Cyber Security, Network
ระบบ Identity and Access Management (IAM) คืออะไร?
03
ม.ค.
ม.ค.
Identity and Access Management (IAM) คือระบบที่ช่วยให้องค์กรสามารถจัดการและควบคุมตัวตนของผู้ใช้งาน (Identity) และการเข้าถึงทรัพยากรต่างๆ (Access) ในระบบ IT ได้อย่างปลอดภัยและมีประสิทธิภาพ โดยเน้นการบริหารจัดการผู้ใช้, อุปกรณ์, บริการ และข้อมูล เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
IAM ใช้ในสภาพแวดล้อมที่หลากหลาย เช่น ระบบองค์กรภายใน (On-premise), ระบบคลาวด์ (Cloud), และโครงสร้างแบบไฮบริด (Hybrid Infrastructure)
องค์ประกอบของ IAM
- Identity Management (การจัดการตัวตน)
- Directory Services ฐานข้อมูลที่จัดเก็บข้อมูลตัวตนของผู้ใช้ เช่น Active Directory (AD), LDAP (Lightweight Directory Access Protocol)
- Identity Federation การรวมตัวตนจากหลายแหล่ง เช่น การใช้ SAML (Security Assertion Markup Language), OAuth, หรือ OpenID Connect (OIDC) เพื่อรองรับการยืนยันตัวตนข้ามระบบ
- Provisioning/Deprovisioning กระบวนการสร้าง, อัปเดต, และยกเลิกบัญชีผู้ใช้ รวมถึงการกำหนดสิทธิ์โดยอัตโนมัติ
- Authentication (การยืนยันตัวตน)
- Single Sign-On (SSO) ให้ผู้ใช้เข้าสู่ระบบเพียงครั้งเดียวเพื่อเข้าถึงแอปพลิเคชันหรือทรัพยากรที่เกี่ยวข้องทั้งหมด
- Multi-Factor Authentication (MFA) ใช้หลายปัจจัยในการยืนยันตัวตน เช่น รหัสผ่าน, รหัส OTP, หรือข้อมูลไบโอเมตริกซ์
- Passwordless Authentication การยืนยันตัวตนโดยไม่ใช้รหัสผ่าน เช่น การใช้ไบโอเมตริกซ์หรือการเชื่อมต่ออุปกรณ์ความปลอดภัย (FIDO2)
- Authorization (การกำหนดสิทธิ์)
- Role-Based Access Control (RBAC) การกำหนดสิทธิ์ตามบทบาทของผู้ใช้ เช่น Admin, User, หรือ Read-only
- Attribute-Based Access Control (ABAC) ใช้แอตทริบิวต์ต่างๆ เช่น ตำแหน่งที่ตั้ง, เวลา, หรือสถานะของอุปกรณ์ในการกำหนดสิทธิ์
- Policy-Based Access Control (PBAC) ใช้นโยบายเฉพาะในการควบคุมการเข้าถึง เช่น นโยบาย Zero Trust
- Least Privilege Principle ให้สิทธิ์น้อยที่สุดที่จำเป็นสำหรับการทำงานของผู้ใช้
- Access Management (การจัดการการเข้าถึง)
- Access Tokens เช่น JWT (JSON Web Token) หรือ OAuth Tokens ที่ใช้เพื่อรับรองสิทธิ์ของผู้ใช้
- Session Management การจัดการเซสชันของผู้ใช้งาน เช่น การหมดอายุของเซสชัน, การยกเลิกเซสชัน
- Just-in-Time Access การอนุญาตให้เข้าถึงระบบชั่วคราวตามความจำเป็น
- Audit and Monitoring (การตรวจสอบและติดตาม)
- Logging and Reporting เก็บข้อมูลการเข้าถึง เช่น ใครทำอะไร เมื่อไหร่ และอย่างไร
- Behavioral Analysis วิเคราะห์พฤติกรรมของผู้ใช้งานเพื่อตรวจจับกิจกรรมที่ผิดปกติ
- Integration with SIEM ส่งข้อมูลไปยังระบบ Security Information and Event Management (SIEM) เพื่อวิเคราะห์และตอบสนองต่อภัยคุกคาม
- Privileged Access Management (PAM)
- การจัดการสิทธิ์ระดับสูง เช่น ผู้ดูแลระบบ (Admin) หรือบัญชีที่มีสิทธิ์เข้าถึงข้อมูลสำคัญ
- การใช้ Vault เพื่อเก็บข้อมูลรับรอง (Credentials) เช่น HashiCorp Vault
เทคโนโลยีและโปรโตคอลที่ใช้ใน IAM
- Authentication Protocols
- SAML ใช้สำหรับการยืนยันตัวตนในองค์กร
- OAuth 2.0 โปรโตคอลที่ใช้สำหรับการอนุญาตการเข้าถึง (Authorization)
- OpenID Connect (OIDC) ใช้สำหรับการยืนยันตัวตนในระบบที่เชื่อมต่อกับ OAuth 2.0
- Directory Protocols
- LDAP โปรโตคอลมาตรฐานสำหรับการเข้าถึง Directory Services
- Kerberos ใช้สำหรับการยืนยันตัวตนในเครือข่ายที่มีความปลอดภัยสูง
- Encryption and Security Standards
- PKI (Public Key Infrastructure) ใช้ในการยืนยันตัวตนด้วยใบรับรองดิจิทัล (Certificates)
- TLS/SSL โปรโตคอลสำหรับการเข้ารหัสการสื่อสารระหว่างผู้ใช้งานและระบบ
รูปแบบการใช้งานของ IAM ในองค์กร
1. On-Premise IAM
On-Premise IAM คือระบบจัดการตัวตนและการเข้าถึงที่ติดตั้งและใช้งานในโครงสร้างพื้นฐานขององค์กรเอง โดยไม่ได้พึ่งพาผู้ให้บริการคลาวด์
- ตัวอย่าง
- Active Directory (AD) ของ Microsoft ระบบ Directory Services ที่ใช้ในการจัดการบัญชีผู้ใช้, กลุ่ม (Groups), และสิทธิ์การเข้าถึงภายในเครือข่ายขององค์กร
- ระบบ LDAP (Lightweight Directory Access Protocol) ใช้ในการเข้าถึงข้อมูลตัวตนและสิทธิ์ในฐานข้อมูล Directory
- การใช้งาน
- ใช้สำหรับองค์กรที่ต้องการควบคุมระบบและข้อมูลภายในโดยสมบูรณ์
- เหมาะสำหรับองค์กรที่มีระบบ ERP (เช่น SAP) หรือ CRM (เช่น Salesforce) ที่โฮสต์อยู่ในโครงสร้างพื้นฐานขององค์กรเอง
- ข้อดี
- ควบคุมระบบและข้อมูลได้อย่างเต็มที่
- ความปลอดภัยสูง เนื่องจากระบบทั้งหมดอยู่ในเครือข่ายภายในขององค์กร
- เหมาะสำหรับองค์กรที่มีข้อกำหนดเฉพาะด้านกฎหมายหรือมาตรฐานความปลอดภัย
- ข้อเสีย
- ต้องลงทุนในฮาร์ดแวร์, ซอฟต์แวร์, และบุคลากรที่มีความเชี่ยวชาญ
- มีค่าใช้จ่ายสูงในการบำรุงรักษาระบบและการอัปเดตซอฟต์แวร์
2. Cloud-Based IAM
Cloud-Based IAM คือบริการ IAM ที่โฮสต์อยู่บนคลาวด์และให้บริการผ่านผู้ให้บริการระบบคลาวด์ เช่น AWS, Microsoft Azure, หรือ Google Cloud
- ตัวอย่าง
- AWS IAM (Identity and Access Management) ช่วยจัดการสิทธิ์ในการเข้าถึงบริการและทรัพยากรใน Amazon Web Services
- Azure Active Directory (Azure AD) ให้บริการจัดการตัวตนสำหรับ Microsoft 365 และแอปพลิเคชันอื่นๆ
- Google Workspace Identity ใช้จัดการตัวตนสำหรับผู้ใช้บริการ Google Workspace เช่น Gmail, Google Drive
- การใช้งาน
- ใช้ในการจัดการตัวตนและสิทธิ์การเข้าถึงระบบคลาวด์ เช่น การควบคุมสิทธิ์ผู้ใช้งานในแอปพลิเคชัน SaaS (Software as a Service)
- เหมาะสำหรับองค์กรที่ใช้บริการหรือโครงสร้างพื้นฐานแบบคลาวด์
- ข้อดี
- ไม่มีค่าใช้จ่ายสำหรับฮาร์ดแวร์และการบำรุงรักษาระบบ
- สามารถปรับขนาดการใช้งานได้ง่ายตามความต้องการขององค์กร
- การอัปเดตและการรักษาความปลอดภัยดำเนินการโดยผู้ให้บริการคลาวด์
- รองรับการเชื่อมต่อและการทำงานร่วมกับระบบและบริการคลาวด์ต่างๆ ได้อย่างง่ายดาย
- ข้อเสีย
- อาจมีข้อจำกัดด้านการปรับแต่งเมื่อเทียบกับระบบ On-Premise
- การพึ่งพาผู้ให้บริการอาจมีความเสี่ยงในกรณีที่บริการล่มหรือหยุดชะงัก
- ความปลอดภัยของข้อมูลขึ้นอยู่กับผู้ให้บริการระบบคลาวด์
3. Hybrid IAM
Hybrid IAM คือการผสานรวมระบบ IAM ทั้งแบบ On-Premise และ Cloud-Based เพื่อให้สามารถใช้งานในโครงสร้างพื้นฐานทั้งสองรูปแบบได้อย่างราบรื่น
- ตัวอย่าง
- การรวม Active Directory (On-Premise) กับ Azure Active Directory (Cloud-Based) เพื่อให้พนักงานสามารถใช้บัญชีผู้ใช้เดียวกันในการเข้าถึงระบบภายในองค์กรและแอปพลิเคชันบนคลาวด์
- การใช้งาน
- ใช้ในองค์กรที่มีระบบ On-Premise และกำลังเปลี่ยนไปใช้ระบบ Cloud-Based แต่ยังต้องการใช้งานทั้งสองระบบควบคู่กัน
- เหมาะสำหรับองค์กรที่มีแอปพลิเคชันหรือข้อมูลบางส่วนบนคลาวด์ และบางส่วนอยู่ในโครงสร้างพื้นฐานภายในองค์กร
- ข้อดี
- สามารถใช้ประโยชน์จากทั้ง On-Premise และ Cloud-Based ได้
- สนับสนุนการเปลี่ยนผ่านระบบจาก On-Premise ไปยัง Cloud-Based อย่างราบรื่น
- ช่วยให้ผู้ใช้สามารถเข้าถึงทรัพยากรได้อย่างต่อเนื่องโดยไม่ต้องเปลี่ยนแปลงตัวตนหรือวิธีการยืนยันตัวตน
- ข้อเสีย
- ความซับซ้อนในการจัดการและการตั้งค่าระบบ
- ต้องมีการผสานรวมระหว่างระบบ On-Premise และ Cloud-Based อย่างเหมาะสม
- อาจมีค่าใช้จ่ายเพิ่มเติมสำหรับการผสานรวมและบำรุงรักษาระบบ
เปรียบเทียบ On-Premise IAM, Cloud-Based IAM, และ Hybrid IAM
| คุณสมบัติ | On-Premise IAM | Cloud-Based IAM | Hybrid IAM |
| การติดตั้ง | ติดตั้งในองค์กร | บริการโฮสต์บนคลาวด์ | ผสาน On-Premise กับ Cloud |
| ความปลอดภัย | ควบคุมได้เต็มที่ | ขึ้นอยู่กับผู้ให้บริการ | ผสมผสานตามการใช้งาน |
| ความยืดหยุ่น | ต่ำ | สูง | ปานกลาง |
| ค่าใช้จ่าย | สูง | ต่ำ | ปานกลาง |
| การปรับขนาด | จำกัด | ปรับขนาดได้ง่าย | ยืดหยุ่น |
| ความซับซ้อน | สูง | ต่ำ | สูง |
| การใช้งานร่วมกัน | ระบบภายใน | ระบบคลาวด์ | ทั้งสองระบบ |
สรุปการเลือกใช้งาน
- On-Premise IAM เหมาะสำหรับองค์กรที่ต้องการความปลอดภัยสูงและมีข้อกำหนดเฉพาะในการควบคุมระบบ
- Cloud-Based IAM เหมาะสำหรับองค์กรที่ต้องการความยืดหยุ่น, การปรับขนาด, และการบำรุงรักษาที่ง่าย
- Hybrid IAM เหมาะสำหรับองค์กรที่ต้องการความต่อเนื่องในการทำงานและใช้งานระบบทั้ง On-Premise และ Cloud-Based ควบคู่กัน
แนวคิด Zero Trust ใน IAM
IAM เป็นส่วนสำคัญของแนวคิด Zero Trust Security ซึ่งไม่เชื่อถืออัตโนมัติในผู้ใช้หรืออุปกรณ์ใดๆ แม้จะอยู่ในเครือข่ายภายใน โดยมีหลักการสำคัญ
- ตรวจสอบตัวตนของทุกคนและทุกอุปกรณ์ก่อนให้เข้าถึง
- จำกัดสิทธิ์การเข้าถึงให้เฉพาะที่จำเป็น
- ตรวจสอบและตรวจจับภัยคุกคามอย่างต่อเนื่อง
ข้อดีเชิงเทคนิค
- ปรับขนาดได้ (Scalable) รองรับผู้ใช้งานจำนวนมากในระบบคลาวด์
- การผสานรวม (Integration) รองรับการเชื่อมต่อกับแอปพลิเคชันและระบบอื่นๆ ผ่าน API
- ความปลอดภัยขั้นสูง รองรับการใช้ MFA และการวิเคราะห์พฤติกรรม
IAM เป็นโซลูชันสำคัญที่ช่วยเพิ่มความปลอดภัย ลดความเสี่ยง และสนับสนุนการดำเนินธุรกิจในยุคดิจิทัลอย่างมีประสิทธิภาพ
การติดต่อ Great Ocean เพื่อขอคำแนะนำในการเลือกใช้ IAM ที่เหมาะสมสำหรับธุรกิจและองค์กร สามารถทำได้ผ่านช่องทางต่าง ๆ ดังนี้
โทร : 02-943-0180 ต่อ 120
โทร : 099-495-8880
E-mail : support@gtoengineer.com
