身份管理的核心,在於決定「誰」能夠存取什麼「資源」,
系統存取之初,即須先決定如何確認你是宣稱的合法使用者,
以及當前使用的帳號、憑據能夠存取到一定範圍 IT 系統資源。
在嚴謹的密碼學定義裡,一個安全、確保的身份認證元素需有:
傳統的帳號密碼認證,基本上都係僅有採用第一種機制,
因此帳號密碼的持有,就衍生冒用、盜用的情況,
當事者也可否認當前存取認證的行為動作,
進而造成合規性稽核的難題,即如何符合安全的「不可否認性」
因此雙因子認證 (Multi-factor authentication, MFA),
即從三個元素當中取二,無論是透過持有的物品 (token/智慧卡),
或是生物辨識特徵(指紋、臉部辨識)等,透過採用雙因子提升身份安全強度。
授權,牽涉的即為該用戶登入後能夠存取的系統資源,
在網路層的 L3/L4 概念而言,當 MAC / IP 都能抵達時,
基本上當認證機制成功後,用戶即能存取到該系統資源,
而進一步細膩的身份授權管控則包含:
在典型的 IT 場域裡,都會有目錄服務 (Directory)角色,
無論是 Active Directory 或是 Verify Directory,
在其上都會存放組織內、外重要的帳號、角色與授權群的資訊,
包含透過 LDAP 輕型目錄存取協定的基石,
背後搭配 SAML / OIDC / OAUth 等串接各個目錄、資源與帳號,
搭建起當前網際網路無所不在的 IT 系統存取與授權過程。
基於以上的 認證 (Authentication) 跟授權 (Authorization),
都係為了要滿足在 IT 系統使用過程最核心的安全原則,
即:問責制 (Accountability)
所以身份安全領域的核心目標,即為達成 AAA 的 Triple A 原則,
讓存取系統過程的記錄、稽核日誌與軌跡,都能有所追尋、溯源,
這亦即是現在各產業法規均共同要求滿足日誌保存與合規要求,
即是為了滿足每個系統活動都能有明確的稽核機制來確保事後稽查。
當前資安趨勢發展,從典型的閘道防護方案開始至今,
包含防火牆、IDS/IPS、DDOS防護設備等等,
開始拓展到這幾年的端點偵測與回應 NGAV/EDR,
到現在更多開始從「工具」層面」發展至身份安全的應用領域,
除了必須兼顧 IT 生產力效率外,也須合乎安全法規要求的規範。
因此在身份領域的發展與市場,也拓畫出幾塊核心領域工具,包含像是:
不同的領域工具,都特別針對部分的身份安全板塊,
提供了相應的機制與流程,提供給 IT 發展進程不同的各個組織,
按需挑選、導入與使用合宜的身份安全工具。