RSAConference2021将于旧金山时间5月17日举行。大会的创新沙盒(Sandbox)大赛作为“安全界的奥斯卡”,每年都备受瞩目,已成为全球网络安全行业技术创新和投资的风向标。不久前,RSA官方公布了最终入选创新沙盒的十大初创公司:WABBI、Satori、AbnormalSecurity、Apiiro、AxisSecurity、CapePrivacy、Deduce、OpenRaven、STARATA、WIZ。绿盟科技将从背景介绍、产品特点、评论分析等方面为大家介绍入围的十大厂商。今天,我们要介绍的厂商是:STRATA。随着云技术的发展,越来越多的企业将应用部署在云端。目前,企业使用的云服务主要有微软的AzureActiveDirectory、亚马逊的亚马逊网络服务(AWS)和谷歌的谷歌云平台(GCP)。如果应用程序运行在不同的云上,每个云都有自己的身份系统,加上本地遗留应用程序,会导致企业出现分布式身份管理问题。将传统应用迁移到云端并手动重写每个应用以适应云的身份将消耗大量资源,尤其是对于拥有数百或数千个应用的企业。STRATA为这个问题提供了一个解决方案:MavericsIdentityOrchestrationPlatform(身份编排平台)。公司官网:https://www.strata.io/一、公司简介STRATA的管理团队成员包括EricOlden、TopherMarie和EricLeach,共拥有110年的身份管理经验。STRATA获得1150万美元融资,其中2019年8月种子轮融资50万美元,2021年2月A轮融资1100万美元,由MenloVentures领投,旨在推动多云身份变革技术。通过全球首个身份编排平台——Maverics,可以简单、安全、快速地构建身份编排。使用预构建的身份编排机制在Maverics平台上构建身份编排,无需重写应用程序即可实现快速部署。STRATA提供专为混合和多云环境构建的身份编排和多云身份管理平台,通过该平台可以跨多个云、本地和混合云轻松管理分布式身份系统。通过将应用程序与身份系统分离,Strata的身份结构打破了锁定,因此您可以轻松地在云和身份提供者之间移动。这种方法可确保混合云和多云战略具有成本效益,并且可以根据企业的需求进行扩展。2.基于统一策略的身份管理服务Maverics采用多种技术实现应用身份认证的云端迁移,如图1所示。图1.Maverics的统一身份策略Maverics将核心身份管理服务抽象为一个集成的支持身份编排和用户流的身份结构。这是它的工作原理。3.它是如何工作的Maverics的身份编排是一个运行时用户流,它从登录、多因素、授权、属性和其他身份服务编排用户会话。Maverics的场景,比如应用+身份迁移,自助申请请求等,不需要应用重写。Maverics的工作流程如图2所示,其中:图2.Maverics的身份编排流程1.决定用户最初应该在何处进行身份验证。2.通过云身份系统对用户进行认证。3.检查访问控制。通常这是由应用程序本身的身份验证系统完成的。这里小牛提供了一个代理角色,下面会进一步介绍。4.实施条件认证,基于MFA(多因素认证)解决方案进一步认证用户。5.从本地端的LDAP服务中检索用户的属性。6.根据5中的属性,从授权系统中获取授权策略。7.如果授权,则在应用程序中调用一个web服务启动另一个工作流。8.如有必要,将会话令牌从一种格式转换为另一种格式,例如将SAML令牌转换为HTTP标头。9.对于个性化,Maverics将用户的会话数据打包并将属性传递到应用程序中。10.最终提供对应用程序的访问。为了实现上述过程,小牛需要用到两大核心技术,即应用+身份迁移和自助申请请求。下面分别介绍。3.1应用程序/身份迁移:将应用程序从本地身份迁移到云身份,而无需重写代码。从SiteMinder、OracleAccessManager、RSAClearTrust、IBM、Ping和ActiveDirectory等遗留身份系统迁移应用程序是一项复杂且耗时的工作。重写每个遗留应用程序以适应现代的、基于标准的云身份是不现实的。使用Maverics,用户无需重写遗留应用程序即可使用云身份。这包括两部分:应用身份迁移和用户身份迁移。应用身份迁移部分的作用是将应用的身份迁移到云端。使用身份编排的应用程序的身份迁移流程如图3所示。图3.使用身份编排的应用程序的身份迁移1.针对遗留身份系统运行服务发现以发现需要迁移到云中的应用程序。2.分析应用程序,提取遗留策略并自动转换为云身份策略。3.遗留应用程序及其SSO代码被“提升并转移”到云端。4.引导用户向云身份系统进行认证,然后使用OIDC或SAML为用户创建会话。5.由于应用程序没有被重写,它本身仍在使用遗留令牌格式。Maverics将OIDC令牌从云身份系统转换为应用程序进行身份验证所需的旧令牌格式。也就是说,Maverics在这里提供了类似代理的服务。6.数据被打包到用户会话的HTTP头中,供应用程序使用,无需任何更改。同时,MFA检查从属性提供者、应用程序和其他身份系统收集的额外用户数据(可选)。7、应用认证上云。8.验证迁移的应用程序是否按预期工作,然后自动化QA测试和认证(可选)。重复上述步骤,直到迁移完所有应用程序。用户身份迁移完成应用身份到云端的迁移,小牛也需要迁移用户身份。图4显示了使用身份编排为用户进行身份迁移的过程。图4.使用IdentityOrchestration的用户身份迁移1.Maverics在遗留WAM(Web访问管理)中对用户进行身份验证。2.云身份配置文件包括Maverics检索到的LDAP属性。3.对照恶意账号情报库检查账号。4、Maverics在云身份系统中创建用户账号,帮助用户完成身份认证上云。5、当用户以后再次登录时,小牛会检测用户身份验证的迁移。6.Maverics检测到用户已迁移并使用云身份进行身份验证。以上就完成了应用和用户身份的迁移。当用户使用应用时,小牛系统会自动帮助用户完成云端识别。3.2自助应用程序请求:使用MavericsIdentityOrchestration构建即时应用程序请求。应用程序无处不在——在云端、本地或作为SaaS交付。这意味着需要保护大量敏感数据。访问策略跨越遗留系统和SaaS,IT团队无法有效处理这些碎片化的访问控制策略。使用此Maverics身份编排最佳实践解决方案来提供对应用程序的即时访问。其工作流程如图所示。图5.使用IdentityOrchestration构建即时访问请求1.Maverics代理用户请求并引导用户在云身份系统上进行身份验证。2.用户登录门户并使用AzureAD进行身份验证。3.在门户中,想要访问应用程序但没有访问权限的用户可以单击“立即获取”按钮。4.此事件触发用户使用MFA进行进一步的身份验证。5.一旦用户使用MFA进行身份验证,Maverics就会从LDAP中检索用户的属性。6.Maverics将这些属性传递给授权系统,并根据访问策略“如果美国员工允许访问”对其进行评估。7.Maverics将接收和审计事件发送到ServiceNow(一个连接跨组织人员、职能和系统以自动化、标准化和标准化IT服务和运营的业务流程的系统)。8.Maverics允许用户立即访问请求的应用程序并将个性化数据传递给应用程序。Maverics通过应用+身份迁移和自助式应用请求技术,在不重写应用的情况下实现统一灵活的身份。4.总结随着混合云、多云的发展,各种传统IT系统与云应用的融合亟待解决的问题是身份统一。STRATA致力于多云识别技术的研发,确实为企业掌握了一??部分云端。大痛点。其产品Maverics提供了一种预建的身份编排机制,可以快速部署,用户可以跨多个云迁移身份系统,而无需重新开发应用程序。在云技术大规模应用的今天,STRATA的产品能够有效降低应用上云的成本,加速企业应用上云的进程。如果企业通过STRATA实现混合云、多云场景下的业务统一集成,或者将业务从传统环境迁移到纯云环境(CloudOnly),可以为后续的零信任机制打下坚实的基础。虽然STRATA在介绍中没有提到零信任,但多云场景下的IAM机制其实是零信任理念的最佳实践。
