謝至恩「大多數的企業員工,從資訊安全部門口中聽到的,多半是一連串的『不』,往往對業務部門造成程度不一的干擾,」One Identity 副總裁暨亞太區總經理 LENNIE TAN 表示:「因此我們在年初舉辦一場長達半年,名為『IT Security say YES’ 的市場活動,透過我們的『身份與權限管理系統 (Identity and Access Management, IAM)』,協助 IT 部門教育企業員工知道『可以』做哪些事情,甚至透過流程管理讓所有的資源存取管理都能夠自動化,讓資訊安全人員成為『yes man』!」
本文目錄
企業看待 IAM 系統的角度劇烈改變
這並不是一個新鮮的概念,事實上打從電腦被發展以來,就必須面臨「身份與權限管理系統 (Identity and Access Management, IAM)」的需要,因此不論是 Unix 、 Linux 、 Novell 、 Windows 等系統,都會建立起自己的 IAM,而 IAM 最主要的目的,便是「協助用戶端提供牢不可破的憑證,使其以正確的『人、權、時、地、物』存取網路資源」,可說是所有資訊安全的基礎。
因此,有一定員工人數規模,或是重視核心智慧財產權的企業,多半已經在內部網路建立了 IAM 平台,「然而隨著企業網路架構不斷變遷,從主從式架構到雲端、從行動網路到混合雲等等,企業客戶也必須不斷更新 IAM 平台架構。」LENNIE TAN 談到:「有趣的是,有 8 成的企業客戶為新環境建立新的 IAM 方案時,不會使用原來的廠商,而是使用新世代的語言所建立的 IAM 方案。畢竟過去使用 IBM 或 Oracle 的 IAM 平台,可能也不適用於現在的環境。」
另一方面,現在的企業客戶選擇 IAM 的考量也有所不同,「過去在建置 IAM 平台時,講究所有 IAM 功能完備,與其他企業應用系統高度整合,大約需要 12 個月;但現在建置 IAM 平台時更重視部署時間要短,「倘若還是花費一年多來建置 IAM 平台,那麼建置完成的那一天,企業的應用服務大概已經改了好幾版。」LENNIE TAN 笑道:「企業往往不要求第一時間要完成系統整合,若 IAM 系統有任何警訊,客戶也接受用電子郵件通知管理者的方式,只要能夠在隨後的工作流程中更新狀態記錄就可以了。」
資深新生:One Identity
Gartner 研究副總 Gregg Kreizman 在 2016 年 IAM 大會中表示:「有 63% 的客戶將在未來兩年取代現有的 IAM 方案技術,最主要的理由,是因為網路技術環境『改變』了,現有方案無法滿足所需。」
這呼應了 LENNIE TAN 的說法,也不諱言甫在 2017 年獨立成軍的 One Identity 亦看中了 IAM 市場的機會。 One Identity 正式成立的時間雖短,但卻可稱之為「資深新生」。
「雖然 One Identity 在 2017 年 6 月才正式獨立,但其前身 Quest Software 卻早在 2010 年併購 Voelcker 後投入 IAM 市場,並在 2012 年被戴爾軟體事業群 (Dell Software Group, DSG) 所併購。」
但 Quest Software 在 DSG 裡未能得到足夠的關注,因此當 DSG 併購 EMC 與 VMware 之後,便在 2016 年將 Quest Software 賣給私人基金 Francisco Partners(FP) 與 Elliot Management(EM),並在 2017 年獨立為 One Identity,在愚人節當天設立官方網站,但這並不是一個玩笑,某方面可說是 Quest Software 的重生。
「One Identity 在 IAM 市場上約營運 8 、 9 年,擁有超過 7,000 名客戶,營業額達 2.2 億美元,年成長達 29%,是相當值得信賴的品牌。」LENNIE TAN 強調 One Identity 之所以堅持獨立出來,是希望能夠專注於 IAM 方案產品。「從 Quest Software 時代開始,One Identity 的產品就是以微軟 Active Directory(AD) 平台為基礎,近年來更發展到混合雲身份認證產品。」
「事實上,One Identity 的技術與產品,都是建構在 Windows AD 平台之上,」LENNIE TAN 說到:「而且 One Identity 的 Identity Manager 產品都是在德國開發,因此和同國的 SAP 產品有很密切的合作關係,造就了 One Identity 在 IAM 市場獨特的領先地位。」
特權管理、存取管理與身份治理建構三大產品線
和其他 IAM 產品相比,One Identity 不只是重視「特權管理 (Privileged Management)」,而是能同時兼顧存取管理 (Access Management) 與身份治理 (Identity Governance),可說是相當完整的新世代 IAM 平台。
「之所以稱 One Identity 為新世代 IAM 平台,是因為我們許多產品功能是為混合雲環境所設計,」LENNIE TAN 解釋道:「舉例來說,在存取管理方面有個稱之為 Active Roles 的應用,是一套執行 PowerShell 指令的圖形介面工具,可以同步管理企業網路 AD 與 Azure AD 的使用者與群組帳號。因為在微軟的官方工具中,企業網路 AD 與 Azure AD 分別屬於不同的管理介面,這對網管人員來說相當困擾。透過 Active Roles,同步管理 AD 與 Azure AD 將十分容易。」
在身份治理方面,LENNIE TAN 也談到這對擁有許多智慧財產權 (IP) 的公司來說格外重要,「透過 Identity Manager – Dat a Governance Edition,可以橫跨企業內部網路上多部檔案與 SharePoint 伺服器,並清點所有檔案擁有權,避免因人員流動造成許多無主檔案遺留在伺服器裡,成為資料外洩漏洞。」
而特權管理功能更是 One Identity 的重頭戲,不但可以管理特權帳號如網路管理員、系統管理員等,甚至可以同步紀錄管理員的指令動作,並以事先定義的政策或人工介入中斷可疑的有害動作。再者,透過特權管理產品的 Privileged Access Suite for Unix 產品,不但可以管理 Unix 上的管理員帳號,甚至透過 AD bridging 的功能,也可以管理內部網路上的所有 Mac 使用者,這對現代化企業來說尤其重要。
內部入侵才是資安隱憂
在資訊安全業界中,邊界防禦固然重要,但真正造成重大損失的資安事件,往往來自於內部,除了因為內賊刻意的入侵之外,不當的帳號管理也成為駭客入侵從外部轉內部的最佳管道。 One Identity 以 3 大產品線協助企業在日益複雜的網路架構與各種應用系統中,妥善管理使用者帳號與存取管理,對企業的資安治理有相當程度的幫助。