應用層身份辨識把關 遏制假冒身份登入

2019-03-05
自2013年IBM併購Fiberlink旗下的原生雲端服務項目MaaS360,補足EMM控管能力,搭配桌機、筆電環境的管理工具BigFix,相互整合發展統一端點管理(UEM)策略,可同時支援Android、iOS、Windows、macOS、Chrome OS等異質核心作業環境。

 

IBM大中華區資訊安全事業處資深技術顧問曾心天觀察,企業當然也很清楚雲端與自建系統的界線愈來愈模糊,但仍舊得透過工具協助釐清,藉此來區分權責。

事實上,台灣企業在行動化應用方面跟進速度較快,甚至遠超過雲端服務的接受度。曾心天回想,最早遇到的需求單位是某家本土壽險業,由於老闆自己非常喜歡3C產品,且認為有助於提升工作效率,於是自行推動制定控管政策,開放讓員工得以行動化辦公。

對於行動化應用較多疑慮的則當屬製造業,擔心因此導致資料外洩影響核心競爭力,因此在2013年左右普遍的做法是禁用行動裝置上內建的相機、Wi-Fi、藍牙等功能,政策實施上卻發現根本難以全數支援市售眾多品牌,仍舊無法達到全面性管控。

從近十年來的發展可發現,行動化應用早已是無法抵擋或禁止的趨勢,企業也願意嘗試建置最合適的應用情境。如今再提到行動辦公室或行動化應用的議題,已經不會聯想到裝置管理,而是如何讓員工在公司的任何一個角落都可以辦公,IT人員毋須擔心安全性問題。

容器環境隔絕App確保獨立運行 

過去台灣各個產業都會遇到共同的狀況,就是員工對於私人行動裝置被納管多半抱持抗拒的態度。雇主思考的是可藉此增加生產力,但是員工在意的是私人裝置用於工作場所時,公司控管範圍應僅限於工作,在下班時間時須解除所有被禁止的功能,例如相機。於是企業開始思考許多因應對策,曾有客戶提出,當員工識別證刷卡的同時,立即觸發關閉相機功能,來達到管控的目的。

曾心天認為,前述想法並非不可行,只是必須確保使用者連線不中斷,不論是透過無線基地台或行動網路接取傳輸,萬一網路連線中斷,無法啟動觸發關閉相機的措施,恐將成為漏洞,增加資料外洩風險。發展至今再談到行動化應用時,多數企業被教育的觀念是由公司配發的裝置自然可百分之百納管,不想再探討BYOD模式,轉而從應用層(也就是MAM)切入建立統一終端管理政策。

原生雲端平台開發的MaaS360,本就運行於容器環境,收容企業專屬的辦公室生產套件,包含員工日常所需的郵件、行事曆、通訊錄等App,同時提供可相容於Office軟體的編輯器,以及PDF註記、畫線、標示等機制。

IBM大中華區資訊安全事業處資深技術顧問曾心天建議,在第一波行動化浪潮中尚未建立行動裝置、桌機、筆電控管措施的企業,至少身份驗證必須要到位,具有辨識存取者的能力,防範帳密遭竊被攻擊者存取。

全數App在MaaS360容器環境中皆為隔絕區域,無法透過任何方式存取。欲整合第三方App運行檔案交換時,則可藉由MaaS360提供的SDK來實作,並且可透過SDK指定的認證機制,例如輸入密碼、指紋或人臉辨識等,成功後才可進入MaaS360的容器環境。

「須特別澄清的是,許多客戶誤以為MaaS360的容器環境是個App,讓公司應用系統功能建置在此App之上,實際上並非如此,每個App還是可以依照操作習慣放置,不論被歸類到任何資料夾,背景運行都是在相同的容器區域。」曾心天強調。此機制有別於桌面虛擬化技術必須得仰賴網路傳輸,接取到公司允許採用的App區域,若是離線狀態則無法存取;MaaS360提供的App則不受影響,只是資料會存放在本機,待網路服務恢復後再進行同步。兩種應用模式之間的使用體驗差異頗大,企業可評估操作習慣選用合適的建置。

行動應用推陳出新凸顯身分驗證重要性 

從應用層建立行動應用控管機制的統一端點管理平台,可針對企業允許員工使用的App,主動派送配置到行動裝置,萬一裝置遺失,亦可遠端執行移除並回收權限,以免導致資料外流。另一種常見的狀況是針對約聘人員,雖非為正式員工,但是須建立存取內部系統的權限,問題是正式員工才會擁有企業派發的憑證,因而無法納管行動裝置。如此狀況下,則可經由行動認證進行管控,也就是在獨立的App新增登入帳密,若是App數量過多且來自不同廠商所開發,則可藉由單一登入機制來執行。

萬一行動裝置遺失,或是約聘人員警覺心不高,讓其他人操作手機,此時則可結合機器學習技術建立分析模型,輔助判斷操作者是否為本人。該機制就如同使用者行為分析(UBA),依據平日存取習慣、採用的工具、活躍的時間等要素,甚至可細緻到檢查瀏覽器應有的Plug-in,以多維度地分析提高辨識率。一旦偵測到高風險狀態隨即觸發執行單次性密碼(OTP)登入的要求,用戶必須輸入簡訊、郵件內文中的驗證碼才可存取。

曾心天也觀察到自2017年開始,國內的大型企業開始思考行動裝置不僅可用於提高生產力,亦可增添辨識防護機制,如同桌機、筆電登入LINE時需要手機掃描QR Code,用以驗證為本人操作。為了避免網路服務連線不佳造成登入的困擾,MaaS360的App亦內建基於時間的一次性密碼演算法(TOTP)標準,在主機與裝置採用相同演算法,彼此之間毋須溝通,兩端在相同時間即可各自產生出一致的數值。例如外地出差的員工須連線回到公司內部查詢保單系統,系統偵測到非為日常存取的區域時,將觸發要求輸入TOTP密碼,以防身份被冒用。

現代辦公環境逐漸轉型為行動化,辨識登入者身份已成為不可或缺的能力,如此才可保障用戶體驗同時確保安全性。IBM Cloud Identity家族包含MaaS360、單一登入等方案,後者稱為IBM Security Access Manager,市場定位屬於存取管理(Access Management)範疇,為獨立的產品線,主要即是藉此建立行動App認證授權、單一登入,以及增添使用者操作行為分析。

「實際上,當前終端用戶應用環境的控管機制幾乎已屆完整,少見客戶提出新的需求,反而是在應用服務的登入與存取控管需求較多。例如面對消費者的服務平台,普遍希望結合Facebook等被廣泛使用的社交平台帳號,以便於顧客加入註冊。」曾心天說。諸如此類整合第三方認證授權模式,憑證根本無法基於既有的Active Directory或LDAP納管,但是又必須建立可套用控管措施的機制,例如超過六個月未登入的帳號權限自動註銷,此時Access Management即可協助,主動通知IT管理者以調整政策配置。


 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!