Extreme IDM具備完整身份管理功能

IP位址與使用者之間並沒有絕對關係，若只是從監控IP位址著手，其實無法做好網路身份認證管理。而Extreme交換器則具備與Windows AD串連的功能，能將相關管理政策延伸到基礎網路設備中，即時辨識網路用戶的身份。

伴隨著網際網路的蓬勃發展，各種資料外洩的事件愈來愈嚴重，尤其在行動設備快速普及，迅速成為商務人士不可或缺的工具後，更增加企業營運上的風險。儘管多數公司已經陸續添購資安防護設備，如防火牆、入侵防禦等等，但仍然無法有效杜絕機密資料被竊取，加上個資法於2012年10月上路之後，只要發生客戶資料外洩情形，便可能面臨高達2億元以上的賠償。

Extreme台灣暨菲律賓區總經理錢旭光表示：「根據研究機構的分析顯示，有80％資料外洩是從企業內部發生，只有20%是駭客直接由外部侵入，所以做好企業內部的身份管控，是首當重要一事。」

自帶裝置成趨勢 Extreme IDM能紀錄使用行為

儘管在個資法的實行細則與條文中，刪去了紀錄使用者軌跡的規章，但是卻也明白指出企業必須善盡保管人的責任，並且得提出相關佐證資料，否則一旦發生客戶資料外洩事件，將有可能會被處以最高罰金。尤其在複雜的商業環境中，公司內部除了正職員工之外，也有約聘(雇)、人力派遣人員、訪客等，如沒有完善的身份管理平台，很容易出現資安防護上的漏洞。

但多數公司為杜絕駭客入侵與攻擊，所建構的資安防禦都是朝向資安互聯的方向發展，也就是將多個安全防護點串連起來，組成一道嚴密的資安防禦網，以便在攻擊發生就先阻斷可能的連線。相較之下，資訊人員對企業內部用戶管理就稍嫌不足，儘管企業大多使用Windows AD確認使用者的登入身份，但是都沒有進一步控管使用者的行為，而是將重心放在多半IP、MAC、Port及VLAN等相關資料的蒐集上。

「IP位址與使用者之間並沒有絕對關係，若只是從監控IP位址著手，便無法做到身份認證管理。」錢旭光認為：「所以我們認為最好的方法，就是在交換器中加入可與Windows AD串連的身份辨識（IDM，Identity Manager）功能，不僅能將管理政策延伸到基礎網路設備中，還能收集使用者或設備資訊等資料，一併紀錄IP、MAC、介面及時間等軌跡資料。」

簡而言之，目前身分識別及存取的管理工具，大都在應用軟體層上進行管控，而非從實體網路層連線時進行管控，所以可能造成安全上的漏洞，或者影響應用軟體的可存取性，因此若要做好內控管理最好的方式，便是直接從實體網路層進行身分識別及存取管理等工作。

自帶裝置成趨勢 Extreme IDM能紀錄使用行為

隨著行動裝置的快速普及，智慧型手機、平板電腦…等成為商務人士必備工具後，Extreme IDM更是資訊人員做好企業內部網路的最佳選擇。不少公司為提升整體競爭力，只能被迫開放員工攜帶自行攜帶設備進入公司內部，但是卻也會面臨連接網路的設備類型不斷增加，因此需要一套能夠識別公司資產或私人設備，以進行管制的解決方案。

有不少公司為此添購了MDM管理工具，以掌握行動設備的運作狀況，但是若能夠搭配身分識別及存取管理平台，更能夠瞭解資訊設備在企業內部的運用狀況。錢旭光指出：「具備IDM功能的Extreme交換器，會紀錄每個帳號連上網路的完整存取記錄，包含登入時間、存取路徑、設備種類等等，以提供事後稽核使用，而且不需要安裝任何額外軟體，也不會改變使用者的習慣。」由於不需要在用戶端安裝任何代理程式，只需要在更換交換器時，設定好與Windows AD與其他網路認證伺服器的連線即可。

換句話說，資訊人員只要在企業內部導入Extreme交換器與無線AP，即便員工臨時攜帶筆記電腦或者平板電腦到公司使用，在存取各項網路資源之前，都必須先登入Windows AD，否則交換器便限制設備的存取權限。若是訪客必須臨時透過公司網路，連上外部網路存取電子郵件或網頁時，也會被限制在公司內部的特定區域中，完全不用擔心會發生資料被竊取的狀況。

結合企業內認證機制 即時紀錄網路狀況

Extreme IDM不僅能夠即時紀錄網路帳號完整存取行為，也不需要改變企業內部的網路架構，還可以搭配企業內部現有管理機制，如802.1X網路認證、NAC或資產管理軟體等，可以輕鬆將企業內部與外部資安管理平台整合在一起，減少稽核部門上的工作負擔。另外，在管理軟體的介面設計上，不僅具備簡單易用的特色，也提供專屬搜尋介面，可以透過輸入使用者名稱、IP、MAC、Port或VLA N等方式，查詢到完整詳細資訊。

錢旭光說：「Extreme IDM有提供資料匯出功能，可以轉成多種資料格式，方便日後保存或稽核使用，尤其當網管人員只要在Windows AD上新增帳號，或者刪除及異動，也會即時更新到資料庫，完全不會有延遲的狀況，所以資料紀錄也會比其他管理軟體更完整。」

隨著10、40GbE的網路時代來臨，企業用戶勢必會面臨更換交換器的需求，所以不妨在添購新基礎設備時，購買具備Extreme IDM功能的交換器，即便有IT預算上的限制，也可以先從置換各區域中的頂層交換器著手，即可達到身分識別及存取控制的功能。