[活動] 帳號管理 Identity Management (IDM)

看板MIS (IT資訊人員)作者coflame (吾養吾浩然之氣)時間11年前 (2013/12/03 22:15)推噓2(2推 0噓 0→)

留言2則, 2人參與討論串1/1

================================================================= ※文章歡迎轉寄、引用，唯敝人希望註明來自PTT MIS版，以達推廣之效※ ================================================================= 不才小弟又來做些分享，本次要介紹的系統是IDM系統即 IDentity Management (IDM)，一般中譯是身分帳號管理。其實這類系統概念非常簡單，身為一位系統管理者，若是在比較有規模的IT環境中，你會發現要管理帳號還真不是件容易的事情。經常發現的情形是： 1. 員工離職了，帳號卻還留在系統中。 2. 員工到職了，花了將近一、二周時間才開齊所有帳號。 (出勤系統、Email、Domain...etc) 3. 進行清查時，許多帳號不知道是誰的 (大部分情況也不敢刪掉, 因為也許有某個AP綁這個帳號再跑) 4. 存在非經過申請而建立的帳號 5. 帳號清查費時耗力 OK，那麼基於以上幾點，帳號的管理就變成一項很重要的議題，當然妥善的帳號管理也是資安中的重要一環。那麼針對以上五點，於是乎IDM系統就誕生了，這類系統可以做到： 1. 收納所有帳號(包含OS、DB、AP*、甚至設備的帳號*)，並建立透過此系統每個帳號的對應關係(帳號皆應有帳號保管人) 2. 透過此系統，集中控管所有系統的帳號建立/異動/刪除 3. 透過此系統清查所有系統上的帳號 ※AP、設備帳號大多需要一些客製化的處理導入這種系統的好處，舉例如： 1. 員工到職、離職、調職時，只需要在IDM系統上進行調整，譬如IT員工到職，在IDM系統上建立此員工的"身分"，並分配所屬單位為IT， IDM系統即會代勞將所有隸屬IT人員應該有的帳號一一建立。如：網域系統帳號、出缺勤系統帳號、公文系統、或者業管內的主機帳號等等譬如財務人員離職，即會透過IDM系統將此人員所屬的帳號全數刪除/停用。譬如SP轉調為AP，即將SP業管系統帳號做刪除，並建立AP業管的系統帳號。 2. 清查帳號自動化一般來說，透過Agent/Agentless方式，自動於OS/DB/AP/Devices撈取現有帳號然後作核對(Reconciliation)，一方面核對實際在系統上的帳號狀況是否與 IDM系統擁有的紀錄相符，可清查出是否有私下建立(非透過IDM)的帳號。以及找出所謂的孤兒(Orphan)帳號，簡單說就是無主冤魂，該帳號沒有在IDM 上登記保管人。這點對於有導入 ISO 27001 標準的IT單位相當實用，一般的帳號清查必須半年執行一次，每次都是勞師動眾且經常有錯誤(尤其在規模大的IT環境) 而且也經常被稽核單位質疑人為清查的可信度及可靠度。所以這個系統對於IT Compliance在帳號管理及清查這塊非常好用的。好，那麼接下來就介紹一下市面上常見的IDM系統 Oracle Identity Manager IBM Tivoli Identity Manager CA Identity Manager Novell Identity Manager (NetIQ) 這類系統的概念非常好，但實務上缺點也不少，如： 1. 需要高度的客製化就像上面提到的AP、Devices的帳號需要透過客製化來集中到IDM系統中。另外還有Workflow，一般IDM上是有簡單的Workflow可使用，但台灣用戶經常會依組織文化不同，而有許多申請審核的規矩。如OS要建個Windows帳號，第一要向資安管制單位提出申請，然後照會該系統的保管單位(可能是連線管理科、業務處理科) 一關關的審核 + 層層的申請流程，往往不是IDM系統預設能達成，此時就非常需要客製化來滿足以上需求。 2. 清查帳號的自動化處理一般來說系統預設就是把帳號拉回來做比對，遇到孤兒帳號，就出報表，或者套用簡單的workflow先分派給某個暫時的保管人，但實際上，客戶會要求主機要能區分業務類別，並將各系統的孤兒帳號 "自動"轉遞給該業務的承辦人，此時系統主機跟業務承辦的對應關係，就必須要想一套機制來建立對應，這段客製化的功夫也不小。 3. 費用高昂看到Oracle 、IBM 大概就曉得授權費用不便宜，在施作的技術難度上，又有高度的客製化須處理，其實做起來真的不容易。坦白說在Enterprise IT Solution中，這樣的情形常見，就是有個很棒的管理概念，但實務上要落實卻是困難重重， IDM就是一個例子，當然之前舉的DLP也是一個例子。所以資安這塊解決方案的施作，除了技術部分，也還有許多實務上的議題要克服，只要是有在Vendor(廠商)待過的朋友，相信多少都會體驗到這類問題，也就考驗著資安顧問與產品使用者的溝通、協商和調解能力了。 ================================================================= ※文章歡迎轉寄、引用，唯敝人希望註明來自PTT MIS版，以達推廣之效※ ================================================================= -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 175.182.129.69 ※ 編輯: coflame 來自: 175.182.129.69 (12/03 22:18)