身份識別及存取管理(IAM)是一套政策、流程及技術,可管控誰能存取數碼資源、他們能做甚麼,以及何時可以進行。身份識別及存取管理確保只有獲授權用戶(無論是員工、承包商或第三方)才能存取關鍵系統、應用程式及敏感資料。
目錄
身份識別及存取管理是保護企業、其系統及數據的核心技術之一。這是保安界最古老的概念之一,追溯至城堡鑰匙及密碼的日子(想想:芝麻開門)。自六十年代以來,電腦的身份識別及存取管理概念就已經存在,當時第一個密碼被用於登入麻省理工學院的相容分時系統(CTSS)。
多年來,身份識別及存取管理系統的需求難度時高時低。隨著越來越多機構進入雲端,身份識別及存取管理也越來越複雜,源於不同元素、不同的技術定義、新的和不同的權限管控方式等。目前,您必須小心確保只有適當的人員或系統才能獲得某些系統和數據的必要存取權限。
身份識別及存取管理代表甚麼?
在網絡保安方面,身份識別及存取管理代表身份及存取管理。隨著機構擴展至雲端環境,身份識別及存取管理亦不斷發展,以應對不同系統及用戶在存取管控、認證及授權方面的新挑戰。
身份識別及存取管理如何運作
身份識別及存取管理是識別及管控授予用戶及服務存取權的過程。其核心是 IAAA(身份證明、驗證、授權及問責):
身份證明是用戶或服務自稱是誰的聲明,最常見的是用戶識別碼或電郵地址,例如 Jameel@email.com。
驗證是對該聲稱的查證確認。如使用 Jameel@email.com 的身份證明,該宣稱的所需證明可能是來自認證機構的一次性密碼,並只能透過 Jameel 的手機存取。
授權是授予 Jameel 權限,例如閱讀、寫入、列表等。並只應授予完成工作所需的權限級別。
問責是保留審計記錄,以追蹤 Jameel 在系統內執行的存取請求及行動。此審計記錄讓用戶對在系統中採取的行動負責。
身份識別及存取管理的好處
身份識別及存取管理為尋求增強安全性、提高效率及符合監管標準的機構提供多項優勢。
強化保安
身份識別及存取管理確保用戶只能透過執行角色導向存取控制(RBAC)的集中規則及存取權限來存取他們所使用之系統。RBAC 使用預先定義用戶角色和權限,確定在身份識別及存取管理系統中實施適當權限,以防止未經授權存取、最大程度減少憑證被盜用和減輕內部威脅。
合規
改善用戶體驗
身份識別及存取管理透過單一登入及適應性驗證消除密碼疲勞,簡化登入/登記方法,同時提升用戶體驗及維持強大保安。
營運效率
身份識別及存取管理可自動化用戶服務開通、取消服務及角色導向存取管理。透過為諸如引導等事宜建立自動化工作流程,可大大減少人手資訊科技工作負載及提高生產力。
身份識別及存取管理工具及技術
不同身份識別及存取管理方案可協助機構有效管理數碼身份及執行保安政策。頂尖的身份識別及存取管理供應商包括:
Microsoft Azure Active Directory(Azure AD)— 雲端身份識別及存取管理方案,提供單一登入、多重認證及條件存取政策。
Okta — 雲原生身份識別及存取管理平台提供適應性認證、身份管理和零信任功能。
Ping Identity — 靈活的身份識別及存取管理方案,用於聯合身份管理和單一登入。
CyberArk — 專門從事特權存取管理(PAM)來保護行政帳戶。
身份識別及存取管理部署的最佳實踐
機構可以通過以下方式克服這些挑戰:
實施最低隱私權:只授予用戶執行工作所需的權限。
執行多重認證:防範憑證盜竊及暴力攻擊。
進行定期存取審核: 定期審核用戶存取權限,以刪除不必要的權限。
自動化身份識別及存取管理程序:使用人工智能驅動的身份識別及存取管理工具簡化身份驗證及存取管理。
將身份識別及存取管理與 Zero Trust 保安模型整合:持續驗證身份,並根據基於風險的驗證限制存取。
IBM Security Verify – 提供人工智能身份管理及存取管理方案。
身份識別及存取管理應用階段
提供包括用戶或系統的識別和審查。必須確認用戶身份,才能建立適當的帳戶。務必只設定該特定角色所需的權限來設定帳戶。
維護在此帳戶的整個生命週期內進行。用戶工作變更或項目作出調整都會影響所需的權限。帳戶需要反映所需的當前存取級別。這通常是企業需要改進的領域。
取消存取就是帳戶生命週期的結束。一旦不再需要存取,帳戶應被關閉,以保護業務及其數據。
身份識別及存取管理的主要組成部分
身份識別及存取管理系統包括幾個共同運作的重要元件,以保護數碼身份及有效管理存取權限。
驗證機制
驗證在授予資源存取權限之前驗證用戶的身份。常見的驗證方法包括:
密碼: 傳統做法,但由於密碼管理薄弱,因此已越來越易受攻擊。
多重認證:需要第二步驗證(例如短訊代碼、生物識別),以增加額外一層保安。
生物認證: 使用指紋掃描、面容識別或視網膜掃描進行身份驗證。
無密碼驗證:取消使用密碼而改用硬件令牌、推送通知或生物辨識。
授權及存取控制
驗證後,身份識別及存取管理會執行授權政策,以決定用戶可以存取的資源及可以執行的操作。存取管控模式包括:
角色導向存取管控(RBAC):根據工作角色分配權限(例如人力資源人員可以存取薪資系統,但不能存取財務帳戶)。
屬性導向存取管控(ABAC):使用地理位置、裝置類型及存取時間等屬性來執行保安政策。
基於政策的存取管控(PBAC): 根據機構安全政策自訂存取決定。
單一登入及聯合身份管理
單一登入讓個別人士只需進行一次認證,即可存取多個應用程式,而無需重複輸入憑證,從而提升用戶的便利性。聯邦身份管理(FIM)將單一登入延伸至多個機構,讓業務夥伴、供應商及雲服務商可以無縫存取。
特權存取管理(PAM)
特權存取管理是一個專門的身份識別及存取管理元件,可保護特權帳戶及管理憑證。它為資訊科技管理員等高權限用戶執行嚴格的存取管控,協助防止內部威脅及網絡攻擊。
身份管理和合規
身份識別及存取管理透過執行保安政策、監控存取記錄及為保安團隊及合規主任提供審計追蹤來確保合規。身份管理功能包括:
存取檢閱: 定期審計以確保用戶有適當的權限。
職責劃分(SoD):透過限制重疊的存取權限來防止利益衝突。
合規報告:自動化監管審計文件。
身份識別及存取管理如何提升網絡保安
身份識別及存取管理是對抗網絡威脅的關鍵防禦機制。它透過以下方法強化機構的安全態勢:
減少未經授權的存取:身份識別及存取管理執行嚴格的認證及存取政策,防止未經授權用戶存取敏感資料。
防範內部威脅:透過持續監控用戶活動,身份識別及存取管理可偵測可能顯示惡意圖謀或憑證濫用的異常情況。
強化雲端保安:雲端身份識別及存取管理方案採用中央化的存取管控來保護多重雲及混合環境。
確保合規:身份識別及存取管理方案透過執行保安最佳實務守則,協助企業遵守 GDPR、HIPAA 及其他監管標準。
實施身份識別及存取管理的挑戰
儘管身份識別及存取管理有其好處,但仍然面臨各種挑戰,包括:
密碼管理問題: 密碼薄弱仍然是主要的安全漏洞。
存取權限管理錯誤: 過度提供權限的帳戶會增加內部威脅風險。
用戶阻力:由於可用性問題,員工可拒絕多重認證或其他身份識別及存取管理安全措施。
整合複雜性:身份識別及存取管理必須與老舊應用程式、雲服務及第三方工具無縫整合。
身份識別及存取管理的未來趨勢
身份識別及存取管理正迅速發展,以跟上網絡保安的挑戰及數碼轉型的步伐。主要趨勢包括:
無密碼驗證:以生物識別技術、FIDO2 保安鑰匙及推送認證取代傳統密碼。
人工智能身份分析:利用機器學習來偵測異常用戶行為,並防止身份欺詐。
區塊鏈身份管理:分散化身份方案提升用戶私隱及保安。
零信任整合: 身份識別及存取管理正成為零信任保安模式的基石,在本質上不再信任任何用戶或裝置。
Fernando Cardoso 是趨勢科技產品管理副總裁,專長於不斷演進的人工智能與雲端世界。他的職業生涯由擔任網路與銷售工程師開始,並在數據中心、雲端、DevOps 及網絡資訊保安領域都具備優異技能,而他對這些領域依然煥發了無比熱情。