什麼是角色帳戶?
角色帳戶是與組織中特定角色(例如一組員工或自動化系統)綁定的帳戶,而不是與個人綁定的帳戶。它們通常用於自動化工作並簡化資料流程。
例如,如果 HR 系統需要與薪資系統互通,可能會設定一個「hr」使用者來自動化認證。接著即可檢查記錄檔,查看「hr」角色帳戶何時存取 Payroll 系統,進而更清楚掌握存取模式。此外,您也知道由「hr」造成的流量不是個別使用者流量,因此在掃描異常登入行為時,可以將其篩選掉。這不僅能為工作流程節省時間,也能提升安全性。
不過,也有一些缺點。當您開始不當使用角色帳號來操作需要身分識別的系統時,就會出現問題。在多位員工之間共用角色帳戶,作為提供給製造商的多人共用登入(例如vendor-name@mystartup.com),在雲端託管的 Linux 主機上使用「ubuntu」使用者,或在我們的 Windows 伺服器上使用「Administrator」帳戶,這些都屬於使用角色帳戶且不符合最佳實務的例子。這些系統都很重視使用唯一身分,若共用角色帳號就會危及安全。
部分角色帳戶範例
當您在這些系統中使用角色帳戶時,就無法將流量分開。因此,存取記錄變得模糊不清且缺乏透明度。
舉例來說:
您的記錄顯示,使用者「ubuntu」已於 04:32:15 登入,並執行 rm -rf */command 命令。然而,由於他們使用的是共用角色帳號,因此無法掌握到底是哪一位工程師實際執行了該命令!
另一個範例:
所有業務代表都使用「vendor-name@mystartup.com」登入代管的 CRM(客戶關係管理)系統,因為只用一個帳戶便宜得多,也能讓團隊之間有更高的透明度。不過,您無法看出是誰做了什麼,只能知道事情已經完成。
這些都只是潛在的管理與責任歸屬問題。角色帳號遭到不當使用的真正風險,來自於安全性遭到削弱。
使用這類共用角色帳戶時,每當有人離開團隊,就必須輪替認證,而新的認證也需要重新分發給所有需要存取權限的人。這是一個勞力密集且仰賴人工的流程,容易出錯。
常見陷阱
雖然您可以透過良好的帳號管理習慣,並使用獨有資產來存取共用角色帳號,以降低相關問題,但歸根究柢,這仍然是在模糊身分。將「ec2-user」和「Administrator」帳戶設定為使用可授予個別存取角色帳戶的唯一金鑰或憑證,做法較佳,但仍只是部分解決方案。
信任員工與同事,是任何安全系統中重要的一環。然而,每當將某人加入團隊時,也等於為該人可存取的資源增加了多個攻擊途徑。當使用角色帳號時,所有這些攻擊向量都會集中在單一目標上,因此攻擊者現在有多種方式可攻擊同一組認證。
此外,當攻擊得逞時,這也會限制補救選項。您不能直接停用角色帳戶,否則會中斷整個團隊的存取權限。
另一個問題會在團隊成員離開組織時出現。當銷售實習生結束聘期後,卻仍可存取整個 CRM,這就不只是把自己的人脈資料帶走而已,而是把所有人的人脈資料一起帶走。如果團隊的首席工程師離職了,他們的個人筆電上仍保有您的「ubuntu」使用者角色帳戶私鑰。如果該離職員工轉而到競爭對手任職,可能會在不被察覺的情況下持續存取您的基礎架構。
正確的前進方向
幸好,只要為每位存取工具的人員建立專屬身分,就能解決所有這些問題。您的記錄檔會變得更清楚,也能更明確掌握誰擁有系統存取權限、誰沒有。
授予和撤銷權限變得簡單,也更容易稽核。此外,知道公司以外的人無法在系統中興風作浪,您的 CEO 和資安團隊晚上也能睡得更安穩。
傳統上,為了避免使用角色帳戶,想使用的每個系統都需要有一組專屬身分。因此,每台要登入的主機,以及每個要存取的製造商,都需要為每位員工建立各自獨立的帳戶。然而,這只會增加到職/離職流程的負擔,而且很容易被忘記。
這正是身分管理解決方案派上用場的地方。透過建立可讓所有其他系統整合的集中式身分來源,只需按一下即可授予或撤銷權限。結合 OAuth 和 SAML 等通訊協定,以及 LDAP 和 AD 等工具,即可在多個平台上建立完整的身分。您可以自行建置,或使用製造商提供的解決方案,讓團隊中的每個人都擁有自己的身分,盡情發揮所長。
在 Foxpass,我們讓您能輕鬆維持獨立的使用者帳戶,協助您落實安全性與營運最佳實務。我們甚至可透過與您的身分提供者(例如 Google、Office365、Okta、OneLogin 或 Bitium)同步,自動建立與刪除帳戶。我們也提供臨時存取功能,可在設定的時間過後自動撤銷存取權限。此外,我們的雲端代管伺服器讓您無需自行處理 LDAP 或 RADIUS 伺服器。
想親自體驗 Foxpass 帶來的輕鬆與高效率嗎?還在等什麼?立即開始免費 30 天試用:
