萬物聯網消除過去涇渭分明的內外網架構,為了不讓服務中斷,不論時間、地點,企業需滿足來自任何裝置的存取,同時確保存取裝置的安全以及人員的身分,以保護企業資產,這也讓身分成為新一代存取企業資源的安全邊界。
萬物聯網消除過去涇渭分明的內外網架構,為了不讓服務中斷,不論時間、地點,企業需滿足來自任何裝置的存取,同時確保存取裝置的安全以及人員的身分,以保護企業資產,這也讓身分成為新一代存取企業資源的安全邊界。過往較為複雜的身分識別與存取管理(Identity Access & Management,IAM)架構必須盡速改善,以適應快速變化的網路環境,並協助企業能安全無縫地將系統遷移至雲端環境。
身分存取安全類別與演進
IAM為一套完整的身分存取安全策略、流程及工具,協助企業掌握用戶存取狀況,並依人員角色配置適當的權限,確保資源的存取是在合理的時間授權給具備資格的用戶,保護內部機敏資料,避免遭未經授權的攻擊者入侵;同時確認用戶角色與存取資源的關係是否匹配,以進行即時的存取權限調整。主要又可分成存取安全(Access Management,AM)與身分安全(Identity Management,IM)兩個子類別,隨著攻擊事件的演變,隱藏於身分安全更細部的問題逐漸浮出水面,為了解決造成攻擊發生的根源,因而發展出特權帳號管理(Privileged Access Management,PAM)和身分治理(Identity Governance and Administration,IGA)等解決方案。
AM往Windows靠攏IM做法差異大
隨著數位轉型的浪潮,企業逐漸走向雲端,目前可以發現存取安全(AM)逐步往使用率最高的作業系統靠攏,因此以Windows內建的微軟AD(Active Directory)便廣泛受企業使用作為存取認證機制,且目前推出眾多辦公室自動化(OA)軟體,利用這些軟體並搭配作業系統內建的優勢進行整合,不僅方便又可快速部署。臺灣企業在近兩年也開始加強AM布局,但投入成本資源相較其他資安解決方案較少,且特定解決方案在臺灣並未占太大聲量,主要採取的AM解決方案也是以微軟AD為主。
過往臺灣企業在身分安全(IM)的投資較小,然而,遵循政策法規的發展,目前各個產業均已落實,且數量漸漸增加,只是企業彼此間做法差異很大,對於成熟度較高的企業則會採取一個方案便能整合所有人員的身分。
金融內部章程須包含PAM國廠IGA仍有精進空間
關於特權帳號管理(PAM),自2016年起針對銀行SWIFT系統發起的竊盜案,多因權限設定錯誤導致攻擊發生,臺灣政府也因此制定相關法規,要求金融單位須設有資安負責窗口,而隨著SWIFT系統攻擊增加,更進一步規定金融機構要有獨立資安單位,且在公司內部章程或是規範中一定要包含特權帳號管理,目前臺灣多數金融業者導入PAM服務皆達五年以上。
可將身分治理(IGA)視為IM的次世代,從公司治理角度配置人員權限與角色,確認身分與角色間權責的合理性,並確保權責分離,以避免球員兼裁判的問題,提升企業管理的效率以及合規性,實現企業永續經營的目標。與IM一樣,近兩年因政策規範的制定,臺灣企業需求端逐漸投入資源,但就國內自主解決方案的完整度及前瞻性來看,相較國際大廠還是有許多功能上精進的空間。
無論是網路世界,或是近期流行的區塊鏈、元宇宙等所有應用、活動的基礎,皆與「身分驗證」脫不了關係,身分驗證遍布任何地點、任何裝置,若未落實強度足夠的身分認證,將導致詐欺、網路釣魚等案件層出不窮。
為了遏止攻擊風氣,提升企業安全意識,各國政府相繼提出資料保護相關的規範,而導致資料漏洞主因多為憑證外洩、弱憑證、特權帳號濫用等不完善的身分安全策略。隨著身分管理複雜化,多數企業採取的IAM機制又過於複雜,不僅造成地端與雲端間銜接的摩擦,也降低人員的作業效率,因此,除了應盡速採取洋蔥式的多層保護模式加強身分安全機制,更應打造以身分為中心的整合式解決架構,以提供無縫的使用體驗,並加強不同環境、系統間的串連,在維護企業安全的同時確保生產效率,並降低違規風險。
無密碼存取成趨勢
隨著線上服務的興盛,所需管理的帳號也隨之增加,帶來密碼氾濫的現象,管控密碼成為人們的一大難題。無密碼將帶來新一代的存取安全,並提供企業更佳的使用者體驗、更高的生產力、減少技術支援的需求、降低安全成本、增強安全性等好處,但從密碼過渡到完全採用無密碼的過程將面臨許多挑戰,如文化衝突、缺乏專家、人員抵制等,但在多雲環境、混合辦公、SaaS軟體普及化的情況下,不管是企業、政府,甚至是個人,對於網路的仰賴程度皆提升,多數企業的IT人員都有一致的共識,密碼將逐漸沒落,企業將邁向無密碼存取的道路,目前最常見的無密碼驗證形式前三名分別為生物辨識(如指紋、虹膜)、PIN碼、硬體安全金鑰。
2022年5月,美國三大科技巨頭Google、Microsoft、Apple宣布將邁向無密碼時代,並強力支持全球資訊網聯盟(W3C)所建立的共通無密碼登入標準Passkey,又稱多裝置FIDO憑證標準,這也確保未來跨平台、跨裝置、跨系統間存取驗證的共通性,並為無密碼驗證機制打了一劑強心針,加速推進企業的導入。
零信任非一蹴可幾 應逐步強健
根據美國國家標準技術研究所(NIST)新版SP800-207所制定的零信任框架(Zero Trust Architecture,ZTA)準則,共包含身分零信任、網路安全零信任、帳號的零信任、網路瀏覽的零信任等等不同面向,實施關鍵之一便為存取控制,而重點項目如身分驗證、特權管理、授權機制等,在身分被確認前,無論使用者、裝置、應用程式皆不可信,而身分定義安全聯盟(IDSA)報告中,97%的IT安全專家也同意身分存取驗證為零信任安全架構的基本要素,攻擊者也多從薄弱的身分環節進行初步的入侵,也讓企業將身分作為資安邊界建構其零信任架構。
零信任網路架構為一套機制,其核心概念為保護資料免於攻擊者的迫害,多數企業的IT領導者皆點出身分為實施零信任的核心要素,從最容易被攻破的身分安全開始,慢慢建構企業專屬的零信任安全架構。
隨著AI技術的成熟,自動化流程的導入更為普及,非人類身分在企業中也更為常見,不同身分對於資料的存取要求,在裝置、網路、基礎架構、應用程式中根據風險設立不同存取機制,並打造以身分為中心的存取制度,捨去預設的信任,改以持續驗證、動態調整的準則,提升身分存取安全,並確實掌握企業相關用戶的身分、角色、屬性等資訊,以便於授予用戶適當的權限,杜絕權限濫用、特權滿天飛的問題,部署零信任架構絕不可能一蹴可幾,正因為身分存在企業的方方面面,不管地端、雲端,網頁、應用程式都須確保用戶的角色、存取關係等,滿足持續監控、職責分離、動態即時調整的條件,逐步強健企業全方面的零信任網路架構。
<本文作者:曾瀞瑩現為資策會MIC產業分析師>