RSAConference2021將于舊金山時(shí)間5月17日召開(kāi)，這將是RSA大會(huì)有史以來(lái)第一次采用網(wǎng)絡(luò)虛擬會(huì)議的形式舉辦。大會(huì)的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網(wǎng)絡(luò)安全行業(yè)技術(shù)創(chuàng)新和投資的風(fēng)向標(biāo)。

前不久，RSA官方宣布了最終入選創(chuàng)新沙盒的十強(qiáng)初創(chuàng)公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

綠盟君將通過(guò)背景介紹、產(chǎn)品特點(diǎn)、點(diǎn)評(píng)分析等，帶大家了解入圍的十強(qiáng)廠商。今天，我們要介紹的是廠商是： STRATA。

隨著云技術(shù)的發(fā)展，企業(yè)越來(lái)越多的將應(yīng)用部署在云端。當(dāng)前，企業(yè)主要使用的云服務(wù)包括微軟的Azure Active Directory，亞馬遜的Amazon Web Services (AWS)和谷歌的Google Cloud Platform (GCP)等。如果應(yīng)用程序運(yùn)行在不同的云上，每個(gè)云都有自己的身份識(shí)別系統(tǒng)，再加上本地的舊版應(yīng)用程序，導(dǎo)致企業(yè)面臨分布式的身份管理問(wèn)題。如果將傳統(tǒng)的應(yīng)用遷移到云上，并且手動(dòng)重寫(xiě)每個(gè)應(yīng)用以適配云端的身份識(shí)別將消耗大量的資源，對(duì)于那些有著成百上千的應(yīng)用的企業(yè)來(lái)說(shuō)更是如此。而STRATA為該問(wèn)題提供了一個(gè)解決方案：Maverics Identity Orchestration Platform（身份編排平臺(tái)）。

公司官網(wǎng)：https://www.strata.io/

一、 公司簡(jiǎn)介

STRATA的管理團(tuán)隊(duì)成員包括Eric Olden，Topher Marie和Eric Leach，擁有總共110年的身份管理經(jīng)驗(yàn)。STRATA獲得1150萬(wàn)美元的融資，其中，種子融資在2019年8月，為50萬(wàn)美元，A輪融資在2021年2月，為1100萬(wàn)美元。由Menlo Ventures牽頭，旨在推動(dòng)多云身份識(shí)別技術(shù)的變革。通過(guò)世界上第一個(gè)身份編排平臺(tái)——Maverics，能夠簡(jiǎn)單、安全、快速的構(gòu)建身份編排。使用預(yù)構(gòu)建的能夠快速部署的身份編排機(jī)制在Maverics平臺(tái)上構(gòu)建身份編排，而不需要重寫(xiě)應(yīng)用程序。

STRATA提供了一個(gè)身份編排和多云身份管理平臺(tái)，專門為混合和多云環(huán)境構(gòu)建，通過(guò)該平臺(tái)可跨多個(gè)云、本地和混合云輕松地管理分布式身份識(shí)別系統(tǒng)。通過(guò)將應(yīng)用程序與身份系統(tǒng)分離，Strata的身份結(jié)構(gòu)打破了鎖定，所以你可以輕松地在云端和身份提供者之間移動(dòng)。這種方法確保了一種混合的云策略和多云策略，既節(jié)省了成本，又可以根據(jù)企業(yè)的需求進(jìn)行擴(kuò)展。

二、 基于統(tǒng)一策略的身份管理服務(wù)

Maverics采用多種技術(shù)實(shí)現(xiàn)應(yīng)用程序身份認(rèn)證向云端的遷移，如圖 1所示。

圖 1. Maverics的統(tǒng)一身份策略

Maverics將核心身份管理服務(wù)抽象到一個(gè)集成的身份結(jié)構(gòu)中，該結(jié)構(gòu)支持身份編排和用戶流。以下介紹其工作原理。

三、 工作原理

Maverics的身份編排是運(yùn)行時(shí)用戶流，它從登錄、多因素、授權(quán)、屬性和其他身份服務(wù)對(duì)用戶會(huì)話進(jìn)行編排。Maverics的方案，例如應(yīng)用程序+身份遷移，自助應(yīng)用程序請(qǐng)求等，都不需要重寫(xiě)應(yīng)用程序。Maverics的工作流程如圖 2所示，其中：

圖 2. Maverics的身份編排流程

1. 決定用戶最初應(yīng)該在何處進(jìn)行身份驗(yàn)證。

2. 通過(guò)云身份系統(tǒng)對(duì)用戶進(jìn)行認(rèn)證。

3. 檢查訪問(wèn)控制。通常這是由應(yīng)用程序本身的身份認(rèn)證系統(tǒng)完成的。這里Maverics提供了一個(gè)代理（proxy）的角色，下文會(huì)進(jìn)一步介紹。

4. 強(qiáng)制進(jìn)行有條件的身份認(rèn)證，并根據(jù)MFA（多因子身份認(rèn)證）解決方案對(duì)用戶進(jìn)行進(jìn)一步認(rèn)證。

5. 從本地側(cè)的LDAP服務(wù)檢索用戶的屬性。

6. 根據(jù)5中的屬性，從授權(quán)系統(tǒng)獲得授權(quán)策略。

7. 如果得到授權(quán)，則調(diào)用一個(gè)web服務(wù)，在應(yīng)用程序中啟動(dòng)另一個(gè)工作流。

8. 如有必要，將會(huì)話token從一種格式轉(zhuǎn)換為另一種格式，例如將SAML標(biāo)記轉(zhuǎn)換為HTTP頭。

9. 為了實(shí)現(xiàn)個(gè)性化，Maverics將用戶的會(huì)話數(shù)據(jù)打包，并將屬性傳遞到應(yīng)用程序中。

10. 最終提供了對(duì)應(yīng)用程序的訪問(wèn)。

為了實(shí)現(xiàn)以上的流程，Maverics需要用到兩項(xiàng)核心技術(shù)，即應(yīng)用程序+身份遷移和自助應(yīng)用程序請(qǐng)求。以下分別介紹。

3.1 應(yīng)用程序/身份遷移：不需要重寫(xiě)代碼，即可將應(yīng)用從本地身份遷移到云身份。

從舊版身份系統(tǒng)(如SiteMinder、Oracle Access Manager、RSA ClearTrust、IBM、Ping和Active Directory)遷移應(yīng)用程序是一項(xiàng)復(fù)雜、耗時(shí)的工作。重新編寫(xiě)每個(gè)舊版應(yīng)用程序以適應(yīng)基于標(biāo)準(zhǔn)的現(xiàn)代云身份是不現(xiàn)實(shí)的。有了Maverics，用戶不必重寫(xiě)舊的應(yīng)用程序就可以使用云身份。這里面包含了兩部分：應(yīng)用身份遷移與用戶身份遷移。

應(yīng)用身份遷移

這部分的作用是將應(yīng)用的身份遷移到云端。使用身份編排對(duì)應(yīng)用程序進(jìn)行身份遷移的流程如圖 3所示。

圖 3. 使用身份編排對(duì)應(yīng)用程序進(jìn)行身份遷移

1. 針對(duì)舊版身份系統(tǒng)運(yùn)行服務(wù)發(fā)現(xiàn)，用來(lái)發(fā)現(xiàn)需要向云端遷移的應(yīng)用程序。

2. 分析應(yīng)用程序，舊版的策略被提取并自動(dòng)轉(zhuǎn)換為云身份策略。

3. 舊版的應(yīng)用程序及其SSO代碼被“提升和轉(zhuǎn)移（lifted-and-shifted）”到云平臺(tái)。

4. 引導(dǎo)用戶根據(jù)云身份系統(tǒng)進(jìn)行身份驗(yàn)證，然后使用OIDC或SAML為用戶創(chuàng)建一個(gè)會(huì)話。

5. 由于應(yīng)用程序沒(méi)有被重寫(xiě)，所以其本身仍然在使用舊版的令牌格式。Maverics將OIDC令牌從云身份識(shí)別系統(tǒng)轉(zhuǎn)換為應(yīng)用程序需要的舊版令牌格式，用于應(yīng)用程序進(jìn)行身份認(rèn)證。也就是說(shuō)，Maverics在這里提供了一個(gè)類似于代理（proxy）的服務(wù)。

6. 數(shù)據(jù)被打包到用戶會(huì)話的HTTP頭中，以供應(yīng)用程序使用，無(wú)需任何更改。同時(shí)，MFA檢查從屬性提供者、應(yīng)用程序和其他身份系統(tǒng)收集的額外用戶數(shù)據(jù)(可選)。

7. 應(yīng)用程序身份認(rèn)證遷移到云端。

8. 驗(yàn)證遷移的應(yīng)用程序是否如預(yù)期的那樣工作，然后自動(dòng)化進(jìn)行QA測(cè)試和認(rèn)證(可選)。

重復(fù)上述步驟，直到遷移所有應(yīng)用程序。

 用戶身份遷移

完成了應(yīng)用身份向云端的遷移，Maverics還需要對(duì)用戶身份進(jìn)行遷移。使用身份編排對(duì)用戶進(jìn)行身份遷移的流程如圖 4所示。

圖 4. 使用身份編排對(duì)用戶進(jìn)行身份遷移

1. Maverics在舊版的WAM（Web Access Management）中驗(yàn)證用戶。

2. 云身份配置文件包括由Maverics檢索到的LDAP屬性。

3. 根據(jù)惡意賬戶情報(bào)數(shù)據(jù)庫(kù)對(duì)賬戶進(jìn)行檢查。

4. Maverics在云身份系統(tǒng)中創(chuàng)建一個(gè)用戶帳戶，幫助用戶完成身份認(rèn)證向云端的遷移。

5. 當(dāng)用戶以后再次登錄時(shí)，Maverics會(huì)檢測(cè)用戶認(rèn)證的遷移情況。

6. Maverics檢測(cè)到用戶已經(jīng)遷移，并使用云身份進(jìn)行認(rèn)證。

以上完成了應(yīng)用程序和用戶的身份遷移。用戶在使用應(yīng)用程序時(shí)，Maverics系統(tǒng)會(huì)自動(dòng)幫助用戶完成云端的身份識(shí)別。

3.2 自助應(yīng)用程序請(qǐng)求：使用Maverics身份編排構(gòu)建即時(shí)應(yīng)用請(qǐng)求。

應(yīng)用無(wú)處不在——在云端，在本地，或者以SaaS的形式交付。這意味著需要保護(hù)大量敏感數(shù)據(jù)。訪問(wèn)策略橫跨在舊版系統(tǒng)和SaaS之間，IT團(tuán)隊(duì)無(wú)法有效處理這些碎片化的訪問(wèn)控制策略。使用這個(gè)Maverics身份編排最佳實(shí)踐配方案可以為應(yīng)用程序提供即時(shí)的訪問(wèn)。其工作流程如所示。

圖 5. 使用身份編排來(lái)構(gòu)建即時(shí)訪問(wèn)請(qǐng)求

1. Maverics代理用戶請(qǐng)求，并指導(dǎo)用戶在云身份系統(tǒng)上進(jìn)行身份驗(yàn)證。

2. 用戶登錄到門戶并使用Azure AD進(jìn)行身份驗(yàn)證。

3. 在門戶中，用戶希望訪問(wèn)應(yīng)用程序，但沒(méi)有訪問(wèn)權(quán)限，則可點(diǎn)擊“立即獲取”按鈕。

4. 此事件觸發(fā)用戶使用MFA進(jìn)行進(jìn)一步認(rèn)證。

5. 一旦用戶使用MFA進(jìn)行身份驗(yàn)證，Maverics就會(huì)從LDAP中檢索用戶的屬性。

6. Maverics將這些屬性傳遞給授權(quán)系統(tǒng)，并根據(jù)訪問(wèn)策略“Allow access If US Employee”對(duì)其進(jìn)行評(píng)估。

7. Maverics向ServiceNow（將跨組織的人員、功能和系統(tǒng)連接起來(lái)的系統(tǒng)，實(shí)現(xiàn)IT服務(wù)與運(yùn)維的自動(dòng)化、規(guī)范化和標(biāo)準(zhǔn)業(yè)務(wù)流程化）發(fā)送一個(gè)接收和審計(jì)事件。

8. Maverics允許用戶立即訪問(wèn)請(qǐng)求的應(yīng)用程序，并將個(gè)性化數(shù)據(jù)傳遞到應(yīng)用程序。

通過(guò)應(yīng)用程序+身份遷移和自助應(yīng)用程序請(qǐng)求技術(shù)，Maverics可以實(shí)現(xiàn)統(tǒng)一靈活的身份識(shí)別，而不需要重寫(xiě)應(yīng)用程序。

四、 總結(jié)

隨著混合云和多云的發(fā)展，各類傳統(tǒng)IT系統(tǒng)與云端應(yīng)用融合亟需解決的問(wèn)題是身份統(tǒng)一，STRATA公司致力于多云身份識(shí)別技術(shù)的研發(fā)，的確抓住了企業(yè)上云的一大痛點(diǎn)。其產(chǎn)品Maverics提供了預(yù)先構(gòu)建的能夠快速部署的身份編排機(jī)制，用戶可以在不重新開(kāi)發(fā)應(yīng)用程序的前提下實(shí)現(xiàn)跨多個(gè)云的身份識(shí)別系統(tǒng)的遷移。在云技術(shù)大規(guī)模應(yīng)用的今天，STRATA公司的產(chǎn)品可以有效降低應(yīng)用程序往云端遷移的成本，加速企業(yè)應(yīng)用往云端遷移的進(jìn)程。企業(yè)如果通過(guò)STRATA實(shí)現(xiàn)了混合云、多云場(chǎng)景下的統(tǒng)一業(yè)務(wù)融合，或是傳統(tǒng)環(huán)境向全云環(huán)境（Cloud Only）的業(yè)務(wù)遷移，那就能為后續(xù)的零信任機(jī)制奠定堅(jiān)實(shí)基礎(chǔ)。雖然STRATA在介紹中沒(méi)有提及零信任，但多云場(chǎng)景下的IAM機(jī)制，事實(shí)上就是零信任理念的一種最佳實(shí)踐。