身分識別與存取管理(IAM)系統可驗證使用者身分並控制使用者權限。
閱讀本文後,您將能夠:
相關內容
訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!
複製文章連結
身分識別與存取管理 (簡稱 IAM 或 IdAM) 是告知使用者身分以及允許他們進行哪些事項的方式。IAM 就像夜店門口的保鏢,具有允許誰進入、不准誰進入以及誰能進入 VIP 區域的名單。IAM 也稱為身分識別管理 (IdM)。
以更技術性的術語而言,IAM 是管理一組指定的使用者數位身分的方式。這是一個總稱,涵蓋了許多具有相同基本功能的不同產品。在組織內部,IAM 可能是單一產品,或可能是流程、軟體產品、雲端服務和硬體的組合,這可向管理員提供可見性,並控制個別使用者可以存取的組織資料。
無法在電腦中上傳和儲存某人的完整身分,因此運算脈絡下的「身分識別」意指一組便於衝量並以數位方式記錄的特定內容。想想身分證或護照:不是關於某人的每個事實都會記錄在身分證上,但其中包含足夠的個人特徵,可以快速比對某人的身分和身分證。
為了驗證身分,電腦系統將會對特定於使用者的特徵來評估使用者。若相符,就會確認使用者的身分。這些特徵也稱為「驗證因素」,因為這有助於驗證使用者符合他們自述的身分。
三種最廣泛使用的驗證因素是:
使用者知道的內容:此因素是一些僅限一個使用者擁有的知識,例如使用者名稱和密碼組合。
想像 John 希望從家中查看工作用電子郵件。若要這麼做,他首先必須建立身分,才能登入電子郵件帳戶,因為如果不是 John 的某人存取了 John 的電子郵件,公司資料就會遭受入侵。
John 在登入時輸入電子郵件 john@company.com和只有他知道的密碼 – 例如「5jt*2)f12?y」。可以推測,除了 John,沒有其他人會知道此密碼,因此電子郵件系統會辨識出 John 並讓他存取電子郵件帳戶。若有其他人嘗試輸入「john@company.com」這個電子郵件地址來假冒 John,但不知道應輸入「5jt*2)f12?y」作為密碼,就無法成功。
使用者擁有的內容:此因素意指擁有發給授權使用者的實體權杖。此驗證因素的最基本範例是使用實體房屋鑰匙進入某人的住家。根據推論,只有擁有、租用或以其他方式獲准進入房屋的某人才會有鑰匙。
在運算脈絡下,實體物件可以是遙控鑰匙、USB 裝置或甚至是智慧型手機。假設 John 的組織想要檢查兩項驗證因素而非僅檢查一項,以便額外確認所有使用者都確實是他們自述的身分。現在,John 不只要輸入他的密碼 – 這屬於使用者知道的因素 – 也必須向電子郵件系統顯示他擁有其他人所沒有的物件。John 是世界上唯一擁有他的私人智慧型手機的人,因此電子郵件系統會以簡訊向他傳送一次性代碼,而 John 則會輸入該代碼,以顯示他擁有該手機。
使用者本身的內容:這意指某人身體的實體特徵。此驗證因素目前使用的常見範例是許多現代智慧型手機提供的 Face ID 功能。指紋掃描是另一項範例。有些安全性極高的組織會使用較罕見的方式,包括視網膜掃描與血液檢測。
想像 John 的組織為了更嚴格地管理安全性,決定讓使用者驗證三個因素,而非兩個 (這很罕見)。現在 John 必須先輸入密碼、驗證擁有其智慧型手機並掃描指紋,電子郵件系統才會確認他確實是 John。
摘要:在現實世界,某人的身分是個人特徵、歷史、位置和其他因素的複雜混合。在數位世界,使用者的身分由部分或全部三個驗證因素組成,這些驗證因素都以數位方式儲存在身分識別資料庫中。若要防止假冒者假冒真實使用者,電腦系統會根據身分識別資料庫檢查使用的身分。
「存取權限」意指使用者在登入後可以看見哪些資料以及他們可以執行哪些動作。John 登入電子郵件後,他可以看見自己傳送和接收的所有電子郵件。不過,他無法看見同事 Tracy 傳送和接收的電子郵件。
換言之,只因為驗證了使用者的身分,不代表他們就應該能夠在系統或網路內部存取任何想要的內容。例如,公司內低層級的員工應該能夠存取他們的公司電子郵件帳戶,但無法存取薪資記錄或機密人資資訊。
存取管理是控制和追蹤存取權限的流程。系統內部的每個使用者將根據其個別需求,在系統內有不同的權限。會計師確實需要存取和編輯薪資記錄,因此驗證他們的身分後,就能夠檢視和更新這些記錄,也能存取他們的電子郵件帳戶。
在雲端運算中,會遠端儲存並透過網際網路存取資料。因為使用者幾乎可以從任何位置和任何裝置連線至網際網路,所以大部分的雲端服務都不會驗證裝置和位置。使用者不再需要位於辦公室或公司擁有的裝置,就能存取雲端,實際上,遠距工作的員工越來越常見。
因此,身分識別 (而非網路周邊) 成為控制存取權限時最重要的一點。*使用者的身分 (而非裝置或位置) 決定了他們可以存取哪些雲端資料以及他們是否完全不可有任何存取權限。
若要理解身分識別如此重要的原因,以下提供了說明。假設有一個網路罪犯想要存取公司資料中心內的敏感檔案。在廣泛採用雲端運算之前,網路罪犯必須通過保護內部網路的公司防火牆,或是闖入建築物或賄賂內部員工,以實體方式存取伺服器。罪犯的主要目標會是通過網路周邊。
不過,透過雲端運算,敏感檔案儲存在遠端雲端伺服器中。因為公司員工需要存取檔案,他們會透過瀏覽器或應用程式登入以便存取。若網路罪犯想要存取檔案,現在他們需要的一切就是員工登入憑證 (例如使用者名稱和密碼) 以及網際網路連線;罪犯並不需要通過網路周邊。
IAM 可協助防止基於身分的攻擊和隨著權限升級 (若未獲授權的使用者具有太大的存取權限) 而來的資料外洩。因此,IAM 系統對於雲端運算和管理遠距團隊都十分重要。
*網路周邊意指內部網路的邊緣;這個虛擬邊界可分離安全、受管理的內部網路,以及不安全、未受控制的網際網路。辦公室中的所有電腦加上辦公室印表機等連線裝置,都處於此周邊內部,但位於世界各地資料中心內的遠端伺服器則非如此。
IAM 通常是使用者為了抵達組織雲端基礎結構的其餘部分,而必須通過的雲端服務。這也可以在內部網路進行組織的內部部署。最終,一些公用雲端廠商可能會將 IAM 與他們的其他服務組成配套。
使用多雲端或混合式雲端架構的公司可能會改用獨立的 IAM 廠商。從其他公用或私人雲端服務解耦 IAM,讓他們更有彈性:如果他們更換雲端廠商,仍然可以保留身分並存取資料庫。
身分識別提供者 (IdP) 是協助管理身分識別的產品或服務。IdP 通常會處理實際登入流程。單一登入 (SSO) 提供者適用於此類別。IdP 可以是 IAM 架構的一部分,但通常不會協助管理使用者存取權限。
作為服務的身分識別 (IDaaS) 是驗證身分的雲端服務。這是來自雲端廠商的 SaaS 方案,是一種部分委外身分管理的方式。在某些情況下,IDaaS 和 IdP 本質上可互換 – 但在其他情況下,IDaaS 廠商會在身分驗證和管理之外提供其他功能。根據 IDaaS 廠商提供的功能,IDaaS 可以是 IAM 架構的一部分,或者可以是整個 IAM 系統。
Zero Trust 安全性是一種模型,其嚴格驗證每個連接到私人網路上資源的用使用者和裝置的身分,無論使用者或裝置位於網路周邊內部還是外部。Zero Trust 與 IAM 密切交織在一起,因為它依賴於檢查身分和限制存取。
Zero Trust 使用多重要素驗證 (MFA),該驗證會檢查上面列出的兩個或三個身分因素,而不是只檢查一個身分因素。它還要求實作最低權限原則以進行存取控制。最重要的是,即使確認一個人的身分後,Zero Trust 仍然不會自動信任該人的動作。相反,會監控並單獨檢查每個請求是否存在受感染的活動。進一步瞭解 Zero Trust。
Cloudflare Access 是 IAM 產品,可監控使用者對 Cloudflare 代管的任何網域、應用程式或路徑的存取權限。這整合了 SSO 提供者,並允許管理員改變和自訂使用者權限。Cloudflare Access 可為公司場所內部員工和遠距工作員工協助強制執行安全性原則。
Cloudflare 可以部署在任何雲端基礎結構設定前,讓公司在多雲端或包括 IAM 提供者的混合式雲端部署方面有更大的彈性。