ทำความรู้จักหลักการ IAM ระบบพิสูจน์ตัวตนภายในองค์กร

20 สิงหาคม 2021

วารุณี เอื้อไตรรัตน์
วารุณี เอื้อไตรรัตน์ทีมงาน cyfence ผู้ดูแลด้านบริการด้าน Cyber Security พร้อมดูแลระบบให้มีความปลอดภัยห่างไกลภัยคุกคามไซเบอร์

แนวคิดการวางระบบเครือข่ายแบบ Zero Trust สอดคล้องกับธุรกิจมากขึ้น  เพราะเป็นแนวคิดต้นแบบมาตรฐานที่สำคัญในการออกแบบระบบเครือข่ายให้มีความปลอดภัย ยิ่งในปัจจุบันหลายองค์กรมีนโยบายให้พนักงานทำงานจากภายนอก ( Work from home) โดยมีเครื่องมือที่สามารถเข้าถึง Server ภายในจากสถานที่ต่าง ๆ ได้ ซึ่งหากองค์กรนั้นใช้เครื่องมือที่ไม่มีประสิทธิภาพเพียงพอในการป้องกัน อาจถูกภัยคุกคามเข้าโจมตีโดยพนักงานเหล่านั้นไม่รู้ตัวว่าตนเองเป็นต้นเหตุ

แนวคิด Zero Trust นี้เองจะช่วยให้ผู้บริหารนำไปต่อยอดและสร้างเครื่องมือที่มีประสิทธิภาพสูง มีความปลอดภัย ลดความเสี่ยงจากภัยคุกคามไม่ว่าพนักงานจะทำงานจากสถานที่ใดก็ตาม แต่หากองค์กรนั้นไม่สามารถนำไปต่อยอดและสร้างเครื่องมือเองได้ การใช้หลักการของ Identity and Access Management (IAM) ก็เป็นอีกทางเลือกหนึ่งที่น่าสนใจมากในขณะนี้ เพราะเป็นหลักการที่นิยมใช้กันอย่างแพร่หลาย สามารถจัดการบริหารและพิสูจน์ตัวตนในการเข้าถึงของพนักงานในแต่ละตำแหน่งได้ ที่สำคัญสามารถตรวจสอบและป้องกันก่อนจะเกิดเหตุร้ายได้ทันทีอีกด้วย

ในบทความนี้จะกล่าวถึงหลักการ Identity and Access Management (IAM) คืออะไร มีเครื่องมืออะไรที่น่าสนใจ

Identity and Access Management คืออะไร

Identity and Access Management (IAM) หรือ การบริหารการพิสูจน์ตัวตนและการเข้าถึง เป็นการนำแนวคิดแบบ Zero Trust นั่นคือ “Never trust, Always verify อย่าเชื่ออะไรโดยที่ยังไม่มีการตรวจสอบ ” ซึ่งแนวคิดนี้คือการสร้างเครื่องมือเพื่อควบคุมสิทธิ์ในการเข้าถึงข้อมูลของผู้ใช้งานที่ถูกต้องตาม User roles ยกตัวอย่างเช่น ข้อมูลการเงินของบริษัทที่กำหนดให้เฉพาะฝ่ายบัญชีเข้าถึงได้เท่านั้น แต่ฝ่ายอื่น เช่น ทรัพยากรบุคคล จะไม่สามารถเข้าไปดูได้ เป็นต้น

ซึ่งผู้ดูแลระบบไอทีจะใช้หลักการ  IAM ช่วยบริหารจัดการข้อมูลภายในองค์กรได้ง่ายขึ้นและมีประสิทธิภาพ ลดขั้นตอนที่ไม่จำเป็น สามารถกำหนดความเหมาะสมกับหน้าที่ความรับผิดชอบ รวมถึงนโยบายการจัดการรักษาข้อมูลและควบคุมการเข้าถึงข้อมูลผู้ใช้ภายในองค์กรได้

หลักการ IAM คืออะไร มีหน้าที่อย่างไรบ้าง

วัตถุประสงค์หลักการ IAM คือจะกำหนด Digital Identity ต่อจำนวนผู้ใช้ หรือ ต่อหนึ่งอุปกรณ์ เพื่อไม่ให้บุคคลอื่นเข้ามาสวยรอยและเข้าถึงข้อมูลที่สำคัญได้ โดยมีหน้าที่คอยตรวจสอบ แก้ไข และเฝ้าระวัง Access ของผู้ใช้หรืออุปกรณ์นั้น ๆ ดังนี้

  1.       ตรวจสอบสิทธิ์ของผู้ใช้งานตามหน้าที่ หรือ User roles แล ข้อมูลที่ตรวจสอบได้ เช่น network ตำแหน่งทางภูมิศาสตร์ วันเวลา ฯลฯ
  2.       จับภาพและบันทึกข้อมูลการเข้าสู่ระบบของ User
  3.       บริหารจัดการการเข้าถึง Database ภายในองค์กร
  4.       บริหารจัดการการใช้งาน และ สามารถลบข้อมูลของ User ในองค์กร
  5.       ช่วยให้ผู้ดูแลระบบบริหาร  จำกัดการเข้าถึงและตรวจสอบการเปลี่ยนแปลงสิทธิ์ของ User

นอกจากนั้นยังมีเครื่องมือที่เรียกว่า IAM Solution สำหรับใช้ในการควบคุม Access Control ทำให้ผู้ดูแลระบบไอทีสามารถควบคุมการเข้าถึงเครือข่ายสำหรับ User แต่ละรายโดย 7 เครื่องมือ ดังนี้

1.Single Sign-On

Single sign-on (SSO) คือ การระบุตัวตนเพื่อเข้าใช้งานใน System โดยการพิสูจน์ตัวตนเพียงครั้งเดียว หาก User ต้องการเข้าใช้งาน Application อื่น ๆ ระบบ SSO ก็จะทำการ Log-in ให้เองโดยอัตโนมัติ จากนั้นจะตรวจสอบความถูกต้องของ User เมื่อต้องการเข้าถึง

2.Multi-Factor Authentication

Multi-Factor Authentication (MFA) คือ การยืนยันตัวตนแบบหลายปัจจัยในการยืนยันตัวตนของ User เช่น

–          สิ่งที่คุณรู้ : Password , คำถามลับเพื่อกู้รหัสผ่าน

–          สิ่งที่คุณมี : รหัสที่ส่งไปยัง email หรือ SMS , Application ยืนยันตัวตนใน Smartphone

–          สิ่งที่คุณเป็น : ลายนิ้วมือ , ใบหน้า

3.Privileged Access Management

Privileged Access Management (PAM) คือ การจัดการการเข้าถึงข้อมูลที่มีความสำคัญกับองค์กร โดยเฉพาะบัญชีที่มีสิทธิ์ระดับสูงสามารถเข้าถึงข้อมูลทรัพยากรที่สำคัญในระดับ administrator ซึ่งบัญชีเหล่านี้มักเป็นเป้าหมายของอาชญากรไซเบอร์ จึงต้องมีการตรวจสอบการเข้า Asset อย่างละเอียด

4.Risk-Based Authentication

Risk-Based Authentication (RBA) คือ การที่ User เข้าใช้งาน Application Risk-Based Solution จะทำการตรวจสอบความเสี่ยงจากอุปกรณ์, IP Address, ตำแหน่ง เป็นต้น เพื่อประเมินความเสี่ยงว่าอยู่ระดับใด จากข้อมูลข้างต้นระบบรวบรวมข้อมูลเพื่อในการอนุญาตเพื่อตรวจสอบสิทธิ์เพิ่มเติม หรือ ปฏิเสธการเข้าถึงข้อมูล

5.Data Governance

Data Governance คือ การกำกับดูแลข้อมูล เพื่อรับประกันว่าข้อมูลนั้นมีความพร้อมใช้งาน, ถูกต้อง, ปลอดภัย และสามารถใช้งานได้ซึ่งรวมไปถึงการ Data policy และมาตรฐานของการใช้งานข้อมูลนั้นๆ ทำให้มั่นใจได้ว่าข้อมูลนั้นถูกต้อง เชื่อถือได้ และไม่ถูกนำไปใช้ในทางที่ผิด

6.Federated Identity Management

Federated Identity Management คือ การจัดการข้อมูลแบบศูนย์รวม โดยจะมีการแบ่งปัน Digital Identities กับ Partner ที่ชื่อถือได้ซึ่งทำให้ User สามารถใช้งานได้หลากหลายธุรกิจร่วมกันเพียงแค่ Credential ชุดเดียว

7.Zero-Trust

Zero-Trust คือ แนวความคิดที่ว่าระบบ บุคคล หรืออุปกรณ์ใด จากทั้งภายนอกและภายในเครือข่าย ไม่ควรเชื่อถือซึ่งกันและกันจะต้องมีการตรวจสอบและยืนยันตัวตนอยู่เสมอ

จะเห็นได้ว่าหลักการ IAM เป็นทางเลือกที่น่าสนใจสำหรับธุรกิจที่มีนโยบายให้พนักงานทำงานภายนอกองค์กร ( Work from home) โดย IAM เป็นระบบที่เน้นการทำงานแบบอัตโนมัติ ไม่ยุ่งยาก มีความปลอดภัยสูง ซึ่งความสามารถเหล่านี้จะช่วยเพิ่มการแข่งขันและความยืดหยุ่นทางธุรกิจ สร้างโอกาสในการทำกำไรสามารถบริหารและจัดการพนักงานภายในองค์กรเป็นสัดส่วน อีกทั้งระบบนี้จะช่วยให้ User , Vender และ Partner ทางธุรกิจสามารถทำงานร่วมกันในระบบเดียวกันอย่างปลอดภัยโดยไม่จำกัดอุปกรณ์ สถานที่ เวลา ที่สำคัญไร้ความกังวลในการถูกโจมตีจากภัยคุกคามทางไซเบอร์อีกด้วย

ที่มา:

https://www.csoonline.com/article/2120384/what-is-iam-identity-and-access-management-explained.html

https://www.fortinet.com/resources/cyberglossary/identity-and-access-management

บทความที่เกี่ยวข้อง