web-dev-qa-db-ja.com

「認証」と「認可」の包括的な用語ですか?

インターネットは'authentication vs. authorization'-typeの質問でいっぱいです。 私はここでそれを求めていません。これらの両方を含むいくつかの包括的な用語があるかどうか疑問に思っています。

「ID管理」と呼ばれるauthentication、およびauthorization「アクセス制御」と呼ばれます。

しかし、AWSでさえ、これらの両方を一緒に表す良い用語がなかったため、IAMを作成しました。

もう一度、認証がwho(プリンシパルとして)であることが証明され、承認がその認証されたプリンシパルアクセスレベルを与えることである場合、私は探しています両方に適用される包括的なセキュリティ用語(つまり、特定のリソースに対して誰が何を実行できるかを管理する)。これは存在しますか?!

authenticationauthorization
45
smeeb

CISSPスタディガイドによると、アクセス制御にはIAAA(識別、認証、承認、説明責任)が含まれます。

したがって、残りを気にしない場合は、認証と承認をAccess controlとして呼び出すことができます。

どこ:

識別:ユーザー名

認証:User_Name + Password(一要素認証では、単純なケース)

承認:認証後のリソースへのアクセス

会計:誰が何をしたかを追跡する

69
Ijaz Ahmad Khan

私が考えることができる最も近いものは、認証、承認、および会計フレームワークであり、多くの場合AAAと略されます。

認証、承認、アカウンティング(AAA) は、コンピューターリソースへのアクセスをインテリジェントに制御し、ポリシーを適用し、使用状況を監査し、サービスの請求に必要な情報を提供するためのフレームワークの用語です。これらの組み合わされたプロセスは、効果的なネットワーク管理とセキュリティにとって重要であると考えられています。

9
TheJulyPlot

両方を管理するために思い浮かぶ唯一の用語は「アクセス管理」であり、それは私が認証、承認、アカウンティングを実装するシステムを意味する。 (しばしばAAAフレームワークと呼ばれます)

これらの用語は、それらを必要とするシステムの実装を開始するまで、実際には共通点を共有しません。

3
LvB

ほとんどのアナリスト企業は、このスペースをIdentity&Access Management(IAM)と呼んでいます。また、ベンダーが自社製品に使用するスペースの名前でもあります。 IAMに加えて、IAGまたはIdentity&Access Governanceと呼ばれる別のスペースがあります。IAMは、定義と実行時間に関するものですが、レビュー時間についてです。

最後に、Gartner&Kuppinger Coleは、アクセス制御の詳細にEAM(Externalized Authorization Management)とDAM(Dynamic Authorization Management)も使用しています。

0
David Brossard

あなたの質問への答えは、用語が使用されている文脈に依存します。抽象化の最高レベルでは、包括的な用語はInformation Assuranceで、5つの柱は次のとおりです。

  • 可用性
  • 誠実さ
  • 認証
  • 守秘義務
  • 否認防止

明確にするために、authenticationおよびauthorization情報セキュリティ。これは、Information Assuranceの柱、特に否認防止の柱を高い信頼度で実施することを目的としています。

さらに詳しく説明すると、どちらの用語も情報保証に含まれ、関連して情報セキュリティの領域に含まれます。主に:

  • アイデンティティ管理(IdM)または
  • IDおよびアクセス管理(IdAM)

IAMは、一般的に10000以上のIDが見つかる政府や大企業で働く場合は特に、より一般的な用語です。興味のある方は、最新の米国国防総省(米国)およびNational Cyber​​ Security Centres(英国)の指令とガイドライン here および here をそれぞれ確認してください。

定義と説明

IDとアクセス管理(IdAM)は情報セキュリティの一側面であり、質問の2つの用語を含むテクノロジとプロセスを網羅しています。

Identity Governance-IdAMのプロセスです。支配するのはポリシーの管理です:

  • 異機種システム間でのアイデンティティ(人間/機械/人工)のエンドツーエンドのライフサイクル(作成/変更/移動/サポート終了)。
  • 確立されたIDに付与される組織資産へのアクセスの階層(もちろん、企業に対する役割と責任に相応しい)。
  • iSO 27001、GDPR、HIPAAなどの外部/内部規制への準拠。

他の機能もありますが、これらの3つは私が信じている主要な機能です。このプラクティスでは、ネットワーク頻度管理者などのIDを作成し、そのIDが持つべき特権を決定します。また、建物のどの領域、どのコンピューター、どのプリンター、どのモバイルデバイスがそのIDを使用できるか、さらにはデバイスグループを特定のIDタイプにロックすることもできます。これは事実上、IDに関連付けられる承認の管理計画です。ビジネスアナリスト、エンタープライズアーキテクト、コンプライアンスの専門家、情報セキュリティの専門家、情報監査人がこのレベルのゲームで活躍しています。

アクセス管理-分析と応答

  • アクセスルールへの違反-どのIDが割り当てられたアクセスポリシーに違反していますか?
  • アクセスリスク、具体的にはそれらのリスクのプロファイリングと軽減-この違反の程度と、それにどのように対応するかさらに分析が必要ですか?これらをカタログ化し、既知の攻撃ベクトルなどに追加する必要があります。
  • リアルタイムのプロビジョニングの必要性-アクセスは可能ですか?つまり、資産へのアクセスはタイムリーですか? 5日遅れでアセットへのアクセスを許可することはできません。

ご覧のとおり、適切なアクセス(情報保証の技術的な実装の観点から)は、エンタープライズ内のアイデンティティガバナンス機関によってすでに確立されているはずのポリシーから派生しているため、アクセス制御はガバナンスと密接に関連しています。このプラクティスでは、認証サービスの技術的な実装に重点が置かれ、身元が本人であると主張し、ポリシーセットの指示に準拠していることを高い信頼度で判断します。サイバーセキュリティスペシャリスト、インシデントおよびレスポンスアナリスト、インフラストラクチャ(ネットワーク/ストレージ/データベース)スペシャリスト、ペンテスター、プラットフォームスペシャリスト、ソフトウェアスペシャリスト、分析AIがこのレベルで活躍しています。

承認と認証を分離して表示することは不適切です。代わりに、それらは情報保証と情報セキュリティの中で広く使用されている用語であることを認識してください。

0
TheJackal