https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

「身分存取管理」讓企業內、外安全從頭做起

2012 / 11 / 20
徐國祥
「身分存取管理」讓企業內、外安全從頭做起

打從帳號、密碼被運用於系統平台登入之際,帳號、密碼已成為確保系統安全的基本防護,而隨著主從架構(Client / Server)和網路應用程式(Web applications)興起,多組帳號、密碼的使用情況更是極為普遍,令人遺憾的是,假若各類作業系統和應用程式都必須搭配不同的帳號、密碼來使用,不僅徒增MIS人員在管理帳號、密碼的難度,更將導致企業體無形中虛耗巨大的生產效能。為了因應此類的問題,IAM安全議題早就悄悄蘊釀,也由於相關政策、法令之推波助瀾下,讓近幾年來IAM的發展更為加速,因此藉由IAM機制整合企業員工之使用權限與政策管理等將更形重要。

IAM讓安全機制更落實

IAM機制造成企業安全管理之影響程度將是無庸置疑的,但仍必須釐清觀念的是,IAM決非僅止於ID、Password之管理,其中仍涵蓋許多重要的安全管理成份,為了深究IAM實際功效就不得不針對IAM機制存在的功能特性來一探究竟。
組合國際公司(CA)諮詢顧問經理吳益賢提出值得參考的看法,首先在導入IAM之際必須嚴肅看待幾項重要前提,包括:是誰?在何時?用什麼方法?取得何種資訊?等;另外,更基於IAM所牽涉之企業內部範圍廣大,因此在導入IAM之前則必須將企業內部所有資訊資產進行分類,如此才能讓IAM機制之權限控管達到最佳配置效果。
其次,就IAM系統功能層面來看,IAM機制大致涵蓋 Authentication(識別)、Authorization(授權)、Administration(管理)、Audit(稽核)等四大範疇。所謂Authentication即扮演身分識別之作用,屬於IAM前端登入部分,透過登入過程與底層目錄之帳號、密碼資料進行比對,以取得系統使用之授權,目前通用的弱認證(ID / Password)可導向生物辨識、IC card、one time password、Token等,甚至異質平台的 Single Sign On機制。
而Authorization、Administration、Audit三者是屬於IAM系統之核心部分,Authorization主要功能在於身分授權方面,也可配合 Role and responsibility (職務)、Segregation of duty(例如:權責區分密碼分由兩人掌管)等來限制 AP、OS、DB的存取控制。Administration則會針對身分進行管理,對於AP、OS、DB等系統之帳號是否真實對應現職員工,又是否仍有離職人員帳號、測試帳號未能取消、甚至駭客取得的帳號,這些都必須時時進行帳號盤點。而Audit是以稽核管理為主,即針對IAM系統進行管控記錄,這也關係到相關事件發生之記錄,且再依記錄回應來搭配其他解決方案進行安全管理,當然為防止駭客入侵,也可以規劃另一個log serve方式,以提升Audit稽核管理之功能。
至於『底層部分』通常就是儲存帳號、密碼資料之目錄(包括Active Directory、eDirectory等),其作用類似資料庫,但由於目錄與系統緊密結合,安全性相對提升,因此市面上IAM機制大多會以目錄服務為主。

 

IAM推展存在實質難題

誠如上述內容所言,其實IAM機制帶給企業實質的安全價值已不必贅言,國內企業早就應該積極導入,但為何台灣市場推展仍不見成效?推究其中的原因,除了台灣本身資安市場較小,經濟景氣也較以往差,這都讓原本中、小型企業在資安投資經費處於更拮据的情況,導致佈署IAM的難度更高,而在大型企業方面,由於系統、人員眾多,往往導致底層目錄之權限難以設定,如何在複雜環境中劃分員工權責,對企業而言本是一大難題;當然不可諱言的是,一般企業多半認為IAM沒有導入急迫性、且立即效益也不明顯,這也是企業導入IAM機制緩慢的重要原因;此外,當然仍有其他關鍵因素值得深入探討。
IBM軟體產品處高級資訊工程師王清鑑提出不同觀點,包括:一、IAM需耗費高額成本與時間,如果沒有高層支持是不會成功;二、企業對IAM建置目的往往認知不足,導致產生不正確的預期;三、IAM機制是以整個企業角度出發,因此必須協調與整合其他部門所擁有的不同系統,由於部門之間認知度的問題,導致並非就能順利整合。
另外,有關技術應用層面,吳益賢認為:「技術問題不會有太大的阻礙,唯一較被客戶質疑的是將如何將舊有系統與IAM進行整合。」如同王清鑑所言:「由於企業環境擁有不同的系統,導致技術上很難整合已存在的舊有系統,一旦這類問題無法克服,將造成客戶心態上有一種被欺騙的感受,這也是IAM機制無法順利推展的原因。」
有關代理程式(Agent)部分,雖然可藉由Agent來達成Single Sign On(SSO)的目的,然而,大型企業動輒上百、上千、甚至上萬員工,一旦所有SSO都藉由Agent來進行登入工作,是否引發網路流量問題將是企業時時必須面臨的?如同微軟產品行銷經理葉怡君指出,SSO可作為判定驗證與授權機制是否相符合,假如登入步驟都交由Agent執行將造成系統本身的負擔。
另外,SSO登入問題也必須審慎面對的,由於第一次藉由SSO成功登入後,其他相關系統或網頁也將被使用,一旦帳號、密碼遭人冒用的情況下安全問題將立即顯現,類似問題也誠如SUN大中華區識別管理方案行銷管理總監何偉信所言,SSO造成較嚴重問題在於登入某一網站後,該網站也同樣會獲得登入者的資料,一旦發生資料洩露、駭客入侵或被植入間諜程式等狀況將導致嚴重資安問題,凡此都會讓企業對代理程式(Agent)心生疑慮。

新觀點帶來資安新思維

既然導入IAM過程引發企業許多疑慮,為了能讓問題癥結儘早解決,IAM廠商就需針對問題逐一釐清。目前Novell、IBM、CA等廠商擁有IAM全線產品,其他廠商如SUN、HP等,至於新進廠商則如Oracle等。以下將藉由CA、IBM、Microsoft、Novell、SUN等公司之實際建議來具體釐清和解決IAM所面臨的問題。
面對「目錄建立」和「權限難設」等問題,吳益賢強調,想要成功導入IAM系統,做好資產分類及職務權限控管是最重要的基礎工作,因此可參照BS 7799等相關規範來做好資產分類,但假若企業無法依規範來完成資產分類時,也可視需求聘請顧問進行諮詢,例如針對Business Process、IT Process等層面建立管理規範。當然更重要的是,絕不能因為IAM系統看似沒有導入急迫需求、效益不明顯等就遲遲不導入,這對企業而言將是非常錯誤的資安做法。
此外,安全觀點原本就很難推動,且在經費因素考量下,企業往往處於頭痛醫頭的思考模式,一旦導入IAM機制必須耗費鉅資時,企業總會因費用問題產生疑慮而裹足不前;對此,王清鑑就指出,值得慶幸的是,目前各廠商對於IAM機制與舊系統之整合已有突破性技術,例如可採取模組化方式視需求逐步導入IAM解決方案,可說具極高的彈性,有了這些廠商的強力背書下,導入IAM不必一開始就得耗費龐大的人力、金錢來進行整合工作,更可大幅降低建置IAM機制的成本。
在「跨部門整合問題」層面,葉怡君則認為,其實採行IAM機制的企業都是因為遭遇此類管理問題才會痛下決心進行整合,因此不太需要去說服,但葉怡君仍再三表示,企業仍必須下定決心來進行整合,且充分明瞭未來整合層面將如何進行,因為通常不同部門心態可能不同,必須加以事前整合諸多因素。


新技術有效解決IAM問題

除了必須加速建構企業組織正確的IAM觀念外,積極釐清IAM系統問題也是同等重要,當前廠商是如何看待IAM問題?又將提出何種解決方案?相信這都是所有想導入IAM系統的企業共同關注的課題。
在「跨系統整合」層面,由於每個企業都擁有眾多系統平台和自行開發應用系統,各系統之間都存有各自的認證機制,往往導致在導入IAM系統時難以整合,Novell技術支援部協理何錦潭就表示:「IAM原本就是系統整合的管理。」葉怡君也補充說明:「IAM工具面臨的最大挑戰在於整合舊有系統。」為解決新、舊系統整合問題,目前IAM廠商早已提供相關解決方案,包括CA組合國際eTrust、IBM推出Tivoli Identity Manager、微軟Identity Integration Server 2003、Novell Nsure Identity Manager和SUN Identity Manager等都必需透過客製化方式來和客戶系統做整合。至於具體實例可從以下說明得知,何錦潭就表示,透過為iChain提供 Liberty 及 SAML 的能力,組織間可以提供這些標準的支援卻不必更改既有的Web應用系統。吳益賢則強調,CA提供了IAM tool kit工具,讓使用者不必擔心系統整合的問題,也不必進行舊有程式的更改,可以輕鬆將IAM機制導入。何偉信更表示,SUN在Identity Management方面採用Integration技術,其核心是不採用代理程式(Agentless)方式,反而使用Identity Token來溝通不同的系統,因此不必觸及和更改系統程式的問題,較能減低系統排斥的問題。葉怡君則指出,為了身分認證機制就要企業拋棄所有舊系統,這也是不可能的,微軟推動身分認證機制採取「過渡時期」與「理想狀態」的因應做法,所謂「過渡時期」是因應企業本身早已存在許多不同應用程式,因此當前提出MIIS(Microsoft Identity Integration Server)來因應現階段企業普遍面臨的問題,而「理想狀態」即逐步朝向單一AD目錄服務前行,讓企業的IAM系統可逐漸採行單一目錄服務。
有關SSO問題方面,何偉信認為,過去廠商與企業都存在一種錯誤認知,認為IAM只需鎖定在SSO層面,但其實SSO只能決解第一次密碼登入的問題,因此SSO只能算是IAM的一種應用系統,絕不可以將其本末倒置,否則落得失敗下場。目前SUN提供用戶登入SSO過程中可以將重要個人資料加以封鎖,選擇公開哪些資料?又將封鎖哪些資料?也可選擇只SSO到哪些網站等功能,以強化個人使用系統、資料等管控。相對地在Agent問題層面上,王清鑑也明白指出,目前IBM在IAM解決方案上已逐步採集中化認證授權方式來從事身分辨識與管理,如此就可以避免代理程式所衍生之竊取與網路頻寬等問題;如同組合國際公司強調Application policy server認證也是將系統朝向集中化方式進行管理。因此,為了效防範Agent產生的問題,採取集中化管理已逐漸成為各家廠商在研發IAM系統的一大趨勢。
值得一提的是,葉怡君強調:「透過IAM廠商之間的整合也將成為趨勢所在。」推廣身分認證工具時不可視其為單一產品,而是必須視各種AP來加以整合,因此在推展身分認證機制時必須結合其他SI系統整合廠商來一同解決系統整合上的難題。何偉信也補充說明,在Open Standard觀念下,也就是以自由聯盟方式進行跨企業合作,目前SUN已成功與微軟AD整合,至於合作的效益在於目前很多企業都是使用微軟產品,一旦整合成功就可以解決AD封閉系統的問題,也讓SUN在拓展IAM市場能夠互蒙其利。

「新觀點」與「新技術」仍需搭配政策

在逐一釐清IAM各項疑慮後,為IAM擬定之政策也是非常重要的課題,目前市場上存在許多防禦機制難道無法有效防止攻擊事件發生?嚴格說來,想要達到IAM最具體的功效,相關「IAM之管理政策』制訂才是最大難題,因為企業多半不明瞭如何管理資源,也不曉得該如何導入,只要企業內部人員管理沒有做好,資安問題將一直存在,以SSO產生的便捷性來看,如果只著重加強登入者之安全管理,仍舊很難做到整體性防禦目的,必須回歸到使用者本身需加強自我防禦意識層面,當然也不能說就不做任何防禦措施,仍必須在IAM機制上再搭配其他防禦方法,例如防火牆、IDS、IPS和防毒等工具,更可搭配Token、IC Card等加密認證機制來強化個人密碼的安全性。因此並非運用身分控管機制就能確保企業資安工作無虞,必須擬定好企業自身的管理政策,才能落實人員管理之安全,也唯有企業明瞭制訂管理政策的重要性,IAM的效用與市場可見度才會逐漸加溫。
類似觀點正呼應王清鑑所言,他認為:「無論解決方法將朝哪一方向前行,在導入IAM機制時,企業IT部門應該在規劃階段就要對IAM做出明確定義,且針對必須改善問題排定優先順序,當然企業也必須先行整合內部系統與認同度等問題,千萬不可為了想要解決各種層面問題而讓重點失焦。」如此在推展IAM機制時才能較為順利,也才能讓更多企業在導入IAM解決方案獲得實際受益。

後記
事實上,近幾年來多數企業已逐漸明瞭IAM機制的重要性,台灣企業也應積極導入IAM 系統,但由於IAM機制目前仍存有許多問題亟待釐清,因此導致IAM在台灣資安市場發展似熱非熱,相關問題當然仍有待IAM廠商和企業用戶共同努力解決,因為安全議題絕對不僅僅只是外部的防禦措施而已,內部人員的權限控管更是一切安全的基礎工作,而這也正是推廣IAM機制所體現的價值所在。