專訪One Identity：讓資安人員成為Yes Men 兼顧企業營運效能與安全最高原則

「大多數的企業員工，從資訊安全部門口中聽到的，多半是一連串的『不』，往往對業務部門造成程度不一的干擾，」One Identity副總裁暨亞太區總經理LENNIE TAN表示：「因此我們在年初舉辦一場長達半年，名為『IT Security say YES’的市場活動，透過我們的『身份與權限管理系統(Identity and Access Management, IAM)』，協助IT部門教育企業員工知道『可以』做哪些事情，甚至透過流程管理讓所有的資源存取管理都能夠自動化，讓資訊安全人員成為『yes man』！」

企業看待IAM系統的角度劇烈改變

這並不是一個新鮮的概念，事實上打從電腦被發展以來，就必須面臨「身份與權限管理系統(Identity and Access Management, IAM)」的需要，因此不論是Unix、Linux、Novell、Windows等系統，都會建立起自己的IAM，而IAM最主要的目的，便是「協助用戶端提供牢不可破的憑證，使其以正確的『人、權、時、地、物』存取網路資源」，可說是所有資訊安全的基礎。

因此，有一定員工人數規模，或是重視核心智慧財產權的企業，多半已經在內部網路建立了IAM平台，「然而隨著企業網路架構不斷變遷，從主從式架構到雲端、從行動網路到混合雲等等，企業客戶也必須不斷更新IAM平台架構。」LENNIE TAN談到：「有趣的是，有8成的企業客戶為新環境建立新的IAM方案時，不會使用原來的廠商，而是使用新世代的語言所建立的IAM方案。畢竟過去使用IBM或Oracle的IAM平台，可能也不適用於現在的環境。」

另一方面，現在的企業客戶選擇IAM的考量也有所不同，「過去在建置IAM平台時，講究所有IAM功能完備，與其他企業應用系統高度整合，大約需要12個月；但現在建置IAM平台時更重視部署時間要短，「倘若還是花費一年多來建置IAM平台，那麼建置完成的那一天，企業的應用服務大概已經改了好幾版。」LENNIE TAN笑道：「企業往往不要求第一時間要完成系統整合，若IAM系統有任何警訊，客戶也接受用電子郵件通知管理者的方式，只要能夠在隨後的工作流程中更新狀態記錄就可以了。」

資深新生：One Identity

Gartner研究副總Gregg Kreizman在2016年IAM大會中表示：「有63%的客戶將在未來兩年取代現有的IAM方案技術，最主要的理由，是因為網路技術環境『改變』了，現有方案無法滿足所需。」

這呼應了LENNIE TAN的說法，也不諱言甫在2017年獨立成軍的One Identity亦看中了IAM市場的機會。One Identity正式成立的時間雖短，但卻可稱之為「資深新生」。

「雖然One Identity在2017年6月才正式獨立，但其前身Quest Software卻早在2010年併購Voelcker後投入IAM市場，並在2012年被戴爾軟體事業群(Dell Software Group, DSG)所併購。」

但Quest Software在DSG裡未能得到足夠的關注，因此當DSG併購EMC與VMware之後，便在2016年將Quest Software賣給私人基金Francisco Partners(FP)與Elliot Management(EM)，並在2017年獨立為One Identity，在愚人節當天設立官方網站，但這並不是一個玩笑，某方面可說是Quest Software的重生。

「One Identity在IAM市場上約營運8、9年，擁有超過7,000名客戶，營業額達2.2億美元，年成長達29%，是相當值得信賴的品牌。」LENNIE TAN強調One Identity之所以堅持獨立出來，是希望能夠專注於IAM方案產品。「從Quest Software時代開始，One Identity的產品就是以微軟Active Directory(AD)平台為基礎，近年來更發展到混合雲身份認證產品。」

「事實上，One Identity的技術與產品，都是建構在Windows AD平台之上，」LENNIE TAN說到：「而且One Identity的Identity Manager產品都是在德國開發，因此和同國的SAP產品有很密切的合作關係，造就了One Identity在IAM市場獨特的領先地位。」

特權管理、存取管理與身份治理建構三大產品線

和其他IAM產品相比，One Identity不只是重視「特權管理(Privileged Management)」，而是能同時兼顧存取管理(Access Management)與身份治理(Identity Governance)，可說是相當完整的新世代IAM平台。

「之所以稱One Identity為新世代IAM平台，是因為我們許多產品功能是為混合雲環境所設計，」LENNIE TAN解釋道：「舉例來說，在存取管理方面有個稱之為Active Roles的應用，是一套執行PowerShell指令的圖形介面工具，可以同步管理企業網路AD與Azure AD的使用者與群組帳號。因為在微軟的官方工具中，企業網路AD與Azure AD分別屬於不同的管理介面，這對網管人員來說相當困擾。透過Active Roles，同步管理AD與Azure AD將十分容易。」

在身份治理方面，LENNIE TAN也談到這對擁有許多智慧財產權(IP)的公司來說格外重要，「透過Identity Manager – Dat a Governance Edition，可以橫跨企業內部網路上多部檔案與SharePoint伺服器，並清點所有檔案擁有權，避免因人員流動造成許多無主檔案遺留在伺服器裡，成為資料外洩漏洞。」

而特權管理功能更是One Identity的重頭戲，不但可以管理特權帳號如網路管理員、系統管理員等，甚至可以同步紀錄管理員的指令動作，並以事先定義的政策或人工介入中斷可疑的有害動作。再者，透過特權管理產品的Privileged Access Suite for Unix產品，不但可以管理Unix上的管理員帳號，甚至透過AD bridging的功能，也可以管理內部網路上的所有Mac使用者，這對現代化企業來說尤其重要。

內部入侵才是資安隱憂

在資訊安全業界中，邊界防禦固然重要，但真正造成重大損失的資安事件，往往來自於內部，除了因為內賊刻意的入侵之外，不當的帳號管理也成為駭客入侵從外部轉內部的最佳管道。One Identity以3大產品線協助企業在日益複雜的網路架構與各種應用系統中，妥善管理使用者帳號與存取管理，對企業的資安治理有相當程度的幫助。