雲端身分驗證與存取管理

在還沒有雲端服務之前，以上所提到的三個階段，幾乎都是在企業的內部環境中進行，由資訊部門自行來管控，並且互相協調網路、系統和使用的應用程式。但是隨著企業採用了雲端服務之後，這些作業方式就可能會跨出企業的邊界之外，改為由服務供應商來協助提供，而且隨著所採用的雲端服務模式與部署架構，有關身分驗證與存取管理的方式將變得複雜，同時也無法完全由企業內部的資訊部門來完全掌控。

提供身分驗證的安全機制

針對身分驗證與存取管理，業界普遍所提供的資安解決方案稱之為IAM（Identity and Access Management），在IAM之中至少會有三個層面是必須重視的，分別為驗證（Authentication）、授權（Authorization）以及稽核（Auditing）。

在驗證方面，一旦使用者要求登入資訊系統時，必須要確認使用者或是提出要求登入的另一系統或應用程式的身分，所以將會採取一個身分驗證的流程。目前，資訊系統用來驗證身分的方式，不外乎有以下三種：

1. 你知（What you know）－這是一種最常見，也是所有資訊系統幾乎都會內建的一種身分驗證方式，例如以使用者所知曉的帳號與密碼、約定的暗號及預先設好的問題答案等，這些都是可作為確認使用者身分的一種方式。

2. 你有（What you have）－藉由使用者持有獨一無二的物件，作為識別身分的憑據，常見的像是身分證（ID card）、提款卡、電子憑證等，作為佐證來判定使用者的合法身分。

3. 你是（What you are）－這是目前成本比較高昂，也是較難被破解的一種身分驗證方式，所採取的作法就是確認使用者的生物特徵，例如指紋、虹膜、視網膜、臉型、聲音、掌紋、指靜脈等。

以上所提到的身分驗證方式，無論是哪一種都可以作為獨立的驗證方法，但是如果能夠同時採取兩種以上的驗證方式，其安全強度將遠遠高於只採取一種的作法，這也就是俗稱的多因素驗證方式，可以有效降低冒用他人身分的情況發生。

在通過驗證之後，並不代表使用者就可以完全掌控系統，必須還要依照其身分來賦予適當的安全權限，在這裡有一項資安原則是必須要遵循的，稱之為最小權限原則（principle of least privilege），也就是說對於使用者，只需要給予其作業所需的最小權限即可，而不是直接給予管理者或其他過大的權限。

無論使用者的身分是一般使用者或是系統管理者，在操作資訊系統的過程中，都必須要保留各項的記錄，以評估應如何適當控制其在合理的使用範圍內，並且可作為確認其是否遵守各項作業程序和政策要求，同時分析可能的安全事件，以降低系統所面臨的資安風險。

身分驗證的部署方式

對傳統的資訊應用服務而言，在身分驗證方面採取的作法並不複雜，通常是在企業內部架設專屬的目錄服務（Directory Service）伺服器 ，並且設定各項存取政策（Policy），讓各個用戶端設備以及使用者，可以連接企業內部的目錄服務，提供給各項應用服務來使用，以減少重複登入的情況，同時也可串接多重的身分認證來源。

在這種架構之下，即使某些目錄服務有可能位於外部供應商所提供的伺服器中，但通常這是為了避免進行身分驗證時的效能問題，而將目錄服務同步至此一伺服器上，並非由外向內來進行覆寫，在風險方面仍是可以掌控的。