否則智慧卡管理系統幾乎是必要的。客製化智慧卡可以在不需要CMS的條件下完成,但是整個過程就必須投入更多的手工製作的人工例如,要求使用者手動的發出X.509認證的要求。
4. 將團隊整合在一起(Bring the team together)
許多成功PL整合的公司都是將實體與IT安全的責任轉換到單一的組織,這樣可以確保這兩個安全團隊是在一致的目標下進行合作與工作。通常,這些成功進行整合的組織都說明自己是向資訊安全長這一類單一的領導者進行報告。
5. 與身分管理系統整合(Integrate with identity management systems)
身份管理系統可以提供更加的使用性、即時性以及跨越不同應用程式來高效率的控制使用者身份生命週期並達成遵循。大部分的PL整合目標都跟身分管理有關,因此組織努力於整合更大型的身份管理產品是有意義的。供應系統(Provisioning systems)可以協助身分生命週期的自動化:雇用、部門轉換、終止。在沒有整合CMS與供應系統的狀況下,組織就必須維護兩個不同領域的身分,而這兩個領域都有各自不同的管理程序。
6. 企業級單一登入系統(Enterprise SSO (eSSO) systems)
企業級單一登入(eSSO)系統會透過重送使用者帳號與密碼給需要的應用程式來減少使用者登入的次數。使用者認證一次,就會自然的登入到他們所選擇的應用程式。工作站所上智慧卡的使用需要部署中介軟體,那麼為何不同時部署eSSO用戶端讓使用者可以更輕易的使用? 一個身份管理的共同趨勢不論PL整合的目標為何是組合使用像是結合eSSO系統的智慧卡此類強健認證的系統,因為這樣可以減緩 「keys to the kingdom」的問題。
7. 規劃緊急存取(Plan emergency access)
員工一定會遺失他們的智慧卡或者是將它們忘在家裡。那麼他們就會被鎖在建築物和與IT系統外面。緊急存取程序確保這些使用者可以在沒有他們的智慧卡的狀況下繼續工作。某些方法包含在建築物入口處提供自助式的公用電話讓員工可以取得認證與暫用的智慧卡,以及使用IT軟體管理工具來暫時允許使用者利用密碼來取代智慧卡進行認證。
緊急存取計畫不一定需要技術性,對於那些擁有眾多數量不攜帶可攜式電腦並與需要取存公用電話員工而不允許使用智慧卡的組織來說安全會是一項考量。同時提供智慧卡與單次密碼(OTP,one-time password)元件的混合裝置(Hybrid devices)可以協助解決以上的狀況,因為OTP並不需要安裝工作站軟體。
8. 啟用外出標記(Use egress badging)
外出標記是一項協助決定員工是否已經離開辦公區域的重要工具。然而,這必須重新設定建築物的入口,以及要求使用者必須在離開建築物的時候進行標記,而這可能會造成週五下午門口的交通堵塞。 然而,無法進行外出標記並不一定都是壞處。某些PL整合系統支援 「最佳猜測(best guess)」演算法來決定使用者是否還在建築物中。例如,如果現在是早上三點,系統將會假設使用者不在建築物中。
許多組織正在進行PL整合並且藉由整合來增進效率與安全。但是整合的道路可能是崎嶇不平的,以及企業應該擁有定義良好的商業框架與執行計畫來確保整合的成功。