iT邦幫忙

2022 iThome 鐵人賽
DAY 20
0
Security

【 30 天成為 SIEM 達人】系列 第 20

Day 20: 寫在當下 - SIEM 與零信任 (身份端)

14th鐵人賽
1378 瀏覽

  • 分享至 

  • xImage
    •  

寫在開頭

昨天我們談到零信任 (Z.T.)策略在閘道端的應用,
介紹了關於零信任網路存取 (ZTNA) 機制,
透過閘道端防火牆+端點安全政策管控,
以及各項雲端存取服務保護 (SASE/CASB)機制,
達到網路層的安全存取保護與零信任概念實施。

今天零信任三重奏的的第二天,
我們來到在零信任的身份安全光譜,
介紹身份存取、認證、生命週期管理等應用,
如何透過身份管理的範疇落實:
永不信任、總是驗證 (Never trust always verify)。

身份存取與管理 (IAM)

身份存取與管理,
Identity access and management (IAM),
主要提供企業內部員工存取應用服務時,
或外部客戶登入網站服務或相關系統時,
進行認證 (Authentication) 與
授權 (Authorization) 的應用領域。

傳統認證機制以帳號密碼為主,
而當密碼存管、保存、更改、遺失的管理問題產生時,
更進一步的強因子認證機制 (MFA),
像是 FIDO/SMS/OTP...等強化認證機制。

或是為了整合企業資源使用,
以及企業身份資源管控的單一登入機制 (SSO),
讓所有企業各項資源的存取,
都能夠藉由單一登入達到統一控管與提升使用體驗。

而當滿足存取 (Access) 階段後,
再來就是管理企業整體的身份帳號生命週期管理,
稱為 Identity Governance 或身份治理。
除了管控使用者帳戶之外亦提供法規遵循依據。

最後則是有一定市場規模的特權帳號管理 (PAM),
針對關鍵系統的帳號密碼存管、連線代登,
或是高權限帳號密碼的存管與破窗帳號等等,
也都是在 IAM 的範疇之中。

IAM v.s. Z.T.

因此 IAM 的三大核心功能:
身份認證、身份治理與特權帳號,
即是能涵蓋企業身份帳號與資源管理的應用領域。

而在零信任概念裡,
除了網路閘道端的驗證之外,
亦包含身份與資料的零信任保護概念,
以下列舉幾項實務例子來說明 IAM with Z.T.

職責分離 (SoD)

職權分離 (Separation of duties) 分為兩個面向,
一方面是人員職務不應擔任多個角色、應有職務區隔。
例如開發人員與線上環境管理人員,職務與權限應有所區隔。

另一方面是單一帳號不應具備權限存取所有系統,
所以像傳統 VPN 機制即雖有防火牆區隔內、外部網路,
但一旦當用戶通過認證後,
即默認會相信該連線在特定網段屬於安全的連線,
進而無法更進一步限縮應用服務存取與身份識別。

最小權限原則 (Least Privilege)

透過職責分離機制所能達到的安全控管,
即是最小權限原則 (Least Privilege),
即每個用戶都均只有最小權限來進行系統防護,
僅需需要訪問他們最需要與最重要的資源,
同時限制不能存取其他的資源服務。

這樣的好處即是,如果該用戶憑證受到竊取,
或受到外部攻擊,該憑證僅能在一定小範圍內使用,
進而減緩整體資安事件的影響層級。

時效性的存取

Just-in-time 時效性保護,
即任何用戶或機器身份不應對關鍵資源具有永久、始終許可的訪問權限。
相反的,應該在每次建立連線時進行身份驗證,
在連接訪問資源的一定時間內授權會自動消失,
以確保相關請求訪問的身份每次都必須通過所需要的安全控制。

API Security

應用程序編程接口 (API),
是一種通過移動應用程序、雲和物聯網 (IoT) 等各種訪問資訊系統的方法。
API 允許公司客戶、合作夥伴或員工進行相關資源存取,
因此 API 已成為標準企業架構不可或缺的一部分,
但可能會提供可被黑客和外部開發人員利用的主要安全漏洞。

通常在大量使用 API 機制的環境,
都會透過 API Gateway 負責保護前端 API 並執行各種角色,
例如稽核、驗證和各項安全管控措施實施,
但 API Gateway 通常無法做出精細細粒度的授權決策,
因此 API Gateway 通常會提供標準介面,
使受保護的資源服務器能夠整合額外的認證機制,
來讓資源存取可以啟用更細粒度的授權決策。

SIEM with IAM

在 IAM 各個應用實例裡,
無論是職責分離、最小權限、時效存取與 API 保護,
都需要 IAM 相關工具進行規劃、部署於實施,
而在實施後,都需要藉由追蹤各項 Event/Log,
來即時監控整體組織的身份帳號存取情形,
並且結合企業閘道、端點等其他日誌來源,
進行一體式的整體威脅關聯與分析,
如此才能達到身份級別的威脅可視化顆粒度,
也才能將企業最容易遭到利用的身份憑證一環,
納入整體的威脅管理的範疇與監測中。

明日預告

這兩天我們就網路、身份進行零信任機制的介紹,
也分享關於 IAM 在存取、認證、授權與治理的內容,
也介紹各項 IAM 的實務應用如何具體落實零信任概念,
最後統一由 SIEM 進行整體威脅可視化與監控。

明天就是零信任三重奏的最後一篇,
關於「資料」與零信任概念的關聯,
一樣我們會先以資料層級的顆粒度,
看看我們在企業日常營運上的資料運用實務,
再看看零信任概念如何在資料層級的管控上落實。

CYBERSEC 2022 我在 B57 與邦友實體與空中相會。


上一篇
Day 19: 寫在當下 - SIEM 與零信任 (閘道端)
下一篇
Day 21: 寫在當下 - SIEM 與零信任 (資料端)
系列文
【 30 天成為 SIEM 達人】30
  1. 26
    Day 26: 寫在結束 - SIEM 基本介紹精華篇
  2. 27
    Day 27: 寫在結束 - SIEM 核心功能精華篇
  3. 28
    Day 28: 寫在結束 - SIEM 整合應用精華篇
  4. 29
    Day 29: 寫在結束 - SIEM 購買指南精華篇
  5. 30
    Day 30: 寫在結束 - 鐵人的感動與誌謝
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22200
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙