陳冠亨 / 技術副理

One Identity 為網路安全提供了一種以身份為中心、以雲優先的方法，讓組織能夠實現零信任和最小特權安全模型。將橫跨雲端、地端、混合雲的所有使用者、資料及和數位資源與 Identity Governance and Administration（IGA）整合，並提供最佳的解決方案來保護組織、使用者及企業資產。

近幾年來的駭客攻擊事件大多都是以 Microsoft Active Directory 及 Azure AD 為目標。這意味著在身分的資安管控上變得相當重要，如果沒有一個適當的管理、保護方式，將會讓整個企業的內部威脅急遽提升，導致從業務到個資受到衝擊和外洩。由 NIST 在去年 8 月正式發佈出來零信任的架構，希望企業中擔任資安角色的決策者，能夠在既有的 ISO27001 或者 NIST 的資安框架下針對自己的核心資產去做更精細的強化。這也代表著資產負責人或者管理人員需要把核心業務在管控上拆解到授權點和執行點，並有策略去規劃運作，來達到「驗證且永不信任」。而 AD/Azure AD 普遍來說會是企業的核心資產，更是關鍵。在此，One Identity提出零信任解決方案，消弭一般管理AD/Azure AD在整合和運維上的痛點。

Active Directory／Azure AD 上常見的幾個難題

l 管理上無法有效的限縮執行的權限，常常讓人資或者執行人員擁有過大的權限，導致當責或者管理人員沒有辦法得知執行人員在上面的操作是否得到允許。

l 委派太多的權限在不同的 forest(樹系)或者 OU(組織單位)，演變成難以盤查，在收斂上往往曠時費日，變成一種惡性的債務。

l 無法規則和定義上所有的業務操作，導致每個帳號中的欄位會根據不同的管理人員就有不一樣的設定。

l Domain Admins權限為了管理方便而同仁共享帳號，或者為了辨識又創建太多特權帳號。

l Domain Admins權限難以限縮到只剩下一個。

我們透過One Identity Active Roles（AD帳號治理系統）搭配One Identity Safeguard（特權帳號管理系統），可針對微軟環境的去實施零信任的架構。其主要關鍵點在於如何訪談引導出AD/Azure AD該怎麼和組織業務或者維運流程進行對應，並協助客戶把業務和特權權限拆解，將這些繁瑣的設定變成零信任架構上。也就是說我們能夠透過管理AD的經驗和企業流程上的想法合而為一，成為專業的系統設定去規劃，如此運作上才能系統跟著組織實際流程走，甚至做到自動化。

當企業根據組織流程設定各種自動化或者規則化之後，接下來可以導入 Starling 2FA 的雲端雙因素驗證機制，來讓每個人要進入 Active Roles前，必須先經過雙因素驗證來確認是否其本人；在執行業務流程的時候，還需要經過審核流程，才能異動 AD/Azure AD。而流程使用者會從非信任區朝向信任區的前進，在策略上實施零信任概念中的授權點和執行點，藉此達到層層關卡，並且裝置和人對這些操作進行”驗證且永不信任”。

此外，我們也不能讓 Domain Admins 權限成為漏網之魚，因此 One Identity 將會透過 Safeguard 特權系統納管網域上面所有的特權帳號，並且利用 Active Roles 達到Just in Time Access（臨時特權存取）。臨時特權存取是在零信任架構下延伸出來的概念，目的是為了限縮特權帳號的使用時間之外，還提供了降權和關閉帳號的功能，供管理者可按照這些選項幫組織規劃後，設計出一個符合企業本身的”最小特權原則”(principle of least privilege)。

台灣目前僅有少部分的企業願意面對資安框架的設計去做權限分責的概念，通常一來時間成本太高，二來內部的組織溝通不順暢，讓很多管理階層或者執行人員難以克服。而主要造成的原因，常常是部門之間的穀倉效應所帶來的問題。因此，更要尋求有資安、身分和特權經驗的廠商一起進行溝通導入，才能讓整個零信任架構的導入事半功倍。

● One Identity Safeguard：讓組織能夠在必要時提供完整的憑據，或者與 Active Roles 結合使用細粒度的委派來管理存取權限，以實現最小特權和即時存取。

● One Identity Active Roles：提供透過簡單有效地保護本地及雲端AD資源，來解決組織的安全問題並滿足合規性要求。

● Identity Manager：可以統一資訊安全策略並滿足當前和未來的治理需求。

● Change Auditor：對 AD、Azure AD、Office 365、file servers 等所有關鍵配置、使用者及管理者異動進行全面且即時的 IT 審核，深入的取證和全面的安全監控。