================================================================= ※文章歡迎轉寄、引用，唯敝人希望註明來自PTT MIS版，以達推廣之效※ ================================================================= 不才小弟又來做些分享，本次要介紹的系統是IDM系統 即 IDentity Management (IDM)，一般中譯是身分帳號管理。 其實這類系統概念非常簡單，身為一位系統管理者， 若是在比較有規模的IT環境中，你會發現要管理帳號還真不是件容易的事情。 經常發現的情形是： 1. 員工離職了，帳號卻還留在系統中。 2. 員工到職了，花了將近一、二周時間才開齊所有帳號。 (出勤系統、Email、Domain...etc) 3. 進行清查時，許多帳號不知道是誰的 (大部分情況也不敢刪掉, 因為也許有某個AP綁這個帳號再跑) 4. 存在非經過申請而建立的帳號 5. 帳號清查費時耗力 OK，那麼基於以上幾點，帳號的管理就變成一項很重要的議題， 當然妥善的帳號管理也是資安中的重要一環。 那麼針對以上五點，於是乎IDM系統就誕生了，這類系統可以做到： 1. 收納所有帳號(包含OS、DB、AP*、甚至設備的帳號*)，並建立 透過此系統每個帳號的對應關係(帳號皆應有帳號保管人) 2. 透過此系統，集中控管所有系統的帳號建立/異動/刪除 3. 透過此系統清查所有系統上的帳號 ※AP、設備帳號大多需要一些客製化的處理 導入這種系統的好處，舉例如： 1. 員工到職、離職、調職時，只需要在IDM系統上進行調整， 譬如IT員工到職，在IDM系統上建立此員工的"身分"，並分配所屬單位為IT， IDM系統即會代勞將所有隸屬IT人員應該有的帳號一一建立。 如：網域系統帳號、出缺勤系統帳號、公文系統、或者業管內的主機帳號等等 譬如財務人員離職，即會透過IDM系統將此人員所屬的帳號全數刪除/停用。 譬如SP轉調為AP，即將SP業管系統帳號做刪除，並建立AP業管的系統帳號。 2. 清查帳號自動化 一般來說，透過Agent/Agentless方式，自動於OS/DB/AP/Devices撈取現有帳號 然後作核對(Reconciliation)，一方面核對實際在系統上的帳號狀況是否與 IDM系統擁有的紀錄相符，可清查出是否有私下建立(非透過IDM)的帳號。 以及找出所謂的孤兒(Orphan)帳號，簡單說就是無主冤魂，該帳號沒有在IDM 上登記保管人。 這點對於有導入 ISO 27001 標準的IT單位相當實用，一般的帳號清查必須 半年執行一次，每次都是勞師動眾且經常有錯誤(尤其在規模大的IT環境) 而且也經常被稽核單位質疑人為清查的可信度及可靠度。 所以這個系統對於IT Compliance在帳號管理及清查這塊非常好用的。 好，那麼接下來就介紹一下市面上常見的IDM系統 Oracle Identity Manager IBM Tivoli Identity Manager CA Identity Manager Novell Identity Manager (NetIQ) 這類系統的概念非常好，但實務上缺點也不少，如： 1. 需要高度的客製化 就像上面提到的AP、Devices的帳號需要透過客製化來集中到IDM系統中。 另外還有Workflow，一般IDM上是有簡單的Workflow可使用， 但台灣用戶經常會依組織文化不同，而有許多申請審核的規矩。 如OS要建個Windows帳號，第一要向資安管制單位提出申請， 然後照會該系統的保管單位(可能是連線管理科、業務處理科) 一關關的審核 + 層層的申請流程，往往不是IDM系統預設能達成， 此時就非常需要客製化來滿足以上需求。 2. 清查帳號的自動化處理 一般來說系統預設就是把帳號拉回來做比對，遇到孤兒帳號，就出報表， 或者套用簡單的workflow先分派給某個暫時的保管人， 但實際上，客戶會要求主機要能區分業務類別，並將各系統的孤兒帳號 "自動"轉遞給該業務的承辦人，此時 系統主機 跟 業務承辦 的對應關係， 就必須要想一套機制來建立對應，這段客製化的功夫也不小。 3. 費用高昂 看到Oracle 、IBM 大概就曉得授權費用不便宜， 在施作的技術難度上，又有高度的客製化須處理， 其實做起來真的不容易。 坦白說在Enterprise IT Solution中，這樣的情形常見， 就是有個很棒的管理概念，但實務上要落實卻是困難重重， IDM就是一個例子，當然之前舉的DLP也是一個例子。 所以資安這塊解決方案的施作，除了技術部分，也還有許多 實務上的議題要克服，只要是有在Vendor(廠商)待過的朋友，相信多少都會 體驗到這類問題，也就考驗著資安顧問與產品使用者的溝通、協商和調解能力了。 ================================================================= ※文章歡迎轉寄、引用，唯敝人希望註明來自PTT MIS版，以達推廣之效※ ================================================================= -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 175.182.129.69 ※ 編輯: coflame 來自: 175.182.129.69 (12/03 22:18)