如何做好身份識別與存取管理

不管密碼設定政策再怎麼宣導，公司同仁還是會一而再、再而三地使用弱密碼，像是心愛寵物的名字、生日、喜歡的顏色等。強制要求他們設定七碼以上的複雜密碼，說起來像一個資安神話，要在辦公室裡強制落實密碼設定政策，其成本可不低。真的一點都不便宜！
根據最近一項統計，將近25%至30%向IT服務人員的求助電話都是跟密碼設定有關，而每一通電話的成本平均要花上美金25元，平均每個員工一年內都要打將近四通求助電話。而且還要提防無所不在的社交工程入侵者，以三吋不爛之舌騙取用戶的帳號密碼。
現在正需要推行一套身份識別與驗證機制，將它擺在最正確的位置上，透過身份識別與存取管理架構（IAM﹐Identity and Access Management）來建置牢不可破的管理方案。儘管如此，IAM必須配合整體資安規劃，由整體企業安全的角度出發，而不是僅侷限於身份識別的功能面。
幾年前IAM的地位還渾沌不明，而現在可以預期在2至3年內，會成為企業最主要的資安預算項目之一，也可以歸功於各種新的商業需求和法規的明令要求，使得IAM的需求更為明確且需達到一定的處理效率。安全經理應該要把握這個機會，從以下四個層面來引領IAM的建置與落實，包括：籌組IAM規劃小組、明確指出存取控制需求、規劃設計存取控制管理架構與推行導入方案。
IAM規劃小組
開始著手進行IAM專案時，安全經理必須號召各領域的專家，包括：各事業部門管理代表、網路與身份目錄管理人員、安控人員、系統與應用程式負責人。當然，這些成員最好都是講話有份量的代表人物。
籌組這個小組的目的就是要去定義出各單位對於IAM的需求。注意，不是定義出技術架構與方案。每位成員都代表各單位的需求提出建議，相互溝通之下，找出共同的交集與營運上的存取控制需求。該團隊的主要目標如下：
1.揭露現有問題：條列出所有IAM的現有問題，像是財務預算方面、作業層面與管理方面的議題。定義出IAM對於營運上的風險、作業上必須耗費的多餘人力、IAM在各部門中的常見問題與營運目標的關聯或衝突為何。
2.明確定義最終目標：根據其營運價值清楚指出短期與長期的目標。評估小組必須指出如何達到目標的戰術與策略，以及其相關的安全議題，最終必須符合長期營運發展的整體策略與管理需求。同時必須考慮：公司在一兩年內會將任何營運事業委外經營嗎？是否有必要為外部供應商與協同作業廠商，建立存取控制的角色與權限？在法規層面上是否有時間上的迫切需求與期限？最好的預期成果將是，確保營運上的彈性、增進企業安全並且縮減作業成本。
3.找到金主提供預算：雖然IAM主要由IT部門來完成建置與管理，但是必須由各部門共同投資與提供預算，企業必須保留預算給IAM專案，而且通常由各部門貢獻出部分預算來達成。
在最初的階段中，安全小組的工作是綜管評估整個IAM架構相關的營運風險，例如：弱密碼、身份識別資料庫疏於管理。安全經理應該注意各種導致資料外洩、身份資料竊取的誘因和手法。嚴格來說，安全必須落實於作業層面，像是管理與監控RADIUS伺服器、VPN和網路目錄服務，尤其是牽涉到分散於各部門的財務、人事資料，即使花多一點錢來保護也是值得的。找出目前安全預算是否過於浮濫，以期節省更多的經費來達成專案，這也是非常重要的工作。


規劃存取管理架構
安全存取管理架構不僅是要預防惡意與違規存取，還要明確控制有哪些人可以進入企業內部存取資料以及其權限為何。明確指出存取控制需求是IAM專案非常重要的一個階段，包括存取資料的來源，像內部網路、行動式辦公電腦、其他上網裝置，存取特定應用系統和資料都要清楚的條列於需求項目中。
在本階段中，IAM發展團隊必須針對各種系統與應用程序進行分類與分級，由該系統對於企業營運的重要程度進行評分，對於使用者的存取規定也必須落實管理與監控的記錄。在技術方面也必須找出各系統與IAM架構間所開放的服務或介面，包含作業系統的種類、應用程式的版本是否穩定、最近的更新記錄等資訊。 企業內部必須設計出一套資料機敏程度分級的規定，在資料建立、增修、儲存與傳輸時，必須依照其機密等級給予不同的處理程序。資料分級實在是一件耗時費力的工作，而許多企業在這方面都作得不夠徹底，甚至忽略這項工作。至少，安全經理應該要能夠區分出機密資料與普通資料的等級差異。
許多企業在導入新系統時，都會使用現成的存取規則和帳號設定，這是值得商榷的問題。透過IAM導入的機會，重新打造並檢視所有的存取權限是否合宜，不僅是針對「誰」可以存取資料，必須從這是什麼「資產」及「為何」需要存取這項資產的角度，重新規劃存取架構。提供以角色為基礎的存取規則（RBAP﹐ roles-based access provisioning），藉此產生後續安全稽核程序所需的記錄。
藉由資產盤點、資料與存取角色定義，企業可以明確依照職務劃分出身份識別與授權的規則。這表示我們可以選擇一個安全模式，達到預期目標，且不需變更或干涉營運作業程序。就存取授權來說，安全經理應該針對該員工的職務，劃分出其工作所需的最小權限與存取機敏系統的必要性，達到「有必要才知道」的安全規範。
企業應具備一套新增帳號的標準程序，把變更權限、刪除帳號等流程訴諸文件化，且在不同流程上的核准、退件都必須有人簽章同意。從這個流程中找出不合理、缺乏效率的部分予以自動化。目前這方面的廠商包括組合國際（CA）、Novell與RSA Security，可以透過這一套設計過的程序，一次完成稽核、自動化的帳號權限控管工作。
這個階段的工作顯得比較複雜，公司通常會很快地跳過這個階段，直接跳上安全與法規符合問題的火線。CISO應該要嚴格把關，確保這個階段的順利執行，明確地勾勒出成功的存取控制系統，會為公司帶來更大的安全與營運上的好處。 別忽略系統擴充性
IAM必須涵蓋整個企業，在建構IAM方案時，企業必須準確地定義正確的架構，從小處建構起，然後順利地逐一擴大至整個企業，包含各種解決方案，可能必須投資上百萬美金的預算，分成好幾年來完成建置。
為避免受到技術牽制，且將成效最大化，IAM服務應遵循標準協定具備彈性的分層架構，如：RADIUS、LDAP及X.509，清楚定義資料格式與API。IAM架構可以區分為識別物件（identity objects）、識別服務（identity services）與應用系統三個層次。
●識別物件︰包含使用者、裝置、檔案與應用程式等。是整個IAM金字塔架構最底層的基礎，必須定義各種與存取政策、法規符合性的相關資訊。識別物件的多寡，端看企業組織的大小、整體服務定位與政府的法規來決定。
●識別服務︰擔任中介軟體的角色，提供訊息傳遞、目錄、複製抄寫與連結各種識別物件與應用系統層的資料服務。識別物件將透過服務層，存取應用系統層，包括許多舊型的系統，也可以經過服務層的轉譯正確連結各種服務，例如：資料定義目錄與XML轉換功能。
●應用層︰透過識別服務層提供營運服務、安全與一般作業功能，IAM應用系統則安插至各識別服務中，採用簡單的標準程式介面完成此一架構，例如透過Java、ASP/.NET或C++等。其中還包含各家身份鑑別協定，如：RSA Security的OTPS或VeriSign的OATH，企業可依需求自行採用最佳組合（best-of-breed）的技術與套件。
安全專家可能在這個階段中感到不熟悉，趨向於強調「最佳組合」產品而非最佳架構方案。安全經理則必須從長遠的眼光來看待，專注於保障企業營運作業的順暢，必須考量系統與架構上的可擴充性，依照營運需求來設計身份識別管理架構，然後才是依階段性需求，選擇合適的標準化產品與工具，為的就是要著眼於未來的整合性。

營運維護才是成敗關鍵
在這個階段的工作項目，包括設立一個測試平台、進行初期導入的適應階段與導入期。CISO必須持續關注整個部署狀態確保達成設計與作業目標。
整個IAM專案是非常緊湊而不容有一絲延宕，因此很容易就會因為一些小細節累積成為重大瑕疵，而誤導整個專案的方向。安全經理在這方面應該嚴謹地記錄下整個導入的過程，未來發生不可避免的關鍵性瓶頸時，可供釐清原由並避免問題擴大。為了加強確保推行程序的進行，安全經理應持續舉辦檢討與訓練會議。
意料之外的安全弱點和程序問題會突然湧現，安全經理必須將視野向上提升，從頂端來鳥瞰問題，如果是很嚴重的關鍵問題，則必須停止導入程序，以避免影響到整個業務面的正常運作。
總之，耐心等待是一種美德，這個專案需要時間、預算與協同合作方能達成。
安全經理在IAM專案中要像個政治家，而非像警察的監督角色。身份識別確實是整個安全與營運的基礎建設，聰明的安全經理就會懂得運用這個議題，持續推動資安、加強安控，並減少作業上的工作負擔，充分達成支援業務營運的任務。
Jon Oltsik是Enterprise Strategy Group資深資安分析師。 若有任何建議可寫信至iseditor@asmag.com。