身分與存取管理的定義
身分與存取管理(Identity and Access Management , IAM)是組織用於管理和保護數位身分以及控制使用者對關鍵資訊的存取的架構和程序。系統包括使用者註冊、身分驗證、角色型存取控制(RBAC , Role-based Access Control)以及法遵稽核和報告。
身分與存取管理系統保護敏感資料和系統免遭未經授權的存取和入侵,同時簡化並自動化管理使用者數位身分、存取權限和安全原則。
瞭解和身分與存取管理相關的核心概念
數位身分(Digital Identities)
數位身分是指存在於網路或線上的一組有關個人、組織或電子裝置的資訊。數位身分由各種特徵或資料屬性所構成,例如:
- 生日
- 網域
- 電子郵件地址
- IP(網際網路通訊協定)位址
- 病歷
- 線上搜尋活動(例如,瀏覽記錄、電子交易)
- 購買歷史記錄或行為
- 身份證明文件
- 使用者名稱和密碼
數位資源包括任何以數位形式存在並可透過電子方式存取的資產。這些資源通常透過電腦與網路進行儲存、處理與傳輸。在身分與存取管理方面,數位資源的範例包括:
- API(應用程式介面)-一組用於建立或與軟體應用程式互動的規則與通訊協定,使不同的軟體程式能互相通訊
- 雲端服務-透過網際網路提供運算能力、儲存空間與應用程式的服務
- 資料庫-結構化資料集合,例如 SQL 資料庫、NoSQL 資料庫和雲端資料倉儲
- 數位憑證-SSL(安全通訊端層)/ TLS(傳輸層安全性)憑證,以及其他用於保護通訊和交易安全性的數位驗證形式
- 數位內容-影像、影片、音訊檔案、動畫和互動式媒體
- 電子郵件和通訊平台-數位通訊工具,例如電子郵件服務、即時通訊應用程式和社群媒體
- 檔案和文件-文字檔案、試算表、簡報、PDF(可攜式文件格式)以及儲存在電腦或雲端儲存服務上的其他文件類型
- IoT(Internet of Things , 物聯網)裝置-用於收集和傳輸資料的連網裝置
- 網路資源-IP 位址、DNS(網域名稱系統)記錄、路由器、防火牆和其他網路基礎架構元件
- 軟體應用程式-雲端應用程式、行動應用程式、桌面軟體和企業系統
- 虛擬機器和雲端執行個體-託管在實體伺服器或雲端基礎架構上的虛擬化運算環境
- 網頁和網站-任何可透過網頁瀏覽器存取的 HTML(超文字標記語言)文件,包括資訊網站、電子商務平台和部落格
身分管理與存取管理
身分管理(Identity Management)與存取管理(Access Management)這兩個名詞經常被錯誤地互換使用。身分管理的功能是確認實體的真實身分是否與其所聲稱的相符。相較之下,存取管理則是在驗證身分資訊之後,用以判斷該實體可以使用哪些資源,以及可如何使用。
身分與存取管理和身分管理
在網路安全(Cybersecurity)領域中,身分與存取管理和身分管理是相關但有所區別的概念。身分管理主要關注於身分的建立與維護;而身分與存取管理則進一步結合存取控制措施,以確保資源的存取安全且符合授權規定。
身分管理 | 身分與存取管理 |
|---|---|
主要處理使用者的數位身分生命週期 | 整合身分管理,確保這些身分的使用符合公司政策和安全要求 |
核心功能包括:- 建立、更新和刪除使用者帳戶 – 隨時間管理身分資訊的變更 – 在授予存取權限之前驗證使用者的身分 | 核心功能包括:- 允許使用者透過單一登入 (Single Sign-On,SSO) 驗證一次,即可存取多個系統 – 定義並執行使用者權限相關的政策 – 要求使用多種驗證方式(例如多因子驗證,簡稱 MFA , Multi-Factor Authentication)驗證,以提升安全性 – 根據既定政策,授予或拒絕特定資源的存取權限 |
企業為何需要身分與存取管理以及身分管理
企業需要運用身分存取與管理來支援安全性和法規遵循,以及提高組織生產力。
身分與存取管理不僅適用於員工,還適用於承包商(第三方廠商)、合作夥伴和客戶,以及裝置和程式碼區段,例如 API 或微服務。
這些系統為 IT 管理員提供單一的真實來源,用於建立和維護記錄,並在使用者加入或離開組織時,管理其對資源的存取權限。
在企業網路中追蹤眾多實體的身分資訊是一項挑戰。身分管理系統可保護企業,確保只有經過驗證的使用者(即,個人或裝置)才能存取其有權使用的特定應用程式、元件和系統。
此外,身分管理系統使 IT 團隊能夠將業務原則套用至使用者的存取權限。可以視情況設定條件,例如在存取敏感資訊時,必須使用安全的連線方式。
身分存取與管理和身分管理的優勢
- 套用最小權限原則(Principle of least privilege , PoLP) 使用精細的存取控制,將對資源的存取限制在實際所需的範圍。
- 自動到職與離職流程作業 當使用者加入組織、職務變更或離職時,自動授予、修改或撤銷其存取權限。
- 啟用單一登入(Single Sign-On , SSO) 允許使用者透過單一身分登入不同系統。
- 提高生產力 透過自動化多項使用者帳戶相關任務,加快使用者存取資源的速度,並減少 IT 部門所需投入的時間。
- 避免弱密碼 貫徹密碼原則,以強制執行強式密碼要求。
- 識別潛在風險 使用人工智慧 (AI) 偵測資料存取行為中的異常情況。
- 衡量效能 追蹤身分管理計畫的成效。
- 緩解內部人員威脅 運用行為分析,來識別內部使用者異常的存取行為模式。
- 簡化法規遵循管理 針對所有使用者、應用程式與資料進行存取控管、使用行為追蹤並依照原則,自動化建立法規遵循報告。
- 支援零信任架構(Zero Trust) 不只是簡單進行驗證,而是根據每位使用者完整、即時更新的身分記錄,確保僅在需要時被授予對所需資源的存取權限。
身分與存取管理和身分管理的運作方式為何
首先,身份管理系統會為每個受管理的實體建立一組數位身分。當數位身分建立完成後,系統便用於管理這些數位身分,包括支援其整個生命週期的維護、修改和監控。
為了確保僅授予必要的存取權限,身分與存取管理系統使企業能夠根據使用者身分,精確分配經過設定的權限,並非僅憑使用者名稱和密碼授予過於寬鬆的存取權限。
這些機制用於控管哪些使用者可以存取網路中的哪些資源、裝置與資產。透過防止未經授權的存取行為,有助於提升安全性與生產力,同時降低風險與系統漏洞。
身分與存取管理系統會持續監控資訊來源。當資訊來源發生變更時,IAM 系統會擷取新資訊、重新運算、套用原則,然後將更新後的資訊推送至其他系統。這類系統通常依賴一組規則與指令碼來處理資料。
選擇合適的身分與存取管理系統
在評估身分與存取管理軟體時,應事先投入時間建立基本需求評估。雖然各組織的需求可能不同,但以下幾個關鍵領域應列入考量,並做為選擇 IAM 解決方案的指引。
產業
基本的身分與存取管理系統為許多組織提供所需的功能。然而,某些產業有其獨特的需求。有些解決方案是針對特定產業(例如醫療保健、金融服務)量身打造,並包含滿足其特定需求的功能(例如法規遵循、進階安全機制、跨地區的使用者管理)。
本地端部署與雲端部署
雲端身分管理解決方案(IDaaS , Identity as a Service,身分即服務)已成為大多數組織的預設選項。然而,有些組織需要本地端部署或混合部署選項。因此,瞭解各種部署方式、其優勢以及可用支援就變得格外重要。
組織規模
身分與存取管理軟體的需求會因組織規模而異,使功能與工具與其 IT 環境、業務據點、使用者分佈位置與工作負載相符。另一個與規模有關的重要考量是預期的成長性。若一個組織預期將大幅擴展,就應選擇能隨需求變化而擴充的系統。
支援要求
支援方面的首要考量應與部署與實作相關。身分與存取管理和身分管理解決方案供應商,應根據其提供的支援服務進行評估,並檢視其是否符合組織的實際需求。
系統一旦上線後,將需要持續的維護與監控。組織也必須決定,這些工作是否由內部人員負責,或是需要仰賴供應商的支援。
使用者群體
在評估身分與存取管理系統時,應將組織的使用者群體納入考慮。例如,考慮人類使用者是否僅限於員工,還是包括承包商、客戶和合作夥伴等。非自然人用戶(例如裝置、應用程式、雲端儲存)也應一併納入考慮。
應考慮的能力
在選擇身分與存取管理軟體時,請務必優先考慮其功能。雖然大多數供應商都提供一套基本功能,但延伸功能清單通常有所不同。
評估身分管理系統時,需要注意和評估的功能和特性包括:
管理
- 能夠批次變更使用者和權限
- 針對已採購的現有和新的雲端及本地端應用程式進行自動化佈建(Automated Provisioning)
- 易於瞭解和使用的操作、監控與維護的主控台和工具
- 自助密碼管理,讓使用者無需 IT 支援即可設定與變更密碼
驗證與存取權限
- 能夠登入多個系統,包括舊版應用程式、雲端應用程式、網路資源和伺服器
- 包含或支援的驗證技術(例如,一次性密碼(OTP , One-Time Password)、生物辨識、知識型驗證、金鑰卡、基於手機的權杖)
- 順暢的驗證使用者體驗,包括提供憑證的方式
- 公司網路內部或外使用者的第三方(例如,客戶、承包商與合作夥伴)存取權限
身分目錄
- 雲端目錄選項,可儲存所有使用者名稱及屬性資料
- 支援以應用程式做為設定檔主控端 – 該目錄會將使用者在某個應用程式中的設定檔視為該使用者資料的唯一真實來源,並將主控應用程式中的資料變更同步至其他應用程式
- 與身分識別儲存庫(例如 Active Directory 集中式目錄管理服務 和 LDAP(Lightweight Directory Access Protocol,輕量型目錄存取通訊協定))整合的多樣性和品質
平台
- 自訂使用者介面的能力
- 雲端服務的可靠性
- 在高負載下保持最佳效能
- 具備可擴充性,以支援使用者人數的增加
- 供應商遵循適當的安全通訊協定並擁有相應的認證
- 提供預先建立和可自訂的報告,以利營運管理
- 支援稽核需求的日誌記錄功能
- 能夠做為外部服務提供者的身分識別提供者
- 對瀏覽器型應用程式提供跨瀏覽器支援
- 支援與雲端和本地端應用程式整合的 API
佈建
- 利害關係人和管理人員可以根據定義的工作流程,核准或拒絕存取權限變更請求
- 可依指定日期終止對多個應用程式的存取權限
- 自動化建立、變更和移除本地端和雲端應用程式的帳戶和存取權限
- 雙向同步設定檔,當佈建系統或應用程式有異動時,可確保各應用程式間設定檔屬性的一致性
- 原則管理功能,可讓管理員建立存取原則,並在整個請求和佈建程序中套用原則控制
- 設定檔屬性可轉換為所有待更新系統所需的格式
- 角色管理功能,可讓管理員建立具備對應驗證權限的角色
- 使用者可以請求存取應用程式,並在符合原則要求時,自動佈建(例如,自助式存取)
系統與應用程式支援
- 使用者可依公司政策,透過個人裝置存取公司應用程式
- 適用於各種行動作業系統的行動功能
- 適用於原生和雲端應用程式的單一登入(SSO)
- 可與常見的雲端和本地端應用程式進行標準整合
身分與存取管理實作的挑戰
典型的 IAM 實作挑戰包括:
- 瞭解和管理使用者期望
- 滿足利害關係人的要求
- 整合法規遵循標準
- 缺乏整合多元使用者來源、驗證因素及遵循開放業界標準所需的知識與技能
- 大規模實作身分與存取管理的專業能力
雲端部署與本地端部署
如同許多解決方案,身分與存取管理系統通常從本地端移轉至雲端。託管的雲端身分與存取管理解決方案屬於身分即服務 (Identity as a Service,IDaaS) 類別。IDaaS 部署具有多項優勢,包括:
- 分散式與備援式系統,以提升可靠性與安全性
- 效率更高
- 在 SLA(Service Level Agreement,服務級別協定)的支援下延長正常運作時間
- 透過降低系統與基礎架構的採購與維護需求,以減少成本支出
- 可選擇純雲端部署,或與本地端身分與存取管理解決方案併行使用
身分與存取管理標準
IAM 解決方案必須能與許多其他系統整合,以提供對企業所有系統、使用者與角色存取權限的完整可視性。為促成此類整合,身分與存取管理平台支援的標準包括以下各項。
OAuth 2.0
OAuth 是一種開放標準的身分管理通訊協定,可為網站、行動應用程式、物聯網(IoT , Internet of Things)和其他裝置提供安全存取方式。它使用傳輸過程中加密的權杖,無需分享認證。OAuth 2.0 是 OAuth 的最新版本,是許多主流社交媒體平台和消費者服務廣泛採用的架構。
安全聲明標記語言 (SAML,Secure Assertion Markup Language)
SAML 是一種開放標準,用於在身分與存取控制解決方案與其他應用程式之間交換驗證與授權資訊。此方法使用 XML 傳輸資料,通常由身分與存取管理平台用來讓使用者登入已與 IAM 解決方案整合的應用程式。
OpenID Connect (OIDC)
隨著 OpenID Connect 的推出,OpenID 成為 OAuth 廣泛採用的驗證層。與 SAML 一樣,OpenID Connect (OIDC) 也廣泛用於單一登入 (SSO , Single Sign-On),但 OIDC 採用的是 REST/JSON,而非 XML。由於使用 REST/JSON 通訊協定,OIDC 被設計為能支援原生應用程式與行動應用程式,而 SAML 則主要用於基於 Web 的應用程式。
輕量型目錄存取通訊協定 (LDAP)
LDAP 是最早的身分管理通訊協定之一,可儲存與整理資料(例如使用者或裝置資訊),協助使用者尋找組織與個人資料,並進行使用者驗證以存取這些資料。它是一種開放的業界標準通訊協定,可讓應用程式與目錄服務進行通訊,並常用於支援使用者驗證,包括單一登入 (SSO) 支援、簡單驗證安全層 (SASL , Simple Authentication and Security Layer) 和安全通訊端層 (SSL , Secure Sockets Layer)。
跨網域身分識別管理系統 (SCIM , System for Cross-domain Identity Management)
為了簡化使用者身分管理程序,SCIM 佈建使組織能在雲端高效運作,並輕鬆新增或移除使用者。這有助於降低成本、減少風險並簡化工作流程。SCIM 也促進雲端應用程式之間的通訊。
IAM 法規遵循
許多法規、標準和架構都要求或強烈鼓勵將身分與存取管理做為其網路安全指令的一部分。以下是一些要求或建議身分與存取管理的範例。
- FISMA(美國聯邦資訊安全管理法)
- GDPR(一般資料保護規範)
- HIPAA(健康保險可攜性和責任法案)
- ISO/IEC 27001
- PCI DSS(支付卡產業資料安全標準)
- SOX (沙賓法案)
- NIST 網路安全框架 (CSF)
IAM 技術
與身分與存取管理解決方案相關的主要技術包括:
- 存取驗證和重新驗證
- 屬性型存取控制(ABAC , Attribute-based Access Control)
- 生物辨識驗證
- 目錄服務(例如 LDAP、Active Directory)
- 聯合身分管理
- 身分治理與管理(IGA , Identity Governance and Administration)
- 多因子驗證(MFA , Multi-Factor Authentication)
- 特殊存取權限管理(PAM , Privileged Access Management)
- 角色型存取控制(RBAC , Role-based Access Control)
- 單一登入 (SSO , Single Sign-On)
身分與管理和身分管理使用案例
法遵規範
身分與存取管理透過管理使用者存取權限與特殊權限,以及執行資料治理,協助組織遵循法規要求。IAM 解決方案也可透過自動化報告來簡化法規遵循稽核,這些報告詳列各項存取權限與特殊權限,並提供有關已實施哪些資料保護通訊協定以防止未經授權存取敏感資訊的資訊。
自攜裝置 (BYOD , Bring Your Own Device)
身分與存取管理解決方案不僅可以存取大量資料和多個應用程式,還可以跨多個裝置和位置授予存取權限,進而提高員工的工作效率。身分管理和 IAM 解決方案可確保實作適當的身分驗證與存取控制,幫助管理員管理個人裝置。
物聯網 (IoT , Internet of Things)
透過 IAM 解決方案,可將安全通訊協定延伸至難以管理的 IoT 裝置。這些工具將 IoT 裝置視為使用者,採用成熟的身分驗證和授權方法,並利用 IAM 的功能來加強監管。
身分與存取管理實際案例
以下實際案例說明身分與存取管理解決方案的運用方式。
保險機構如何利用身分與存取管理來保障自攜裝置 (BYOD) 計畫的安全性
保險機構使用身分與存取管理來支援 BYOD 計畫,並允許員工、業務代表和合作夥伴透過個人裝置存取公司資源。他們使用的身分與存取管理功能包括:
- 情境感知存取控制,使用基於風險的原則,根據情境(例如裝置類型、位置和存取時間)限制存取
- 裝置法規遵循檢查,確保 BYOD 裝置在授予存取權限前符合安全標準(例如加密、最新作業系統、無需越獄/root)
- 精細的存取控制,例如最小權限原則 (PoLP , Principle of least privilege , PoLP),確保 BYOD 使用者只能存取其角色所需的最少資料和應用程式
- 工作階段管理與監控機制能記錄所有與 BYOD 相關的存取行為,並在偵測到可疑活動時,即時終止該使用者的工作階段或撤銷存取權限。這些可疑活動可能來自未授權的使用者(例如試圖在企業網路內部橫向移動),也可能來自授權使用者(例如違反原則,使用公共 Wi-Fi 存取敏感資訊)
- 自動化的身分生命週期與存取撤銷系統,可在員工離職或原則變更時,迅速取消佈建其存取權限,並從其個人裝置中清除企業資料
- 安全原則控制會限制對敏感保戶資料的存取,除非使用的裝置已加密且存取點具備安全性
製造業組織如何運用身分與存取管理來保護其 IoT 系統
一家大型製造商使用工業物聯網 (IIoT , Industrial Internet of Things),例如感應器、機器人、連線機械和智慧控制器,大量仰賴身分與存取管理來降低網路風險。他們的 IAM 解決方案可防止未經授權的存取,以保護連線的裝置,避免工業間諜行為與破壞行為的發生,並具備以下功能:
- 為所有 IIoT 裝置建立獨特的數位身分,讓組織能夠追蹤、驗證並管理其環境中每一部連線的機器或感應器
- 稽核軌跡與監控,涵蓋裝置互動的詳細記錄,以支援即時監測與事後鑑識記錄
- 針對 IIoT 裝置進行自動化生命週期管理,涵蓋啟用、監控與停用等程序
- 微分段(Microsegmentation) 可將 IIoT 網路劃分為小型子網,並限制裝置僅能存取其所需的系統與資料
- 強式驗證與授權要求裝置與中央系統之間進行雙向驗證,以防止惡意裝置加入網路
未來身分安全的要素
IAM 的未來進展可能包括:
- 動態信任模型(Dynamic trust models) 根據行為和互動記錄調整授權的 AI 模型。
- 無摩擦存取(Frictionless access) 跨實體、數位和電話使用的通用生物識別技術包括複雜的隱私通訊協定。
- 通用 ID 融合的身分具有聯合性和通用性,使自帶身分成為常態。
使用 IAM 保護企業安全
身分與存取管理是企業安全計畫的關鍵要素,因為它能隔離關鍵資產與系統,避免遭受不小心或蓄意造成的網路進入點,這些進入點可能成為網路犯罪分子的攻擊目標。善用這些解決方案的企業,不僅能降低身分管理的預算,還能在面對新的業務挑戰與機會時,快速且順利地調整方向。
身分與存取管理和身分管理術語表
存取管理 存取管理是一套用來控管、監控與管理對 IT 資源存取權限的實務與工具集合。
Active Directory (AD) AD 是 Microsoft 提供的使用者身分識別目錄服務。它可與其他系統整合,為使用者佈建與取消佈建存取權限。
驗證(Authentication) 驗證是使用者(即,個人、應用程式或服務)在獲得數位系統存取權限之前,所進行的身分確認程序。用於驗證的工具包括密碼、一次性個人識別碼,以及生物特徵資訊。
授權(Authorization) 授權是根據組織實作和維護的權限設定驗證使用者可以存取哪些應用程式、檔案和資料的程序。使用者的存取權限是在身分通過驗證後才授予的。
生物辨識驗證(Biometric authentication) 這種驗證方法使用指紋、視網膜和臉部特徵等獨特特徵來驗證使用者的身分。
雲端基礎結構權利管理 (CIEM , Cloud Infrastructure Entitlement Management) CIEM 是一種安全管理流程,用於管理雲端基礎架構中的身分、存取權限、特殊權限和權限等。
取消佈建 取消佈建是指移除使用者在網路中對應用程式、系統及資料的存取權限的行為。
身分即服務 (IDaaS , Identity as a Service) IDaaS 是一種基於雲端的身分與存取管理服務產品。
身分治理與管理 (IGA , Identity Governance and Administration) IGA 是一種基於原則的身分管理與存取控制方法,涵蓋整個身分生命週期的管理。
身分佈建 身分佈建用於管理使用者帳戶,確保其擁有正確的資源存取權限,並能適當地使用這些資源。
多因子驗證 (MFA , Multi-Factor Authentication) MFA 是一種存取管理工具,可結合兩種以上的驗證機制,來控制使用者對 IT 資源的存取,包括應用程式與裝置。
最小權限原則(PoLP , Principle of least privilege) 最小權限原則是一種安全方法,授予使用者在執行任務所需的最短時間內,僅限於完成該任務所需的最低層級存取權或操作權限。
特殊權限存取管理 PAM 管理特殊權限使用者在執行工作(例如實作、維護及更新)時所獲得的廣泛應用程式、系統或伺服器存取權限。PAM 工具會將這些特殊權限帳戶與一般使用者帳戶區分開來,並密切追蹤其相關活動。
角色型存取管理 (RBAC , Role-based Access Control) RBAC 允許企業根據不同使用者類別執行職責所需的存取層級,指派一組權限,進而建立並強制執行進階的存取權限。使用 RBAC,不同使用者會依據其職務角色、工作職能與責任,被授予相應的存取權限。
職能分工 (SoD , Segregation of Duties) 職能分工也稱為職能分離,是組織用來防止錯誤和詐騙的安全原則。
單一登入 (SSO , Single Sign-On) SSO 是一種驗證功能,允許使用者透過一組憑證,存取多個應用程式與網站。
免責聲明:本文件所載資訊僅供參考,文件中所述的任何內容均不構成任何形式的法律建議。SAILPOINT 無法提供法律建議,並建議您就適用的法律問題諮詢專業法律顧問。
