【資安工具專欄】Novell IDM帳密與授權管理最佳幫手

藉助帳號及權限以管理員工/廠商等內外部使用者存取公司資訊系統內的應用系統(AP)是必要的機制，但隨著使用者的異動及AP的導入/退役，使用者和這些AP的對應關係日漸複雜，Identity Management，簡稱 IDM (身份帳號管理)即為因應這類管理問題的最佳解決方案之一。本文即以本公司代理的 Novell IDM為基礎，簡述其運作原理及效益。

總目錄服務(meta directory)的必要性

員工在公司服務期間內，從帳號建立及相關權限(例如可以存取那些檔案、應用系統及其子功能)的設定，隨著職務的異動及業務的導入/退役，對於公司各式資訊系統/資源的使用關係，久而久之即會產生如圖一所示的複雜關係。在今天以Web 都即時被同步更新到 Meta Directory。意即，資安單位可即時、精準的掌握員工及相關權限的重要資訊以確保每位員工只使用職務相關的系統資源，不多也不少。

Novell IDM 帳密同步機制說明

針對 Windows AD、Windows Stand-alone (即沒加入AD的 Windows Server)及Unix/Linux等 OS帳號，IDM藉助內建的 driver 及安裝到帳號所在系統端的 agent 進行雙向同步，意即無論 IDM端或系統端有帳號及權限異動，IDM自動同步異動資訊到對口系統 (即，IDM → 系統，系統 → IDM)。

針對應用系統(AP)帳號，若 AP藉助 Windows AD 及 AD Group 來規範誰可使用此 AP及其權限，如上述所述，IDM藉助 AD driver 即可妥善處理這類AP的帳密及權限管理。

若AP是藉助其資料庫的相關 table來規範誰可使用此 AP及其權限，如圖三所示，IDM則藉助 JDBC driver 及在 AP資料庫的相關 database view、trigger 及stored procedure進行單向(IDM → AP)或雙向同步。

若IDM端有帳號及權限異動，IDM經由 database view 及 instead-of-trigger 更新異動資訊至AP相關 table。若AP端有帳號及based AP為主的時代，倘若員工職務異動時而相關權限無法即時調整，很可能此員工仍然在使用不該使用的AP/檔案，但資安單位在不知情下，而曝露公司於極大之風險。Meta Directory 即是因應此類問題的解決方案。

如圖二所示，內/外部員工的帳密及各應用系統的帳號及相關權限之資訊，藉助Novell IDM ，同步到 Meta Directory；資安單位再也不用如過去，到各系統去撈相關資料、整理及比對才可以釐清「每一位同仁到底可使用到那些應用系統」及「每個應用系統到底有那些帳號及其相關權限」這類資訊，因為IDM 可定時/即時產生此類報表。

IDM 除了將這類資訊集中，任何相關的異動權限異動，相關 stored procedure 即時寫到event table，IDM則定期檢查此 table，若有新 record (即有新異動)，透過讀取此record 所指引的 database view record 到IDM進行相關更新。 資料庫本身的帳號(DBA及 DB user)同步的方式類似圖三所示的方式。

上述在 AP database 的 view/stored procedure 主要是針對無法更新的現有AP所採用的方法，否則一旦導入IDM，資安單位都會要求新 AP或 AP在改版時以web service或 LDAP (Lightweight Directory Access Protocol) 方式將 AP的帳號/角色資訊存放在 Meta Directory，AP只需管理角色及功能即可，如圖四所示。

這麼做的好處在於，AP不需再管理誰可使用此AP及其權限，AP只需規範角色及功能，並由IDM統一管理各員工對這AP的角色之後（ 如圖四之對應），而各員工對此AP能使用那些功能也隨之而定。

意即，一旦導入 IDM，資安單位將廢除原本各AP 帳號權限管理的介面而改由IDM集中管理。畢竟，帳號屬於「公共財」，唯有將帳號及其(AP)角色放到 Meta Directory 並集中管理帳號及相關AP的角色，才可能有效應付「使用者因職務異動而必須經常並即時更新其相關AP使用權限」此類管理困擾，這就是IDM的精髓! 這種帳號權限管理方式也是現今國外套裝軟體所普遍採用的方式。

搭配日誌收集與分析

如圖五所示，可搭配收集各系統的 access log及帳密權限修改的記錄以稽核是否有駭客登入(例如在一分鐘內連續在不同機器嘗試登錄同一系統)或違規帳密的建立/刪除/修改等異常行為。此機制的精髓在於達到帳密配置自動化的同時，負責資安的同仁仍可有效落實內/外部之資安法規遵循。

結語

Novell 十多年來已在國內中央及地方政府單位、各大專院校、製造業及金融業建置許多 IDM 成功案例，這些單位都從應用系統帳號授權管理切入，因成效良好，進年來已陸續導入Windows、Unix/Linux及DB的帳號權限管理並搭配日誌收集與分析以落實內/外部法規之遵循。