存取控制
存取控制的核心觀念:
主體存取客體 必須受過 安全核心(I + 3A)的管制
I + 3A 模型解釋:
在資安領域中,I 代表 Identity(身份),具體指的是實體身份的唯一標識,例如用戶的帳號或憑證。在考試或實務中,I 部分特別強調帳號管理的重要性。因為只要有帳號,就會延伸出後續的 3A 功能。
3A 主要包含三個關鍵功能:
Authentication(驗證身份): 確認主體是否真的如其所宣稱的那樣,通常透過密碼、生物辨識(例如指紋或臉部辨識)或多因素驗證來進行身份驗證。
Authorization(檢查授權): 在身份被驗證之後,檢查該主體是否擁有執行某些操作的權限。例如,某個用戶是否有權限訪問特定的資料夾或操作敏感的功能。
Accounting(記錄行為): 將主體的操作行為完整地記錄下來,形成可追溯的日誌,以便在事後進行審計或排查安全問題。
操作流程:
在實際執行中,主體會先向安全核心(Security Kernel)宣稱「我是誰」(Identity),並將信物(Authenticator,例如密碼、指紋或憑證)提供給安全核心進行驗證。安全核心通過驗證後,根據主體的授權範圍執行對應操作,並將所有行為詳細記錄下來。
Identity Management(身份管理)
身份管理是一個涵蓋實體身份定義、建立、驗證和管理的過程,涉及人員、組織、設備甚至自動化過程等各類實體。這些實體無論是在實體世界還是數位空間中,都需要擁有一個可識別的身份,以確保可以被系統正確區分和授權。
什麼是實體?
實體可以是以下任何一種:
- 個人(人): 如用戶、員工、客戶等。
- 組織: 如公司、機構或部門。
- 設備: 如伺服器、個人電腦、行動裝置、物聯網裝置等。
- 過程: 如自動化腳本、應用程式執行的程式或 API 調用。
任何具有需要被識別和管理的身份屬性的主體,都可以被視為一個實體。
身份的定義
根據 NIST SP 800-161 的定義,身份是「可識別實體的屬性值集合(即特徵),並且足以將該實體與其他實體區分開來。」
- 這意味著身份不僅僅是一個名稱或帳號,而是一系列特徵的集合,例如:
- 用戶名(Username)
- 電子郵件(Email Address)
- 生物辨識特徵(Biometric Traits,例如指紋、虹膜)
- 唯一設備識別碼(如 MAC 地址、IMEI)
身份管理的核心職責
身份管理系統的主要目標是確保實體的身份能夠被準確地記錄、驗證並授權。其核心職責包括:
- 身份創建(Provisioning): 為新實體分配唯一身份屬性,建立身份檔案。
- 身份驗證(Authentication): 驗證實體是否如其所聲稱,通常通過密碼、多因子驗證、生物辨識等方式完成。
- 身份同步與維護: 確保身份資訊在不同系統中一致並且定期更新,例如角色的變更、屬性的修改等。
- 身份回收(De-provisioning): 當實體不再需要使用系統或服務時,移除其身份,防止潛在的未授權存取。
身份管理的重要性
身份管理是資訊安全的基石,確保只有經過驗證並授權的實體才能存取資源。這不僅減少未授權存取的風險,還有助於遵循如 GDPR、ISO 27001 等法規要求,實現可追蹤和合規的操作。
透過有效的身份管理,組織能夠實現以下目標:
- 提升存取控制的安全性和準確性。
- 改善用戶體驗(例如自動化的身份驗證流程)。
- 降低因身份誤用造成的安全事件風險。
- 確保數位資產的完整性和機密性。
身份管理的核心:帳號管理
身份管理(Identity Management, IdM)的核心目標就是帳號的管理。透過對實體身份的建立、驗證與管理,確保實體能夠安全、合規地存取資源和系統。這種管理涵蓋了從帳號的初始創建到生命週期結束的完整流程。
OASIS 制定的相關標準與協議
OASIS(Organization for the Advancement of Structured Information Standards)作為身份管理領域的重要標準制定機構,提出了多項協議,協助組織實現標準化的身份與存取管理:
- SPML(Service Provisioning Markup Language):
- 用於自動化服務供應和帳號配置。
- 幫助企業在多個系統間同步用戶身份資訊,減少手動操作。
- SAML(Security Assertion Markup Language):
- 提供跨系統的單一登入(Single Sign-On, SSO)能力。
- 將身份資訊封裝成「聲明」,在不同應用間傳遞,實現身份共享。
- XACML(eXtensible Access Control Markup Language):
- 用於定義和執行細粒度的存取控制策略。
- 允許根據多種屬性(如角色、位置、時間)來判斷是否授予存取權限。
Credential(憑證)概念:身份與信物的結合
Credential = Identity(身份)+ Authenticator(信物)
- 身份(Identity): 定義實體是誰(例如用戶名、帳號、電子郵件)。
- 信物(Authenticator): 驗證實體身份的方式(例如密碼、生物辨識、一次性驗證碼)。
憑證的組合確保實體不僅可被識別,還能被驗證為真實的持有者。
Identity Management (IdM) 的關鍵概念與應用
User Life Cycle(用戶生命週期):
- 用戶帳號的全生命週期管理,包括創建(Onboarding)、角色變更(Role Update)、停用(Offboarding)。
- 每個階段都需要確保正確的身份驗證和授權機制。
Identity Proofing(身份驗證):
- 初次建立身份時,對用戶或實體身份的真實性進行驗證,例如 KYC(Know Your Customer)。
- 方法包括文件核實(例如護照、身分證)或多因素驗證。
ID Cards(身份卡):
- 實體身份的具體表現形式,例如智慧卡、RFID 卡或數位身份憑證。
- 結合生物辨識技術,提高安全性。
Service Provisioning(服務供應):
- 為用戶或實體配置適當的資源與權限,例如為新員工分配電子郵件帳號或文件系統存取權限。
- 自動化的服務供應可以提升效率並減少錯誤。
身份管理的挑戰與目標
挑戰:
- 隨著組織規模擴大,身份數據的管理變得複雜。
- 多系統整合中可能出現數據不一致或同步失敗的問題。
目標:
- 提供一致且可靠的身份驗證與授權機制。
- 確保用戶體驗簡化(如 SSO),同時維持高安全性。
- 符合法規要求(如 GDPR、ISO 27001)。
今天就先寫到這了
以下列出一些參考資源的連結
OASIS 官方網站:
- OASIS 是制定多項身份管理標準的組織,包括 SAML、SPML 和 XACML。 您可以在其官方網站上找到相關標準的詳細資訊。
- 網址:https://www.oasis-open.org/
NIST(美國國家標準與技術研究院):
- NIST 提供關於身份管理和安全的指南和標準,例如 NIST SP 800-161。
- 網址:https://www.nist.gov/
Cloudflare 的憑證生命週期管理:
- Cloudflare 提供關於憑證生命週期管理的解決方案和最佳實踐。
- 網址:https://www.cloudflare.com/zh-tw/application-services/solutions/certificate-lifecycle-management/
DigiCert 的憑證管理常見問題集:
- DigiCert 提供關於憑證生命週期管理的常見問題解答,涵蓋憑證管理的各個方面。
- 網址:https://www.digicert.com/tw/faq/certificate-management/what-is-certificate-management
iT 邦幫忙的身份管理文章:
- iT 邦幫忙網站上有多篇關於身份管理的文章,涵蓋身份驗證、授權和帳號管理等主題。
- 網址:https://ithelp.ithome.com.tw/articles/10346777