自從行動化、雲端化應用趨勢改變了終端用戶的使用習慣,在方便性與生產力為優先考量之下,IT體系範疇變得更廣,更加難以控管。即便是大型企業早已具備身分識別與存取管理(IAM)能力,讓正確的員工、擁有正確的權利、存取正確的資源,同時符合法規規範,也無法避免必須隨著IT應用模式的改變調整與進化,從最基本的管理面著手,避免發生身分被竊取導致的資安事故。
發展已久的IAM方案,涉及內部流程、應用系統整合、內稽內控等範疇,One Identity亞太暨日本副總裁兼總經理Lennie Tan觀察,傳統IAM解決方案的部署至少要耗費超過一年時間,若沿用以往模式,可能建置完成時應用程式或檔案早已改版多次,因此必須要改以快速、簡單部署的方式,協助IT管理者達到目標。
「源自Dell集團軟體事業部門、於2017年6月正式成立的One Identity,旗下的身分治理(Identity Governance)、特權管理(Privileged Management)、登入管理(Access Management)機制,即是著眼於現代企業應用環境改變而設計的完整性解決方案。」Lennie Tan說。
現階段One Identity在台灣主要透過合作夥伴威雲科技提供服務,協助客戶導入建置與系統整合。威雲科技總經理林純隆說明,威雲科技成立約三年,除了擅長基礎架構領域,近期並開始擴展到資安方面。「雲端服務的興起,對於本土系統整合商而言,短期內似乎看不出影響,實際上,只專注於提供基礎架構的銷售模式,未來勢必受到相當大的衝擊。威雲科技也體認到雲端趨勢,正在進行策略轉型,混合雲的控管能力,是我們發展的要項之一。」
Identity Manager掌握檔案權限配置
One Identity是由Dell拆分軟體部門後,自Quest Software旗下獨立出來的新公司,實際上在IAM市場中已有十年的歷史。Lennie Tan說明,過去十年來,Quest Software持續發展IAM解決方案,除了自主研發的專利技術,同時也透過併購方式擴展技術能力,整合成為如今的One Identity。之所以獨立,主要是業務增長所驅動。
「總公司Francisco Partners與Elliott Management評估,近年來IAM在國際市場的需求相當大,尤其是亞太區,在2016年增長率達37%。原本One Identity解決方案只是Quest Software旗下二百多種產品線之一,為了更突出經營IAM市場,總公司決議讓One Identity獨立營運,加快回應市場的速度。」
One Identity主要提供三大主要方案,包含身分治理、特權管理、登入管理。其中的身分治理是從企業管理的角度切入,輔助落實帳號生命週期管理,從員工加入公司、所屬部門的角色、權限的配置、離職時清除等工作。最重要的是提供法規遵循所需的報表,讓高階管理層審查員工所屬的帳號、存取權限,是否符合企業管理規範。
Lennie Tan進一步說明,身分治理解決方案中所包含的Identity Manager,可依據員工在公司角色的轉變調配非結構化資料存取權限,例如檔案伺服器、SharePoint等系統,IT管理者通常很難徹底把離職員工帳號的相關權限全數撤銷,透過Identity Manager在Windows的檔案系統中安裝代理程式來執行掃描工作,盤點存取控制清單。
他以澳洲某銀行客戶為例,為了解決檔案存取權限配置不當問題,開始執行內部檔案盤點,再經過分類整理過後,把重要的檔案交給Identity Manager控管,整個過程大約半年才完成。主要是因為原本檔案存取權限配置相當混亂,員工可能因為專案需求申請存取機敏檔案的權限,但是在專案結束後卻未被關閉,長此以往累積了相當多的帳號擁有存取權限,因此花了許多時間逐一確認配置的適用性。
經過檔案存取權限的盤點過後,才得以掌握存取控制清單。若從IT管理者的角度來看,僅能大致上依據員工所屬部門判斷可允許存取檔案的類型,至於各部門掌握的重要檔案,則須協同用戶端來建立嚴謹的控管措施。
整合異質系統統一控管帳號與政策
針對微軟Windows環境,One Identity所開發的登入管理,符合Active Directory(AD)網域服務控管機制,透過Active Roles建立單一控管介面,可同時管理自建與Azure AD雲端服務,有效率地執行帳號盤點工作。帳號盤點在銀行業可說是相當重要的基礎,必須釐清現職與離職員工帳號,Active Roles結合企業內部的AD服務,同時可整合人資系統,建立員工離職後應執行的工作流程,例如確實關閉應用程式、檔案等存取權限。
|
▲ One Identity登入管理提供Active Roles單一控管介面,能夠同時管理內部AD與Azure AD雲端服務,並可整合人資系統,建立員工離職後應執行的工作流程。 |
「至於需求增長迅速的特權管理,是在2011年併購知名廠商e-DMZ Security取得的技術。」Lennie Tan說。許多企業關注焦點較偏重抵禦外來的資安威脅,近年來卻發現,內部的威脅竟然疏於防範,典型的案例即是美國徵信公司Equifax發生上億筆個資外洩,主要是因為員工帳號未確實控管,可能離職後帳戶未被完全清除所導致,因此市場日漸關注特權帳號的管理議題。
他進一步說明,傳統特權管理的做法為集中控管密碼模式,現在較普遍的是提供Session Manager機制,終端用戶不須取得密碼,透過系統申請存取應用服務需求,隨即配發一個Windows環境,並且把每個執行動作都予以錄影記錄保存,以便日後查詢。此外,若是資料庫管理者離職,亦可透過Identity Manager操作介面,到特權管理系統中關閉帳號,回收原有的權限配置。
One Identity的特權管理較同類型方案較大的差異是可以把Unix系統建置在AD網域控管環境,也就是說,AD服務定義的群組原則物件(GPO),亦可派發到macOS、Linux、Unix系統,透過安裝代理程式即可落實控管政策一致性,甚至亦可限制應用程式的執行行為。畢竟多數企業內部IT環境存在各種不同時期建置的系統,通常無法運用AD服務整合控管,若搭配Unix環境配置的特權管理,即可協助解決諸如此類的問題。
「目前市場上的特權管理多數需要整合其他合作夥伴的方案才能建置完整的帳號管理措施,而One Identity則是直接提供全套的解決方案,可降低不同廠商之間整合性、相容性等問題。」Lennie Tan強調。