當提到身份識別和存取時,多數 IT 人員首先想到的是身份驗證。如果再深入一點,就會想到使用者帳戶的配置。這就牽涉到一個人們不常談論,卻又棘手的問題 ── 密碼
密碼是一個簡單的工作流程,也是防止未經授權使用者存取資源的基石。由八到十二個字元和數字的組合(如果想讓密碼更難破解的話,還可以再多一點),就是有心人士與重要業務資料、敏感的個人資料之間唯一的一道防線。
但⋯⋯光是這樣夠了嗎?在回答這個問題之前,請先思考一下下面的統計數字所代表的意義,然後繼續閱讀,了解為什麼 IAM 在企業內建立身分識別和存取工作流程時,扮演如此重要的角色。
「2021 年,三分之一 (29%) 的企業中,至少有一名使用者遭受網路釣魚攻擊。」 - Jamf Threat Labs
為什麼 IAM 如此重要
在現代威脅環境下,光是一組強大的密碼是不足以有效地保護資源的。當然問,密碼還是十分重要的,但就如上述統計所指出的,近三分之一的企業中,至少有一名授權使用者淪為網路釣魚攻擊的受害者。這也就這表著,不管受影響使用者的密碼有多長,也無論實施了哪些密碼策略來改善密碼弱點,如果使用者只是簡單地交出憑證,這些做法都無法阻止未經授權的存取。
要解決這個問題,以及其他影響存取管理和使用者身份驗證的安全挑戰,身分識別和存取管理解決方案就必須與安全系統相結合。畢竟,不論是管理還是安全性工作流程,兩者都旨在確保企業組織資源的安全,因此它們應該採用相同的基礎架構,這才合理,不是嗎?
Jamf Connect 是一個完美的例子 , IAM 和安全性之間相輔相成不僅可以確保身份驗證的安全,還能確保工作流程與使用者操作的所有工作(無論裝置為何)一直都能互相支援,持續安全地存取資源。
新式身份驗證
從裝置和使用者帳戶到企業資源,身分驗證已經是所有安全保障中不可或缺的一部分,這是十分值得投資的,企業可以藉此提升員工體驗。透過與Google、Microsoft、Okta 等雲端身分供應商合作,IT 部門可以輕鬆實現零接觸部署,依據使用者雲端身分屬性與管理,精簡帳戶佈建流程,不受實體辦公室的侷限。
這不僅能確保人性化的 IAM 解決方案會在所有裝置上(包括行動裝置)進行身份驗證(如企業應用程式等),還能拓展到所有企業資源(內部部署和雲端資源),安全地管理存取,不受裝置類型、所有權等級或使用者工作地點的限制。
策略執行
IAM 解決方案內建的存取策略能幫助您以多種方式來加強安全性。其中一種方法是併入裝置風險評估(以政策為基礎),IT 和資安團隊確保裝置的風險狀況納入考量。讓我們重溫一下上面的例子:假設在一次網路釣魚攻擊中,一個使用者將密碼提供給一位有心人士。透過與 Microsoft 或 Google 整合,條件式存取綁定的策略將會產生一個工作流程,自動限制被盜的憑證所綁定的使用者存取權限,有效地預防有心人士存取業務資源。
另一個例子是零信任網路存取(Zero Trust Network Access 或 ZTNA),我們稍後會介紹這一點。透過 ZTNA(Jamf Private Access 的核心元件),僅有授權使用者才能允許存取重要業務應用程式。此外,裝置政策限制了許可權,只有 IT 和資安團隊核准的裝置才能使用。
現代威脅環境
因爲行動裝置的普及,加上許多企業漸漸地轉為遠端與混合工作模式,現代的工作環境也因此大幅改變,同樣的,威脅環境的演變也讓每個人都十分困擾,有心人士不斷地想出新的巧妙方法,目標就是您的裝置和使用者,以竊取企業資料。
適應性強且彈性的安全控制才是有效的 IAM 解決方案,其範圍遠遠超出辦公室的網路安全邊界。就像我們之前提到的,其中一種做法是評估裝置的風險態勢,而且是整個工作流程都持續地評估。畢竟,在允許存取之前確保裝置沒有受到損害是一回事,但如果在工作流程中出現不合規的情況的話,會導致什麼狀況呢?最終結果還是一樣 ── 未經授權的存取。
為了降低這種風險,可以透過 ZTNA 或條件式存取持續地評估風險,利用政策來允許或拒絕敏感資料、應用程式和資源的存取,雲端的特性也可以為 IT 提供有效且具有拓展性的網路保護,以滿足不同的需求。要做到這些並不難,無需管理安全設備,使用複雜的軟體配置,或昂貴的支援合約。
不僅僅是連結使用者和資源
我們一直強調「現代」一詞,因為這和過往的身份驗證機制完全不同,真正有效的身份識別和存取管理解決方案除了身份驗證之外,還能提供其他各種保護。
將 IAM 視為一塊拼圖。雖然它本身就是一個解決方案,能夠獨立運行,但如果與其他解決方案搭配使用,作為深度防禦策略的一部分,便可以發揮更大的作用。像拼圖一樣,除非所有拼圖都都在正確的位置,否則整個畫面就不會顯現出來。
有些安全優勢是固有的,而有些則可以透過與第一方和第三方解決方案整合來實現,例如:
一個密碼打天下
我們之前有提到,關於跨所有企業應用程式和公司資源的統一身份管理。透過啟用單一登入(SSO),可以在整個基礎架構(尤其是可以存取該基礎架構的各種託管和非託管裝置)中實現保護標準化。這不僅讓 IT 部門的存取管理容易許多,而且也簡化了工作流程,使用者只需記住一個密碼,不必同時使用多個憑證,更何況這些憑證可能也不符合公司的政策。
此外,SSO 在後台同步企業資源和 Mac 端點間的密碼,減輕了管理多個服務(每個服務都有自己的一組憑證)的負擔,為所有利害關係人提供有效的 IdP。
兩個總比一個好
就安全性而言,密碼是一個複雜的問題。雖然大家都認同密碼可以保護資源存取,但從管理員和使用者的角度來看,它有的時候也讓人頭疼。再加上我們之前提到的密碼安全問題,還有,即使盡了最大的努力,網路釣魚攻擊還是可以輕易地避開所有安全控制措施。因此,我們需要更好、更有效的方法來保護資源。
多重要素驗證(MFA) 就能提供這樣的功能,它要求使用者使用多種因素來證明自己的身份:
- 可以是一件你知道的事
- 你所擁有的東西
- 或是你的頭銜與稱號
在 Jamf Connect 和您的 IDP 中啟用此功能可確保授權使用者在正確的裝置上存取業務資源,盡可能地降低敏感資料落入他人之手的風險。
永不信任,始終驗證
前面我們提到了零信任網絡存取(ZTNA),在本章節中,我們將會討論企業利用 ZTNA 拓展 IAM 可以獲得的一些安全優勢。
首先是微型隧道(Microtunnels)。資料隧道的概念在資安領域並不是什麼新鮮事。畢竟,VPN 這樣做都已經有幾十年的歷史了。但請記住,我們現在討論的是現代化的解決方案,而不是傳統的解決方案,傳統 VPN 一定會面臨一些安全挑戰,而在現代威脅環境下,只有零信任網絡存取(ZTNA )才能解決這些問題。
微型隧道就是其中一種解決方案,當使用者要求存取時,每個受保護的資源都會有自己專門的微隧道。零信任網絡存取(ZTNA )不像傳統 VPN 那樣允許存取整個網絡,而是利用獨立的微隧道來保護每個資源的存取。這樣做的目的是確保流量相互隔離,以防止橫向移動攻擊,而在應用程式受到攻擊時,只需拒絕受影響應用程式的存取權即可。也就是說,在IT 部門解決問題的同時,使用者仍可在未受影響的應用程式與資源上工作,以維持效率。
零信任網絡存取(ZTNA )解決的另一個挑戰是網路頻寬利用率問題,在裝置上和網路內運行微型隧道,而不需要透過 VPN 硬體回傳流量。如此高效執行的另一個好處是使用分割通道技術,該技術可以自動識別業務流量,透過微型隧道保護業務流量,同時將非業務流量直接路由到網路,既保護使用者隱私,又能保障業務資料,兩者兼具。
結合所有最佳工具的解決方案
利用第一和第三方解決方案來拓展功能,是現代 IAM 的一項強大能力。考慮到安全性隨著科技的發展,變化速度如此之快,這一點不容忽視。也許在過去,您的企業只需要一個內部部署的 IdP 和 MDM 解決方案來就能全面管理 Apple 機群。但如今,企業為了能讓員工遠端工作,因而需要雲端的 IdP、MFA 和 MDM 解決方案,基礎架構的裝置和身分管理才能正常運作。
再向前進展一步,也許這項需求會拓展到行動威脅防禦和更強的存取管理能力,如零信任網絡存取(ZTNA )。為了滿足您的企業當前及未來的需求,一個有彈性的 IAM 解決方案可以發揮舉足輕重的作用。
再次考慮看看密碼吧。如果我們告訴您,有一種方法可以落實 MFA 解決方案,為存取請求提供多一層安全性保護,同時又能完全省去密碼,您會怎麼想呢?無密碼的 Mac 身份驗證有可能是安全的嗎?
有,而且絕對有!(我們甚至敢說是 更安全的。)
請到 Jamf Unlock,在整合 Jamf Connect + Jamf Pro 、確認 iOS 的裝置已安裝 14.0 或更高版本之後,無密碼工作流程便成為可能。由於密碼本身會存在安全漏洞,包括因資料外洩、網路釣魚攻擊造成的損失,或單純是因為密碼太弱、太容易被猜中而造成的安全漏洞, 而無密碼身份驗證工作流程可以完全避開這些安全問題。在確保員工和資料安全的同時,也能提供流暢的終端使用者體驗。
總結
- 身分識別和存取管理是對應現代「隨處辦公 」趨勢的關鍵要素
- 分層式安全性解決方案是深度防禦策略中不可或缺的一部分,可共同協作緩解威脅
- 利用雲端 IdP 實現零接觸部署並簡化帳戶佈建的工作流程
- 以策略為基礎創建的 IAM 能讓帳戶管理與企業策略相符,發布這些政策到基礎架構中的所有裝置,實現標準化。
- 利用 SSO 和 MFA 來簡化身份驗證工作流程,提升和保護使用者體驗
- 經由與第一和第三方解決方案整合來拓展功能,除了滿足當前的需求,同時也為未來需求奠定基礎
- 透過 Jamf Unlock 實施無密碼身分驗證工作流程,省去所有密碼的安全性問題
***
本篇文章是整體安全方法的系列文章之一。
訂閱 Jamf 部落格
將市場走向資訊、Apple 最新消息、Jamf 新聞等,直接發送到你的收件匣。
若要進一步了解我們如何蒐集、使用、揭露、傳輸及儲存您的資訊,請前往我們的隱私權政策頁面。