https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

完美的配對?

2009 / 06 / 29
JOEL DUBIN 譯 ■ 林佳明
完美的配對?

  法規遵循( C o m p l i a n c e ) 與整合(consolidation)是IT安全產業的第一要務,尤其是在身分識別與存取管理上更是如此。

  今日的管理環境要求公司必須能夠追蹤並控制誰能夠存取什麼。同時,存取管理的工具也從各種不同分散的產品整合成為成熟的套件工具。這是透過收購來搶佔IT安全市場浪潮的一部分,大型廠商透過購併較小型的公司來擴增自己的安全套件。即使像是資料庫大廠Oracle這些不是身分識別與存取管理(IAM, Identity and Access Management)市場中的知名傳統廠商也開始跳到這塊市場中。

  身分識別與存取管理正炙手可熱。在Forrester Research一份今年稍早所公開的研究顯示,IAM市場因透過法規遵循的驅動,將從2006年的26億美金成長到2014年的123億。

  Forrester也指出企業為了確保跨平台的通透性,將會從單項產品轉向使用整合的、功能豐富的身分識別套件。各家公司會尋找能夠長期提供服務、和公司一起成長並提供支援的可靠廠商。各個符合需求的套件會由已經立足於產業的廠商提供。但是這些套件可能需要耗費大量時間與昂貴的成本才能被佈署,而且可能還無法實踐廠商所承諾的達到身分識別的解決之道。

市場整併
  在2005年之前,IAM市場的傳統廠商是Novell、Sun、IBM以及Microsoft。他們提供基本的身分辨識產品來和目錄服務(directory services)進行連線,這些目錄服務像是有Active Directory (Microsoft)以及LDAP (Sun)。同時期的其他廠商還有SAP、BMC、CA以及RSA Security,提供各種像是身分識別供應(provisioning)以及認證這類身分辨識其中一項種類的服務。還有許多小型廠商提供像是角色管理與虛擬目錄(virtual directories)的產品。

  然後在2005年發生了2件事:像是遵循沙賓法案(SOX, Sarbanes-Oxley)這類的法規開始影響市場以及市場開始發生併購的趨勢。Oracle在併購2個新興公司,使用者識別供應廠商Thor以及虛擬目錄專家OctetString時,讓產業觀察者都感到驚訝。該年Oracle隨後又併購了Oblix,一家網站存取控制的供應商。同樣在2005年,CA收購InfoSec的軟體來清理廢棄的身分識別,以及BMC獲取網站存取廠商
OpenNetwork Technologies與一家目錄管理產品的供應商Calendra。

  2006年市場上的整併動作依然持續進行。Sun獲取Neogent,這是進行自動化身分辨識管理的一項產品。RSA則併購了網站認證公司Cyota以及PassMark,但是後續RSA卻被儲存裝置的巨人EMC給收購了。1年後,Oracle買下針對網站進行強健認證的供應商Bharosa,以及企業角色管理(enterprise rolemanagement)的軟體公司Bridgestream。同時Sun也買下了另一家角色管理廠商Vaau。Sun在3月公佈收購Vaau是一系列擴展IAM套件計畫的第一步,可以讓Sun來對抗領導廠商Oracle以及IBM。在同一時刻,IBM也收購了企業單一登入廠商Encentuate。

  所有的這些收購行為都大大改變IAM市場,成為由少數大型廠商負責提供整合套件的模式。目前有許多小型廠商提供獨立的產品,但是以下3個領域可能會是大型廠商用來擴展他們套件的潛在目標:企業級單一登入(enterprise SSO)、虛擬目錄服務以及特定帳號管理(privileged account management)。

主要功能

  身分識別與存取管理套件所組合的技術可以區分為4種廣泛並有相關聯的分類:身分識別管理、身分識別基礎建設、存取管理與稽核。

  在身分識別管理之下包含使用者識別供應、角色管理、特定使用者帳號管理以及企業角色管理。了解角色管理以及企業角色管理之間的區別是很重要的。傳統的角色管理是靜態的,僅僅是根據使用者的角色與群組來進行設定。而企業角色管理是動態的,它是一種以角色為基礎的認證,可以在公司內橫跨多重事業單位以及組織部門別,可以彈性的轉移角色來因應公司因為成長以及併購後所導致使用者結構的改變。

  身分辨識基礎建設包含了任何會持有身分識別資訊的東西:目錄(directories)、虛擬目錄(virtualdirectories)以及中繼目錄(metadirectories)。存取管理包含了像是透過單一登入技術來存取多個企業內或網站上應用程式的監視,以及類似單一登入技術的統一身分辨識管理(federated identity management)。稽核包括保存使用者的軌跡以及他們的角色,稽核的工作會有部分重疊到以上所有的管理部份。

多功能合一的好處

  使用套件明顯的好處是它提供了完整的IAM給客戶,套件可以一次滿足IAM的4個主要功能。所有的套件都會進行使用者識別供應,而BMC、CA、IBM、Novell以及Oracle的一些大型套件則會提供企業單一登入。Evidian則是在他們的套件中強調擁有更強的單一登入與統一身分辨識管理。

  Forrester資深分析師Andras Cser表示,為了擁有可互通性以及良好的支援,企業會選擇整合過的產品組合;套件比起單一的產品會更容易取得技術的修正。價格也是另一個因素。「就算用不到,但是如果一次購買多個功能那麼就有很高的機會能夠以較便宜的價格取得這些功能」他說。而且在大多數的情況下,套件都能夠擁有所有單一產品的功能,Cser補述。

  除了可以協助企業解決不同產品之間的整合性問題,套件可以讓公司完成中央存取管理的功能。這些套件使用單一的圖型使用者介面(GUI)或者含有控制項目的網頁介面來進行使用者識別供應、管理角色與群組並用來管理目錄服務。

  整合後的套件也會提供中央目錄管理,讓像是Active Directory以及LDAP這些不同的目錄服務一起運作。許多公司是使用混合的系統,大型主機、Windows以及UNIX環境,當環境成長或併購時將會整合在一起。相對於將它們目前使用中的身分辨識機制完全改換成RACF、Active Directory或者是LDAP,大部分的企業比較傾向於使用現有的目錄。它們希望能夠使用單一的工具來管理所有的目錄服務。與不同的目錄服務一起運作的需求是存在的,多種不同的目錄服務是無法簡單的被整合或者是由單一的目錄服務來取代,這也是許多大型企業所面臨的基本問題。

  使用IAM套件的另一個好處是擁有良好的報表產出能力。報表是沙賓法案(SOX)、醫療保險可攜性與責任法案(HIPAA)以及支付卡產業資料安全標準(PCI DSS, Payment Card Industry Data Security Standard)這類產業標準與法規遵循的核心。不需要依靠Cognos或者Actuate這類產品來產出報表,套件應該要能夠產出報表並將相關資料儲存於資料庫以便後續存取。以Oracle Access Manager為例,它會利用公司的資料庫能量來儲存套件中不同元件的存取資訊。它有預先制訂好的報表會指出誰曾經存取過哪些系統來滿足遵循的要求。各種報表範本可以記錄使用者存取歷程或者是登入失敗的狀況,進而用來進行事件管理,例如登入失敗可能代表駭客進行入侵的跡象。

  報表可能以網頁形式或紙本的方式來呈現給稽核者與管理者,且報表功能也可以與安全資訊管理系統整合在一起,CA在它們的套件中就是這樣做。

缺點

  套件並不是萬靈丹,無法解決企業所有的IAM問題。首先,對於任何企業來說使用IAM套件可能是曠日費時且昂貴的投資。雖然投資金額取決於組織的規模,但是花費最少都是以幾十萬美金開始起跳。以一家全球性擁有數千個辦公室的企業來說,要佈署完整的套件通常都是階段性的並透過數年的時間來進行,而且還要是一切的事情都順利的被進行才能成功佈署。將IAM套件整合到公司的架構與現有的目錄服務中將會有大量的計畫被實施,這些計畫包含建立與轉移使用者、角色與群組到新的系統中。

  其次,產品套件內的工具不是每一個都功能完美。某項產品可能在身分識別供應上很頂尖但是報表能力上卻不怎麼樣,或者是它的圖型使用者介面或網頁介面難以使用。

  各個套件正在增加中的功能也造成各家公司難以做下購買決策。大部分公司的商業需求並不是總能被各項套件所擁有的功能給滿足。Forrester表示,因為會有更多像是稽核人員以及非技術員工這類的利害關係人參與身分辨識解決方案的選擇與購買過程,導致購買決策更加複雜。

  雖然套件提供許多功能,但是目前都缺乏2種新的技術:虛擬目錄以及特定帳號管理。虛擬目錄會在不儲存身分辨識資料的狀況下,即時從多重來源存取身分辨識資訊以提供單一檢閱的呈現。只有透過虛擬目錄,多個目錄才可以被查詢,並由虛擬目錄來負責存取這些實際的目錄並回應身分識別查詢。虛擬目錄被作為結合了身分識別管理功能的單一登入使用。只有Oracle、Sun以及SAP提供了他們完整的虛擬目錄功能。

  而負責保護系統管理者帳號的特定帳號管理,是遵循要求必須使用的。可是目前主要的IAM套件都沒有完整支援這項功能。

未來發展

  當混合性的系統變得越來越複雜,不論是網頁形式、主從式架構或者是大型主機式的入口網站或應用程式,公司為了滿足遵循的要求一定會有增加存取控制的需求。未來將會增加可以進行精細設定且目前所有IAM套件都沒有的授權管理(entitlement management)。授權管理不再只是使用傳統存取管理系統的以角色與群組限制對於系統與應用程式的存取。它可以基於每天的時間點、地理位置甚至是交易的類型來進行存取的限制。

  法規遵循的要求也影響IAM套件將持續增加多因子認證的功能。例如聯邦金融機構檢查委員會(FFIEC, Federal Financial Institutions Examination Council)在2005年的一個指令中就建議透過網站進行銀行業務時應該使用雙因子認證。所以IAM套件不再只能處理標準的帳號與密碼,現在還要能處理智慧卡、動態密碼(OTP, One-Time Password)權杖甚至是生物辨識。這樣的趨勢將會影響IAM套件必須能夠
整合邏輯與實體安全,而這個整合常常就必須以智慧卡與其他的雙因子認證裝置作為基礎。

  IAM套件的發展是由所有產業都會有的市場鞏固以及市場對於遵循工具的需求同時驅動。遵循並不等於安全,可能會讓安全更好或更糟,遵循是領導者,而IAM套件只是追隨者。

2008市場動態          *資料來源:編輯部整理

4月 Accenture與昇陽電腦(Sun Microsystems)合作推出Accenture智能
  辨識系統(Accenture Smart IdentitySolution) ,此方案將實體以及邏
  輯性安全,包含生物特徵與智慧卡技術,並將配置與進出管理融合到
  企業應用之中,例如SAP。此方案透過植入完整的生物特徵、與個人
  資歷登記功能,來加強企業運用的安全性,例如人力資源計畫。因而
  產生了自動化、可信度高的企業身分辨識管理過程。

5月 I B M 推出新版統一身分辨識管理( F e d e r a t e d Identity 
  Management)工具,能整合OpenID、Windows CardSpace 以及
  Eclipse Higgins Identity Frameworks。透過公開的共同標準以及各種
  的使用者登入證明,應用系統之間的整合無需再嵌入複雜的安全邏
  輯。

6月 Novell的身分辨識產品推出6款解決方案支援SAP的GRC(控管、風
  險管理和法規遵循)、人力資源與ERP系統。包括在SAP Human
  CapitalManagement中對使用者帳號的異動會自動更新至所有SAP應
  用,而透過Identity Manager也可撤銷每個SAP應用軟體的使用者存
  取權限。此外Novell Identity Assurance Solution已與Honeywell
  Smart Plus physical Access Control System整合,藉由單一控制系
  統達到實體與邏輯安全的雙向身分控制效益。Novell Sentinel可確保
  基礎設備依循SAP商務政策執行,當遇有潛藏的安全風險時,管理者
  將立即收到警訊。
  HP與Novell宣布成立專屬聯盟,HP身分管理中心(HP Identity Center)
  的用戶將移轉至Novell身分與安全管理解決方案,HP也將經銷Novell
  的解決方案,而Novell則提供HP Identity Center相關技術授權。

整合NAC還需要一段時間

網路存取控制將會成為身分識別管理中一個重要的角色,但是這樣的整合卻還需要一段時間。


  看起來網路存取控制(NAC, Network Access Control)與身分辨識管理(IAM)套件是完美的配對。總結來說,這2個都是控制對於系統的存取。網路存取控制在允許端點存取網路之前先進行檢查並驗證,而IAM則是在允許使用者存取系統前先進行檢查。將硬體認證和存取控制進行結合聽起來是很美好,但是想要使用這項組合產品的公司可能還要再等一段不短的時間。
  很肯定的,在幾年之後網路存取控制將會成為IAM套件中的標準功能。會有越來越多的公司擁有更多的可攜式電腦和遠端工作者,網路存取控制將會變成這個鬆散邊界中用來保護網路的必需品。這也表示網路存取控制將會成為IAM的一部分,一起控管大量的終端點。當1台公司的可攜式電腦在咖啡店或飯店房間內被竊,網路存取控制的問題和IAM的問題一樣嚴重,不只要保護可攜式電腦中的資料,還要避免小偷利用這部電腦惡意存取公司網路。

  但是網路存取控制的發展是落後於IAM的。相關產品尚未成熟而且廠商也沒有像IAM一樣的將相關功能整合成套件。網路存取控制也還不夠精細。它也許能夠妥善控制外包廠商與合作夥伴的存取,但是卻不符合IAM對於以角色為主的存取控制上的要求。
  
  儘管有上述問題,I A M與網路存取控制之間還是有一些有趣的發展。Oracle的IAM套件Oracle Identity M a n a g e m e n t ( O I M ),會跨越網路與應用層進行統一
的存取管理,基於網路政策、連線與裝置類型來提供對應用程式的精細存取控制。在2006年的Oracle OpenWorld,展示了一個可以和OIM協同運作的網路存取控制的提供者Identity Engines。Identity Engines Ignition Server 以及Oracle Access Manager、Oracle Identity Manager、Oracle Internet Directory和Oracle Virtual Directory也一起被陳列展示。Gartner曾指出Oracle是網路存取控制與IAM整合的領導者。

  另一個規模遠小於O r a c l e事業體的發展,是A 1 0Networks的硬體裝置IDsentrie。儘管還不是一個完整的IAM套件,IDsentrie卻同時提供網路存取控制與IAM的功能,不只提供遠端與無線裝置的網路認證功能,還有中央帳號管理、群組管理以及存取權限管理。它還整合了Active Directory以及LDAP,讓它擁有彈性以滿足不同的架構。


在基礎的背後

  不論是大型或小型IAM系統,它的基礎核心就是分派登入證明(credentials)給使用者。在許多的案例中這個登入證明就是使用者帳號與密碼。所以,在最基本的狀況下,IAM就只是一個發佈使用帳號與密碼、儲存帳號密碼並且將使用者進行分組授予不同存取等級的系統。使用者供應(User provisioning)是將整個過程自動化的一個方法,減少了手動管理使用者帳號的要求。

  然而,有兩個要素導致IAM基礎建設不能再只是處理這麼基本的登入證明。一是從保護基礎建設變成保護資料的轉變。這個以資料為主的IT安全應用是將焦點從對系統的存取轉換成聚焦於資料的存取,而這樣的轉變要求IAM產品要能夠做更精細的調整。以安全的角度來看轉換成以資料為主的應用方式是非常的重要。以資料為主的安全角度一部分是由遵循所驅使的,遵循定義了哪些類型的資料必須被保護,例如信用卡號、銀行帳號以及醫療記錄,而不只是定義哪些類型的系統必須被保護。第二,攻擊者對於偷竊資料很有興趣。他們並不在意資料在何處,只關心如何能夠拿到資料。

  第二個要素是從存取管理到身分辨識管理的轉變。使用者們不再只是使用簡單的使用者帳號與密碼;帳號與密碼並不夠強健來驗證使用者的身分。使用者們現在擁有完整的描述資料(profiles)可以更詳細的驗證使用者身分以及驗證他們可以存取哪些資料。這些描述資料的內容完全取決於組織以及系統存取的需求,但是通常都會包含員工帳號、職稱、到職日期、地址以及社會安全碼。對於政府公務員來說內容可能還會包含可以進出區域的等級與階級。

Joel Dubin是一位CISSP,也是電腦安全顧問,同時是微軟的MVP,著有 The Little Black Book of Computer Security一書。