鐵人檔案
身份安全始終是資訊科技的基石,無論是最傳統的帳號 / 密碼,或是持續在熱度曝光的 FIDO 機制,都牽涉到身份認證 (Authentication)、授權 (Authorization)、資源保護與帳號權限與角色管,過程也牽涉到整體身份治理的全壽期管理,以及普遍導入的特權帳號管控等等,2024 年鐵人賽是投入賽事的第三年,從前面的 SIEM、DAM 到現在的 IAM,同時也代表在當前工作崗位的第三年學習累積,希望透過 30天 鐵人競賽分享在身份安全範疇的資安知識與經驗。
時光飛逝,很快就邁入第三屆鐵人競賽,抱持每年都應將新的技術成長收穫做整體輸出的期許,結合工作實際經歷跟資訊安全技術發展技術底層,也是對自己的一種全面性的輸入、輸...
身份管理的核心,在於決定「誰」能夠存取什麼「資源」,系統存取之初,即須先決定如何確認你是宣稱的合法使用者,以及當前使用的帳號、憑據能夠存取到一定範圍 IT 系統...
憑據 (Credential):泛指我們在系統存取過程使用可被信賴的元素,包含我們使用的帳號跟密碼或甚至更多的多因子認證機制等,繼昨日介紹的身份安全的 AAA...
資訊系統的運作,建立在我們信任這個系統的前提,在每個科技背後,除了品牌信心與安全的象徵之外,如果人們無法信賴它、使用它,並且放心的將資料放在其中,那即使再好的優...
IAM 的系統的關鍵任務就是驗證當前用戶的存取,當系統登入介面開始敲入帳號密碼時,就是最基本的認證的開始,意即身份認證 (Authentication) 是決定...
身份帳號扮演系統存取登入的第一道門隘,也同時因為資訊安全日新月異、層層保護,與其正規戰進攻,不如想方設法獲得合法身份憑據後,可能更是經濟成本比較低的替代做法。...
零信任策略在近年蔚為流行,其中針對身份安全的連線有基礎核心的改變,意即認證後完成的授權開始要求「時效性」、「限縮性」,屏除以往認證完就橫行無阻的情形,開始針對每...
傳統身份安全著重在認證、授權以及零信任策略的實施,但在最新的全球資料安全法規裡,針對「資料隱私」與「資料主權」的議題,也是在資訊安全合規性面向顯著關注的議題。...
典型 IAM 系統會具備資料庫或使用者目錄工具。該工具包含有關每個使用者是誰,以及他們可以在電腦系統中執行哪些操作的權限掌握。當身份用戶在不同系統穿梭使用時,I...
目錄服務(Directory)係身份安全的基礎架構,所有的身份帳號都存於目錄服務當中提供各式系統存取,目錄服務通常會有幾個核心元件: 資料庫軟體(內嵌或外掛)...
