作者coflame (吾养吾浩然之气)
看板MIS
标题[活动] 帐号管理 Identity Management (IDM)
时间Tue Dec 3 22:15:13 2013
=================================================================
※文章欢迎转寄、引用,唯敝人希望注明来自PTT MIS版,以达推广之效※
=================================================================
不才小弟又来做些分享,本次要介绍的系统是IDM系统
即
IDentity
Management (IDM),一般中译是身分帐号管理。
其实这类系统概念非常简单,身为一位系统管理者,
若是在比较有规模的IT环境中,你会发现要管理帐号还真不是件容易的事情。
经常发现的情形是:
1. 员工离职了,帐号却还留在系统中。
2. 员工到职了,花了将近一、二周时间才开齐所有帐号。
(出勤系统、Email、Domain...etc)
3. 进行清查时,许多帐号不知道是谁的
(大部分情况也不敢删掉, 因为也许有某个AP绑这个帐号再跑)
4. 存在非经过申请而建立的帐号
5. 帐号清查费时耗力
OK,那麽基於以上几点,帐号的管理就变成一项很重要的议题,
当然妥善的帐号管理也是资安中的重要一环。
那麽针对以上五点,於是乎IDM系统就诞生了,这类系统可以做到:
1. 收纳所有帐号(包含OS、DB、AP*、甚至设备的帐号*),并建立
透过此系统每个帐号的对应关系(帐号皆应有帐号保管人)
2. 透过此系统,集中控管所有系统的帐号建立/异动/删除
3. 透过此系统清查所有系统上的帐号
※AP、设备帐号大多需要一些客制化的处理
导入这种系统的好处,举例如:
1. 员工到职、离职、调职时,只需要在IDM系统上进行调整,
譬如IT员工到职,在IDM系统上建立此员工的"身分",并分配所属单位为IT,
IDM系统即会代劳将所有隶属IT人员应该有的帐号一一建立。
如:网域系统帐号、出缺勤系统帐号、公文系统、或者业管内的主机帐号等等
譬如财务人员离职,即会透过IDM系统将此人员所属的帐号全数删除/停用。
譬如SP转调为AP,即将SP业管系统帐号做删除,并建立AP业管的系统帐号。
2. 清查帐号自动化
一般来说,透过Agent/Agentless方式,自动於OS/DB/AP/Devices捞取现有帐号
然後作核对(Reconciliation),一方面核对实际在系统上的帐号状况是否与
IDM系统拥有的纪录相符,可清查出是否有私下建立(非透过IDM)的帐号。
以及找出所谓的孤儿(Orphan)帐号,简单说就是无主冤魂,该帐号没有在IDM
上登记保管人。
这点对於有导入 ISO 27001 标准的IT单位相当实用,一般的帐号清查必须
半年执行一次,每次都是劳师动众且经常有错误(尤其在规模大的IT环境)
而且也经常被稽核单位质疑人为清查的可信度及可靠度。
所以这个系统对於IT Compliance在帐号管理及清查这块非常好用的。
好,那麽接下来就介绍一下市面上常见的IDM系统
Oracle Identity Manager
IBM Tivoli Identity Manager
CA Identity Manager
Novell Identity Manager (NetIQ)
这类系统的概念非常好,但实务上缺点也不少,如:
1. 需要高度的客制化
就像上面提到的AP、Devices的帐号需要透过客制化来集中到IDM系统中。
另外还有Workflow,一般IDM上是有简单的Workflow可使用,
但台湾用户经常会依组织文化不同,而有许多申请审核的规矩。
如OS要建个Windows帐号,第一要向资安管制单位提出申请,
然後照会该系统的保管单位(可能是连线管理科、业务处理科)
一关关的审核 + 层层的申请流程,往往不是IDM系统预设能达成,
此时就非常需要客制化来满足以上需求。
2. 清查帐号的自动化处理
一般来说系统预设就是把帐号拉回来做比对,遇到孤儿帐号,就出报表,
或者套用简单的workflow先分派给某个暂时的保管人,
但实际上,客户会要求主机要能区分业务类别,并将各系统的孤儿帐号
"自动"转递给该业务的承办人,此时 系统主机 跟 业务承办 的对应关系,
就必须要想一套机制来建立对应,这段客制化的功夫也不小。
3. 费用高昂
看到Oracle 、IBM 大概就晓得授权费用不便宜,
在施作的技术难度上,又有高度的客制化须处理,
其实做起来真的不容易。
坦白说在Enterprise IT Solution中,这样的情形常见,
就是有个很棒的管理概念,但实务上要落实却是困难重重,
IDM就是一个例子,当然之前举的DLP也是一个例子。
所以资安这块解决方案的施作,除了技术部分,也还有许多
实务上的议题要克服,只要是有在Vendor(厂商)待过的朋友,相信多少都会
体验到这类问题,也就考验着资安顾问与产品使用者的沟通、协商和调解能力了。
=================================================================
※文章欢迎转寄、引用,唯敝人希望注明来自PTT MIS版,以达推广之效※
=================================================================
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 175.182.129.69
※ 编辑: coflame 来自: 175.182.129.69 (12/03 22:18)
1F:推 trumpete:来人! 快准备个VIP房 茶点、小妹 伺候C大大 先 12/04 16:06
2F:推 zhucc:推一下 12/04 22:40