https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

如何做好身份識別與存取管理

2005 / 08 / 15
Jon Olstik
如何做好身份識別與存取管理

不管密碼設定政策再怎麼宣導,公司同仁還是會一而再、再而三地使用弱密碼,像是心愛寵物的名字、生日、喜歡的顏色等。強制要求他們設定七碼以上的複雜密碼,說起來像一個資安神話,要在辦公室裡強制落實密碼設定政策,其成本可不低。真的一點都不便宜!
根據最近一項統計,將近25%至30%向IT服務人員的求助電話都是跟密碼設定有關,而每一通電話的成本平均要花上美金25元,平均每個員工一年內都要打將近四通求助電話。而且還要提防無所不在的社交工程入侵者,以三吋不爛之舌騙取用戶的帳號密碼。
現在正需要推行一套身份識別與驗證機制,將它擺在最正確的位置上,透過身份識別與存取管理架構(IAM﹐Identity and Access Management)來建置牢不可破的管理方案。儘管如此,IAM必須配合整體資安規劃,由整體企業安全的角度出發,而不是僅侷限於身份識別的功能面。
幾年前IAM的地位還渾沌不明,而現在可以預期在2至3年內,會成為企業最主要的資安預算項目之一,也可以歸功於各種新的商業需求和法規的明令要求,使得IAM的需求更為明確且需達到一定的處理效率。安全經理應該要把握這個機會,從以下四個層面來引領IAM的建置與落實,包括:籌組IAM規劃小組、明確指出存取控制需求、規劃設計存取控制管理架構與推行導入方案。
IAM規劃小組
開始著手進行IAM專案時,安全經理必須號召各領域的專家,包括:各事業部門管理代表、網路與身份目錄管理人員、安控人員、系統與應用程式負責人。當然,這些成員最好都是講話有份量的代表人物。
籌組這個小組的目的就是要去定義出各單位對於IAM的需求。注意,不是定義出技術架構與方案。每位成員都代表各單位的需求提出建議,相互溝通之下,找出共同的交集與營運上的存取控制需求。該團隊的主要目標如下:
1.揭露現有問題:條列出所有IAM的現有問題,像是財務預算方面、作業層面與管理方面的議題。定義出IAM對於營運上的風險、作業上必須耗費的多餘人力、IAM在各部門中的常見問題與營運目標的關聯或衝突為何。
2.明確定義最終目標:根據其營運價值清楚指出短期與長期的目標。評估小組必須指出如何達到目標的戰術與策略,以及其相關的安全議題,最終必須符合長期營運發展的整體策略與管理需求。同時必須考慮:公司在一兩年內會將任何營運事業委外經營嗎?是否有必要為外部供應商與協同作業廠商,建立存取控制的角色與權限?在法規層面上是否有時間上的迫切需求與期限?最好的預期成果將是,確保營運上的彈性、增進企業安全並且縮減作業成本。
3.找到金主提供預算:雖然IAM主要由IT部門來完成建置與管理,但是必須由各部門共同投資與提供預算,企業必須保留預算給IAM專案,而且通常由各部門貢獻出部分預算來達成。
在最初的階段中,安全小組的工作是綜管評估整個IAM架構相關的營運風險,例如:弱密碼、身份識別資料庫疏於管理。安全經理應該注意各種導致資料外洩、身份資料竊取的誘因和手法。嚴格來說,安全必須落實於作業層面,像是管理與監控RADIUS伺服器、VPN和網路目錄服務,尤其是牽涉到分散於各部門的財務、人事資料,即使花多一點錢來保護也是值得的。找出目前安全預算是否過於浮濫,以期節省更多的經費來達成專案,這也是非常重要的工作。


規劃存取管理架構
安全存取管理架構不僅是要預防惡意與違規存取,還要明確控制有哪些人可以進入企業內部存取資料以及其權限為何。明確指出存取控制需求是IAM專案非常重要的一個階段,包括存取資料的來源,像內部網路、行動式辦公電腦、其他上網裝置,存取特定應用系統和資料都要清楚的條列於需求項目中。
在本階段中,IAM發展團隊必須針對各種系統與應用程序進行分類與分級,由該系統對於企業營運的重要程度進行評分,對於使用者的存取規定也必須落實管理與監控的記錄。在技術方面也必須找出各系統與IAM架構間所開放的服務或介面,包含作業系統的種類、應用程式的版本是否穩定、最近的更新記錄等資訊。 企業內部必須設計出一套資料機敏程度分級的規定,在資料建立、增修、儲存與傳輸時,必須依照其機密等級給予不同的處理程序。資料分級實在是一件耗時費力的工作,而許多企業在這方面都作得不夠徹底,甚至忽略這項工作。至少,安全經理應該要能夠區分出機密資料與普通資料的等級差異。
許多企業在導入新系統時,都會使用現成的存取規則和帳號設定,這是值得商榷的問題。透過IAM導入的機會,重新打造並檢視所有的存取權限是否合宜,不僅是針對「誰」可以存取資料,必須從這是什麼「資產」及「為何」需要存取這項資產的角度,重新規劃存取架構。提供以角色為基礎的存取規則(RBAP﹐ roles-based access provisioning),藉此產生後續安全稽核程序所需的記錄。
藉由資產盤點、資料與存取角色定義,企業可以明確依照職務劃分出身份識別與授權的規則。這表示我們可以選擇一個安全模式,達到預期目標,且不需變更或干涉營運作業程序。就存取授權來說,安全經理應該針對該員工的職務,劃分出其工作所需的最小權限與存取機敏系統的必要性,達到「有必要才知道」的安全規範。
企業應具備一套新增帳號的標準程序,把變更權限、刪除帳號等流程訴諸文件化,且在不同流程上的核准、退件都必須有人簽章同意。從這個流程中找出不合理、缺乏效率的部分予以自動化。目前這方面的廠商包括組合國際(CA)、Novell與RSA Security,可以透過這一套設計過的程序,一次完成稽核、自動化的帳號權限控管工作。
這個階段的工作顯得比較複雜,公司通常會很快地跳過這個階段,直接跳上安全與法規符合問題的火線。CISO應該要嚴格把關,確保這個階段的順利執行,明確地勾勒出成功的存取控制系統,會為公司帶來更大的安全與營運上的好處。 別忽略系統擴充性
IAM必須涵蓋整個企業,在建構IAM方案時,企業必須準確地定義正確的架構,從小處建構起,然後順利地逐一擴大至整個企業,包含各種解決方案,可能必須投資上百萬美金的預算,分成好幾年來完成建置。
為避免受到技術牽制,且將成效最大化,IAM服務應遵循標準協定具備彈性的分層架構,如:RADIUS、LDAP及X.509,清楚定義資料格式與API。IAM架構可以區分為識別物件(identity objects)、識別服務(identity services)與應用系統三個層次。
●識別物件︰包含使用者、裝置、檔案與應用程式等。是整個IAM金字塔架構最底層的基礎,必須定義各種與存取政策、法規符合性的相關資訊。識別物件的多寡,端看企業組織的大小、整體服務定位與政府的法規來決定。
●識別服務︰擔任中介軟體的角色,提供訊息傳遞、目錄、複製抄寫與連結各種識別物件與應用系統層的資料服務。識別物件將透過服務層,存取應用系統層,包括許多舊型的系統,也可以經過服務層的轉譯正確連結各種服務,例如:資料定義目錄與XML轉換功能。
●應用層︰透過識別服務層提供營運服務、安全與一般作業功能,IAM應用系統則安插至各識別服務中,採用簡單的標準程式介面完成此一架構,例如透過Java、ASP/.NET或C++等。其中還包含各家身份鑑別協定,如:RSA Security的OTPS或VeriSign的OATH,企業可依需求自行採用最佳組合(best-of-breed)的技術與套件。
安全專家可能在這個階段中感到不熟悉,趨向於強調「最佳組合」產品而非最佳架構方案。安全經理則必須從長遠的眼光來看待,專注於保障企業營運作業的順暢,必須考量系統與架構上的可擴充性,依照營運需求來設計身份識別管理架構,然後才是依階段性需求,選擇合適的標準化產品與工具,為的就是要著眼於未來的整合性。

營運維護才是成敗關鍵
在這個階段的工作項目,包括設立一個測試平台、進行初期導入的適應階段與導入期。CISO必須持續關注整個部署狀態確保達成設計與作業目標。
整個IAM專案是非常緊湊而不容有一絲延宕,因此很容易就會因為一些小細節累積成為重大瑕疵,而誤導整個專案的方向。安全經理在這方面應該嚴謹地記錄下整個導入的過程,未來發生不可避免的關鍵性瓶頸時,可供釐清原由並避免問題擴大。為了加強確保推行程序的進行,安全經理應持續舉辦檢討與訓練會議。
意料之外的安全弱點和程序問題會突然湧現,安全經理必須將視野向上提升,從頂端來鳥瞰問題,如果是很嚴重的關鍵問題,則必須停止導入程序,以避免影響到整個業務面的正常運作。
總之,耐心等待是一種美德,這個專案需要時間、預算與協同合作方能達成。
安全經理在IAM專案中要像個政治家,而非像警察的監督角色。身份識別確實是整個安全與營運的基礎建設,聰明的安全經理就會懂得運用這個議題,持續推動資安、加強安控,並減少作業上的工作負擔,充分達成支援業務營運的任務。
Jon Oltsik是Enterprise Strategy Group資深資安分析師。 若有任何建議可寫信至iseditor@asmag.com。