身分識別與存取管理 (IAM) 是一套用來控管誰可以存取數位資源、可執行哪些操作,以及在何種時間點可進行存取的政策、流程與技術機制。IAM 可確保只有經過授權的使用者 (不論是員工、承包商或第三方) 才能存取關鍵系統、應用程式及敏感資料。
目錄
IAM 是用來保護企業、其系統與資料的核心技術之一。這是資訊安全中最早出現的概念之一,可追溯至以鑰匙守護城堡與使用祕密通關密語(如「芝麻開門」)的時代。從 1960 年代開始,電腦的 IAM 就一直存在,第一個密碼是用來登入麻省理工學院 (MIT) 的相容分時系統(CTSS)。
多年來,IAM 系統的難度不斷波動。隨著越來越多企業移轉至雲端,IAM 也變得越來越複雜,原因包括 :其他 元素、不同詞彙的定義、以及多樣且分散的權限控管方式等等。目前,您必須小心確保只有 適當的人員 或系統才能取得對特定系統與資料所需的必要存取權限。
IAM 代表什麼?
在網路資安領域,IAM 代表身分與存取管理。隨著企業不斷擴大至雲端環境,IAM 也不斷演進來解決各種不同系統與使用者在存取控管、認證與授權方面的新挑戰。
IAM 的運作方式
IAM 是 發掘 並控管使用者及服務存取權限的過程。其核心是 IAAA (Identification, Authentication, Authorization and Accountability),也就是:
身分識別是指使用者或服務所宣告的身分為何。最常見的是使用者識別碼 (ID) 或電子郵件,例如:Jameel@email.com。
認證是對該身分宣告進行驗證與確認的過程。例如,若使用 Jameel@email.com 作為身分識別,則可透過僅能在 Jameel 手機上取得的驗證器一次性密碼,作為該身分宣告的必要證明。
授權是指授予 Jameel 權限,例如:讀取、寫入、清單等等。只授予她完成工作所需的權限。
可稽核性是保留一份稽核記錄檔來追蹤存取請求和動作,甚至 可細緻到 記錄 Jameel 在系統中進行的每一次按鍵操作。稽核記錄檔可用來追究她在系統中所執行行為的責任。
IAM 的效益
IAM 為希望提升安全性、提升效率、 符合 法規標準的企業提供了多項 優勢。
強化防護
IAM 強制實施所謂的角色導向存取控管 (RBAC) 規則與存取權限,可確保使用者只能存取其工作所需的系統。RBAC透過預先定義的使用者角色與權限來判定適當的存取權限,並由 IAM 系統加以實作,以防止未經授權的存取、降低憑證遭竊的風險,並緩解內部威脅。
法規遵循
改善使用者
IAM 可簡化登入/註冊程序,藉由 SSO 和自適應驗證來 消除 密碼疲勞,同時提升使用者體驗並 維持 強大的安全性。
營運效率
IAM 可將使用者配置、取消配置以及角色導向存取管理自動化。透過為使用者到職(onboarding)等流程建立自動化工作流程,可 大幅減少 IT 人員的人工負擔,並提升整體生產力。
IAM 工具與技術
許多 IAM 解決方案都能協助企業管理數位身分,有效落實資安政策。一些領先的 IAM 供應商包括:
Microsoft Azure Active Directory (Azure AD) – 一套雲端 IAM 解決方案,內含 SSO、MFA 及條件式存取政策。
Okta– A雲端-nativeIAM 平台提供適應性認證、身分治理以及零信任功能。
Ping Identity – 一種靈活的 IAM 解決方案,專為聯合身分管理與 SSO 而設計。
CyberArk – 專精特殊權限存取管理 (PAM) 來保護系統管理帳號。
IAM 部署最佳實務原則
企業可克服這些挑戰:
實施最小權限存取:只授予使用者執行工作所需的權限。
強制多因素認證 (MFA): 防範登入憑證失竊與暴力攻擊。
定期檢視: 定期稽核使用者的存取權限,移除不必要的權限。
自動化 IAM 流程:使用 AI 驅動的 IAM 工具來簡化身分驗證與存取管理。
將 IAM 整合至零信任 資安模型中: 持續驗證身分,並根據風險導向認證來限制存取。
IBM Security Verify – 提供 AI 身分治理與存取管理解決方案。
IAM 的階段
提供內容包括對使用者或系統的識別與審查。務必確認使用者的身分,才能 建立 適當的帳號。務必只設定該角色 所需的必要權限 這一點至關重要。
帳號的維運作業會貫穿其整個生命週期。使用者的工作或專案若發生變更,所需的權限也必須隨之調整。該帳號必須反映當前 所需的存取等級。這通常是企業最需要改善的領域。
帳號撤銷是帳戶生命週期的結束。一旦 不再需要存取權限,就應該立即停用帳號來保護企業及其資料。
IAM 的關鍵要素
IAM 系統包含多個關鍵元件,可共同保護數位身分並有效管理存取權限。
認證機制
驗證會先驗證使用者的身分,然後再授予使用者資源存取權限。常見的認證方法包括:
密碼: 傳統但由於密碼管理不足而變得越來越脆弱。
多因素認證 (MFA):需要第二道驗證步驟 (如:SMS 文字簡訊 程式碼、生物特徵) 來增加一層額外的防護。
生物特徵認證: 使用指紋掃描、臉部辨識或視網膜掃描來驗證身分。
無密碼 認證: 避免 使用含有硬體金鑰、推播通知或生物特徵特徵的密碼。
授權與存取控管
通過認證之後,IAM 會強制貫徹授權政策來 判斷使用者可存取 哪些資源,以及使用者可執行哪些動作。存取控管模型包括:
角色導向存取控管 (RBAC):根據工作職務來指派權限 (例如,人事人員可以存取薪資系統,但不能存取財務帳戶)。
屬性式存取控管 (ABAC):使用位置、裝置類型、存取時間等屬性來強制貫徹資安政策。
政策導向的存取控管 (PBAC): 根據企業的資安政策來客製化存取決策。
單一簽入(SSO) 與聯合身分管理
SSO 可讓使用者更方便地進行認證,讓個人只需驗證一次就能存取多個應用程式,無須重複輸入登入憑證。聯合身分管理 (FIM) 將 SSO 延伸至多個企業機構,讓企業合作夥伴、供應商及雲端服務供應商都能順暢存取。
特殊權限存取管理 (PAM)
PAM 是一個專門 用來保護特權帳號與系統管理員登入憑證的 IAM 元件。它透過對 IT 管理員等高權限使用者實施嚴格的存取控制,協助防範內部威脅與網路攻擊。
身分治理與法規遵循
IAM 藉由強制貫徹資安政策、 監控 存取記錄,並產生稽核軌跡,協助資安團隊和法遵人員來達成法規遵循要求。身分治理功能包括:
存取權限檢視: 定期稽核以確保使用者擁有 適當的權限。
職責分離 (SoD):限制重複的存取權限來防範利益衝突。
法規遵循報告:將法規稽核所需的文件作業自動化。
IAM 如何強化網路資安
IAM 是防範網路威脅的關鍵防禦機制。它能強化企業的資安狀況:
減少未經授權的存取:IAM 會嚴格執行認證與存取政策,防止未經授權的使用者存取敏感資料。
防範內部人員威脅:藉由持續 監控 使用者活動,IAM 可偵測可能 顯示 惡意意圖或登入憑證濫用的異常狀況。
強化雲端防護:雲端 IAM 解決方案採用集中式存取控管來保護多重雲端與混合雲環境。
確保法規遵循:IAM 解決方案可強制貫徹資安最佳實務原則來協助企業 遵守 GDPR、HIPAA 以及其他法規標準。
IAM 實作的挑戰
儘管 IAM 具備效益,但也面臨了各種挑戰,包括:
密碼管理問題: 弱密碼 仍 是造成資安事件的主要原因之一。
存取權限管理錯誤: 權限過度配置的帳號會提高內部威脅風險。
使用者抗拒:員工可能會因為可用性的問題而抗拒 MFA 或其他 IAM 安全措施。
整合複雜性:IAM 必須與老舊應用程式、雲端第三方產品工具無縫整合。
IAM 的未來趨勢
IAM 正迅速演進以因應新興的網路資安挑戰與數位轉型。主要趨勢包括:
無密碼 認證: 將傳統密碼換成生物特徵、FIDO2 安全金鑰,然後推送認證。
採用 AI 技術的身分分析: 利用機器學習來偵測異常的使用者行為,防範身分詐騙。
區塊鏈式身分管理:去中心化的身分解決方案,可強化使用者的隱私與安全性。
零信任整合: IAM 正成為零信任防護模型的基石,在這樣的模式當中,使用者或裝置本身都無法信賴。
Fernando Cardoso 是趨勢科技產品管理副總裁,專精於不斷演進的 AI 與雲端世界。在他職業生涯的一開始,曾擔任過網路與銷售工程師,磨練了他在資料中心、雲端、DevOps 以及網路資安領域方面的技能,而這些領域至今依然能持續激發他的熱情。