在現今網路發達的資訊時代,每個人在每一天或多或少都會使用到各式各樣的資訊系統,像是使用電子郵件、瀏覽臉書,或是進行網路購物、線上拍賣,甚至是網路銀行等。基本上,每當使用者登入資訊系統,並且能夠存取資訊時,至少都會經過三個階段,首先是要確認使用者的身分,其次是系統會決定給予使用者的權限,最後則是留下驗證與授權的各項記錄,以確認是否符合相關政策與程序的要求。
在還沒有雲端服務之前,以上所提到的三個階段,幾乎都是在企業的內部環境中進行,由資訊部門自行來管控,並且互相協調網路、系統和使用的應用程式。但是隨著企業採用了雲端服務之後,這些作業方式就可能會跨出企業的邊界之外,改為由服務供應商來協助提供,而且隨著所採用的雲端服務模式與部署架構,有關身分驗證與存取管理的方式將變得複雜,同時也無法完全由企業內部的資訊部門來完全掌控。
提供身分驗證的安全機制
針對身分驗證與存取管理,業界普遍所提供的資安解決方案稱之為IAM(Identity and Access Management),在IAM之中至少會有三個層面是必須重視的,分別為驗證(Authentication)、授權(Authorization)及稽核(Auditing)。
在驗證方面,一旦使用者要求登入資訊系統時,必須要確認使用者或是提出要求登入的另一系統或應用程式的身分,所以將會採取一個身分驗證的流程。目前,資訊系統用來驗證身分的方式,不外乎有以下三種:
1. 你知(What you know) – 這是一種最常見,也是所有資訊系統幾乎都會內建的一種身分驗證方式,例如以使用者所知曉的帳號與密碼、約定的暗號及預先設好的問題答案等,這些都是可作為確認使用者身分的一種方式。
2. 你有(What you have) – 藉由使用者持有獨一無二的物件,作為識別身分的憑據,常見的像是身分證(ID card)、提款卡、電子憑證等,作為佐證來判定使用者的合法身分。
3. 你是(What you are) – 這是目前成本比較高昂,也是較難被破解的一種身分驗證方式,所採取的作法就是確認使用者的生物特徵,例如指紋、虹膜、視網膜、臉型、聲音、掌紋、指靜脈等。 以上所提到的身分驗證方式,無論是哪一種都可以作為獨立的驗證方法,但是如果能夠同時採取兩種以上的驗證方式,其安全強度將遠遠高於只採取一種的作法,這也就是俗稱的多因素驗證方式,可以有效降低冒用他人身分的情況發生。
在通過驗證之後,並不代表使用者即可完全掌控系統,必須還要依照其身分來賦予適當的安全權限,在這裡有一項資安原則是必須要遵循的,稱之為最小權限原則(principle of least privilege),也就是說對於使用者,只需要給予其作業所需的最小權限即可,而不是直接給予管理者或其他過大的權限。
無論使用者的身分是一般使用者或是系統管理者,在操作資訊系統的過程中,都必須要保留各項的記錄,以評估應如何適當控制其在合理的使用範圍內,並且可作為確認其是否遵守各項作業程序和政策要求,同時分析可能的安全事件,以降低系統所面臨的資安風險。
身分驗證的佈署方式
對傳統的資訊應用服務而言,在身分驗證方面採取的作法並不複雜,通常是在企業內部架設專屬的目務服務(Directory service)伺服器,並且設定各項存取政策(Policy),讓各個用戶端設備及使用者,可以連接企業內部的目錄服務,並且可提供給各項應用服務來使用,以減少重覆登入的情況,同時也可串接多重的身分認證來源。
在這種架構之下,即使某些目錄服務有可能位於外部供應商所提供的伺服器中,但通常這是為了避免進行身分驗證時的效能問題,而將目錄服務同步至此一伺服器上,並非由外向內來進行覆寫,在風險方面仍是可以掌控的。換句話說,傳統作法的身分驗證機制,通常都是位於獨立的伺服器上,但是對雲端服務而言,身分驗證的方式卻可能會來自於不同的來源,所需要的授權流程也將改為必須依照供應商所制訂的方式來進行。
企業在採取雲端服務之前,對於身分驗證和存取管理,有以下幾個要素是必須要事先考量的:
- 身分供應方式 – 對於採用公有雲端服務的企業來說,創建新的使用者和回收已開設的帳號,將是必要的作業流程,所以了解服務供應商是如何提供所需的使用者帳號,以及如何刪除不再使用的帳號,就是必要的功課,這也將有助於企業分析如何將現有的使用者管理方式,進一步延伸至雲端服務之中。
- 身分驗證方式 – 一旦企業開始採用雲端服務,如何確保所採用的身分驗證機制具有足夠的安全強度,避免受到外來的破解入侵,將是不可輕忽的重點,因此了解雲端供應商的身分驗證方式,包括是否採取了多因素驗證或憑證管理,才可判斷此項雲端服務能否符合企業對於安全的信任和期望。
- 身分管理聯盟 – 在雲端服務之中,有所謂的身分供應商(IdP)是可以提供企業和服務供應商之間所需的身分管理服務,這時候,了解身分供應商與服務供應商彼此的合作關係,以及對於身分生命週期的管理就顯得相當重要,企業也勢必要了解這種作法,是否可以有效保護系統的安全性,以及確保資料的機密性與完整性。
身分驗證與存取管理的建議
在CSA的雲端運算關鍵指南中,對於身分驗證和存取管理,提出了以下建議,可作為企業在採用雲端服務時的評估基準與參考:
1. 目前的雲端服務,藉由供應商所提供的身分驗證功能,可能無法完全滿足企業所需的功能要求,在這種情況之下,建議企業仍要避免採用獨特的身分連結與管理方式,否則將會增加身分管理的複雜性,以及未來無法易於遷移的問題。
2. 採取業界標準的身分連結方式是最好的,像是目前廣泛運用的SPML模式,如果供應商支援此一服務供應標記語言,將會降低身分管理的獨特性,必要時企業也需要修改其身分授權的資料庫,以便延伸至雲端服務之中。
3. 在身分證認方面,企業通常有兩種選擇,一種是採用企業認證,藉由身分驗證供應商所提供的服務,以聯盟方式來建立與雲端服務供應商的信任。另一種則是讓使用者以個人的名義,透過普遍應用的公有服務,像是Google、Yahoo、Windows live及Open ID等來建立可在多個網站使用的身分憑證。
4. 如果企業使用的是IaaS的基礎服務,為了達成伺服器的管理要求,利用VPN來建立專屬通道,會是較為簡易的驗證方式,若是直接透過應用程式進行相互連結,那麼採用SSL的加密協定是必要的作法,應該確保應用程式在一開始設計時,即具備可接受此一形式的身分驗證。
5. 隨著雲端服務愈來愈多,各項系統的身分驗證要求將形成企業運作的負擔,因此透過身分聯盟來減少登錄系統的要求是可行的作法,但要注意的是在不同的服務供應商之間,如何確保身分驗證的有效性,並提供所需的身分週期管理,將成為評估雲端服務供應商時的重要關鍵。
在雲端的環境之中,各項服務的應用都非常仰賴使用者的帳號和身分,一旦使用者的身分受到冒用或盜用,勢必對企業的營運和資訊安全會造成龐大衝擊,因此選擇具備一定強度以上的身分驗證方式,並事先了解可能面臨的安全風險,絕對是企業必要的功課之一,尤其是雲端服務很可能讓傳統的身分驗證變得更加複雜,並且產生以前所未知的資安風險,這是所有採取雲端服務的企業,務必要有的認知與挑戰。(本文刊載於2012年11月號網管人雜誌)
[參考資料]
CSA:Security Guidance for Critical Areas of Focus in Cloud Computing
沒有留言:
張貼留言