雲端身分驗證 雲端存取管理 雲端

雲端身分驗證與存取管理

2012-11-27
上一期我們談到了雲端資料加密與金鑰管理的部署重點,需要考量資料所在的位置及傳輸方式,作為選擇對應加密措施的基礎。至於在金鑰的管控方面,針對生命週期中的各個階段,金鑰本身同樣也需要實施適當的保護與備援機制,本期將說明有關雲端身分驗證與存取管理的重點。
在現今網路發達的資訊時代,每個人在每一天或多或少都會使用到各式各樣的資訊系統,像是使用電子郵件、瀏覽臉書,或是進行網路購物、線上拍賣,甚至是網路銀行等。基本上,每當使用者登入資訊系統,並且能夠存取資訊時,至少都會經過三個階段,首先是要確認使用者的身分,其次是系統會決定給予使用者的權限,最後則是留下驗證與授權的各項記錄,以確認是否符合相關政策與程序的要求。

在還沒有雲端服務之前,以上所提到的三個階段,幾乎都是在企業的內部環境中進行,由資訊部門自行來管控,並且互相協調網路、系統和使用的應用程式。但是隨著企業採用了雲端服務之後,這些作業方式就可能會跨出企業的邊界之外,改為由服務供應商來協助提供,而且隨著所採用的雲端服務模式與部署架構,有關身分驗證與存取管理的方式將變得複雜,同時也無法完全由企業內部的資訊部門來完全掌控。

提供身分驗證的安全機制

針對身分驗證與存取管理,業界普遍所提供的資安解決方案稱之為IAM(Identity and Access Management),在IAM之中至少會有三個層面是必須重視的,分別為驗證(Authentication)、授權(Authorization)以及稽核(Auditing)。

在驗證方面,一旦使用者要求登入資訊系統時,必須要確認使用者或是提出要求登入的另一系統或應用程式的身分,所以將會採取一個身分驗證的流程。目前,資訊系統用來驗證身分的方式,不外乎有以下三種:

1. 你知(What you know)-這是一種最常見,也是所有資訊系統幾乎都會內建的一種身分驗證方式,例如以使用者所知曉的帳號與密碼、約定的暗號及預先設好的問題答案等,這些都是可作為確認使用者身分的一種方式。

2. 你有(What you have)-藉由使用者持有獨一無二的物件,作為識別身分的憑據,常見的像是身分證(ID card)、提款卡、電子憑證等,作為佐證來判定使用者的合法身分。

3. 你是(What you are)-這是目前成本比較高昂,也是較難被破解的一種身分驗證方式,所採取的作法就是確認使用者的生物特徵,例如指紋、虹膜、視網膜、臉型、聲音、掌紋、指靜脈等。

以上所提到的身分驗證方式,無論是哪一種都可以作為獨立的驗證方法,但是如果能夠同時採取兩種以上的驗證方式,其安全強度將遠遠高於只採取一種的作法,這也就是俗稱的多因素驗證方式,可以有效降低冒用他人身分的情況發生。

在通過驗證之後,並不代表使用者就可以完全掌控系統,必須還要依照其身分來賦予適當的安全權限,在這裡有一項資安原則是必須要遵循的,稱之為最小權限原則(principle of least privilege),也就是說對於使用者,只需要給予其作業所需的最小權限即可,而不是直接給予管理者或其他過大的權限。

無論使用者的身分是一般使用者或是系統管理者,在操作資訊系統的過程中,都必須要保留各項的記錄,以評估應如何適當控制其在合理的使用範圍內,並且可作為確認其是否遵守各項作業程序和政策要求,同時分析可能的安全事件,以降低系統所面臨的資安風險。

身分驗證的部署方式

對傳統的資訊應用服務而言,在身分驗證方面採取的作法並不複雜,通常是在企業內部架設專屬的目錄服務(Directory Service)伺服器 ,並且設定各項存取政策(Policy),讓各個用戶端設備以及使用者,可以連接企業內部的目錄服務,提供給各項應用服務來使用,以減少重複登入的情況,同時也可串接多重的身分認證來源。

在這種架構之下,即使某些目錄服務有可能位於外部供應商所提供的伺服器中,但通常這是為了避免進行身分驗證時的效能問題,而將目錄服務同步至此一伺服器上,並非由外向內來進行覆寫,在風險方面仍是可以掌控的。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!