網際網路的風潮下,為了要使用各種應用系統和網站服務,許多人開始過著擁有多組帳號、密碼的生活。而在行動應用當道的現在,人人上網門檻大幅降低,你只要有一臺智慧型手機或平板電腦,就能連到網際網路,也因此需要使用到帳號、密碼,例如Apple iOS裝置搭配Apple ID,而Android裝置則運用了Google帳號。
除此之外,對一般人而言,還會在很多場合必須輸入帳號、密碼,例如:電子郵件、即時通訊、社群網站、網路銀行、線上購物網站;如果是你在企業內部環境工作,每天在使用桌上型電腦或筆電開始進行文書作業之前,需輸入帳號、密碼,以便登入公司網路,存取檔案伺服器與共用印表機。
實體環境上,我們也經常會接觸到身分驗證有關的程序。例如,到銀行ATM進行提款或轉帳,插入金融卡之後,需要鍵入密碼;使用信用卡進行消費交易時,需要以筆簽名或輸入密碼;進出商業大樓或各機關團體園區時,需配戴識別證;去醫院看診時,需攜帶健保卡驗證身分;而出入他國時,護照與簽證查核更是少不了的程序。
無論是數位世界或實體環境,要確保彼此之間的信任關係,仰賴強健的身分保護措施。在實作原則上,其實都不脫許多人所熟知的3A:認證(Authentication)、授權(Authorization)、稽核(Auditing)。因此,每當我要跟同事討論到何謂企業級IT管理系統,以及如何了解其功能和特色時,通常也會環繞著這些話題。
例如,因為企業需要面對許多使用者,包括基層員工、高階主管、訪客、合作廠商,因此IT應用系統大多需支援多人同時上線使用,這就牽涉到使用者身分管理,除了這些系統本身內建的帳號、密碼系統,能否整合Windows AD或LDAP目錄服務,通常是必備的條件。
而系統的存取授權管理上,則是跟不同的使用者角色,以及對應的權限配置有關。
至於所謂的稽核,主要的作用是希望能夠掌握系統過去與現在發生的各種事件,因此需要提供充分的記錄、彙整與搜尋功能,甚至能做到統計分析。
上述這些安全性機制,可以在IT系統裡面內建,但也可以做成獨立的產品。以後者來說,我們過去報導出來最多的應是郵件稽核系統,也曾介紹一些安全事件管理系統(SEM或SIEM)。今年我們還特別針對使用者行為分析(User Behavior Analytics,UBA)的產品,製作了採購大特輯。
至於權限管控的部份,兩年前,我們曾就特權帳號(高權限使用者)的管理為題,探究市面上的相關產品,而這些解決方案提供的功能,也和上述的SEM、UBA有著高度相似、甚至功能相互重疊的情況。
相較之下,針對身分驗證管理的獨立產品,似乎遲遲沒有受到市場青睞。幾家大型軟體廠商都有解決方案。例如,微軟去年推出了Identity Manager 2016,而其前身是2012年推出的Forefront Identity Manager 2010 R2;Oracle也有一系列Identity Management解決方案,區分為目錄服務、存取管理、身分治理、行動環境等應用。
以伺服器虛擬化平臺聞名的VMware,由於他們併購了Airwatch,在去年發表了VMware Identity Manager,今年6月推出Workspace ONE平臺,顯然是想從企業BYOD、行動裝置端的使用者單一身分管理,延伸至桌面虛擬化與端點管理,後市可期!
相關報導 2016身分保衛戰開打!