先问网络管理人员两个问题,在为新员工创建新账户,激活所有他可以使用的资源时,你需要多长时间?当有员工离职时,你能在多短的时间内将他的所有账户清除?企业的员工人数不多、IT应用也不多的时候,上面的问题也许不难,但当企业规模达到一定程度,企业内部的“信息孤岛”带来的将不只是信息沟通困难,你会发现,原来存在于各个独立系统中的资源访问权限管理和身份认证管理仍然是“各自为政”。当网络中添加的资源越多,就越难加以控制,从而导致出现各种不安全可能。新的基于身份认证(Identity-based)技术的兴起将有助于理顺网络秩序,下面的几篇文章将从不同的层面来诠释身份认证管理的发展现状。
部署基于身份认证管理的IT基础架构是今后的大方向。更重要的是,数字化的身份认证管理正在从安全到服务配置的各个层面改变网络的外观和内在管理机制。
传统的企业安全模型是通过对少量数据中心进行参数化实现的,但这种方式已经无法满足业务增长过程中遇到的适应性和扩展性需求。而新的基于身份认证的访问系统能够在帮助企业管理好复杂的网络的同时,使得系统安全能够与其商业目标更加接近,而不仅仅是从IT的角度考虑系统该如何管理。像IBM、Novell、Netegrity、Oblix等厂商现在都提供相应的身份认证管理(Identity Management)解决方案。
身份认证管理技术已经在SSO(Single Sign-On,单点登录)领域成功应用,但其实SSO只是它的应用之一,基于身份认证管理的网络管理才是它今后更为宽广的发展方向。
“企业在身份认证管理上的投资正使以身份认证为中心的网络管理成为可能。”Burton集团副总裁兼目录和安全战略部门服务总监Phil Schacter如是说。他特别指出,当今网络在移动性和远程访问方面能力的增强逐渐成为网络管理向基于身份认证系统迁移的驱动力量。
身份认证系统不仅定义了用户是谁,而且把“谁”与“什么”直接联系在一起。例如用户在组织中的角色是什么?用户需要访问什么资源和信息?他/她能够对信息进行什么操作,不能进行什么操作?身份认证提供了一个整体视图,使企业的策略和流程一致地应用于整个企业当中。
通过强化管理每个用户的访问与授权信息,身份认证管理解决方案使得网络能够保持最新状态:新员工能够迅速访问企业内外部网络;无用账户将被尽快清理,以免离职员工利用其旧账户进行非法操作;它还能提供审核信息,确保企业对管理法规条例的遵守;并能保护员工隐私和加强访问控制;最重要的是,基于身份认证的网络管理使得安全脱离了数据中心,而且它基于角色管理的方式使得网络管理与企业的业务需求更相符。
先集成目录
将自己的网络管理系统向基于身份认证的网络管理迁移时要求很苛刻,但这并不意味着彻底推翻原有的软件基础架构。相反,身份认证系统能够使现有的基础架构更加强壮和智能化,并且更易于防范未经授权的访问企图。
要做的第一步工作就是建立身份认证仓库(Identity storehouse),将用户的访问信息独立于应用程序来进行集中管理。典型的形式是采用网络目录,如LDAP目录、微软的活动目录、Novell的eDirectory等。
事实上现在很多组织已经维护有多个网络身份认证信息目录,并且拥有多个合作伙伴、供应商和客户的数据库,里面常常包含有重复的、非公共的数据。也就是说目录也需要集成。
目前正在形成的两类目录集成工具能够担此重任。例如Novell Nsure Identity Manager这样的元目录(Metadirectory)解决方案就可以建立单一的权威目录作为所有数据的数据源。另一方面,像OctetString Virtual Directory Engine这样的虚拟目录产品能够提供虚拟的单一数据库,但实际上它是从各个数据源抽取数据,并使数据显示来自同一位置。在企业选择建立身份认证仓库的工具时,需要考虑已有的组织架构,没有哪种方式拥有绝对优势。
如果不同的工作组对各自的数据有所有权问题,那虚拟目录就是较好的选择,它不会改动数据,只是指向数据的位置而已;如果数据的准确性在整个企业内部更加重要,那元目录的方式当然更合适。
从单点登录开始
建立起身份认证仓库并部署了管理工具之后,就可以开始部署使用数字身份认证技术的应用程序了。
SSO是最常被引用的例子,它可以确保用户使用一个用户名和一个密码登录所有的应用程序。在SSO环境中,每个用户的身份认证,而不是一系列琐碎的用户名和口令,定义了他/她在网络上能做什么事情。因此,用户只需签到一次,即可得到相应应用程序和数据的访问权限。
在实际应用中,用户都非常喜欢SSO带来的操作过程的简化,但其实这并不是基于身份认证技术的最大好处。虽然一些IT管理员担心,一次登录就能够访问多个应用容易扩大攻击者对网络的破坏范围,但实际上当用户不得不维护多个用户名和口令时,他们更倾向于选择一些容易被猜出的密码,安全性反而容易受到威胁。如果是由IT部门指定的不易猜测的密码,用户则会把登录信息记录在纸上或是电子文档中,也很容易泄漏密码。此外,用户要记的密码越多,就越有可能忘记其中的一两个,要是有几千用户,光是重新设置忘记的密码就会给IT支持部门造成很多不必要的工作量。而采用基于身份认证的单点登录技术,将能显著降低最终用户支持的成本。
单点登录之外的收获
除了能实现SSO,基于身份认证的网络管理还能帮助管理员集中创建和销毁网络账户。例如利用Netegrity Identity Minder eProvision等基于身份认证的配置(Provisioning)系统,在几分钟内就可以为新雇员设置好电子邮件、应用程序和网络访问权限。其中许可权限可以基于已经建立好的规则进行分配,管理员只需要向系统输入一些简单信息,如员工姓名、职位、编号等,身份认证管理解决方案就能自动完成其余的配置工作。
与设立新账户相对应,从系统中删除账户也同样迅速。与在多个相互割裂的企业IT系统中手工删除所有信息(不能漏掉任何一个远程访问服务器、虚拟专用网、无线访问点等)相比,身份认证管理解决方案的自动化程度和准确程度显然更高,不满的离职员工的密码被遗漏在网络某个角落的风险大大降低。
Burton集团的高级分析师Mike Neuenschwander表示,自动化配置能力将使大多数企业在身份认证管理上的投资得到快速而明显的回报。他还指出,作为身份认证管理系统中最具吸引力和最易部署的组件,自动化配置的市场非常诱人。
当然,自动化配置并不是一件简单的事情。除了为用户设置许可权限外,它还涉及到为移动设备、应用程序等授予权限,以及管理其他IT资产。此外,很多企业把它们的身份认证管理系统扩展到了企业网络之外,把合作伙伴、供应商、客户等都包含进来。
“就像飞机飞行不能只是依赖自动档,”Neuenschwander说道,“企业需要有专人负责策略设置、规则查看、进行必要的改动以及批准这些改动,最终对访问批准或拒绝负责的应该是企业的管理人员,而不是身份认证管理系统。”
| 共2页: 1 [2] 下一页 | ||||
|
