2021 RSA Conference全球网络安全顶级大会将于线上召开,日前,RSA官网已公布今年创新沙盒(Innovation Sandbox)的入围名单,共入选十家企业。专注于解决分布式多云身份问题的STRATA获得提名,将在RSAC上展示其MVERICS平台及关键技术。
如今,身份管理是复杂且分散的,随着云技术的发展,企业越来越多的将应用部署在云端。如果应用程序运行在不同的云上,每个云都有自己的身份识别系统,再加上本地的旧版应用程序,导致企业面临分布式的身份管理问题, 形成一个又一个的身份孤岛。若想实现单点登录,需要对接标准协议,应用必然需要改造,但存在策略管理和执行兼容难的问题。面临这种挑战的企业用户寻求一种有效的方法,能够统一管控所有服务的身份数据和访问控制策略。
STRATA提供的解决方案能够对接多种云服务的身份数据和访问控制策略基础设施。同时,方案适配多种身份认证协议,在应用零改造的基础上,实现统一管理。STRATA MVERICS平台联动三个产品,身份发现(Identity Discovery)连接目录(Connector Catalog)以及身份编排引擎(Identity Orchestrator)提供关键能力。
身份发现
身份发现(Identity Discovery)是该方案实现身份策略统一管理的第一步,具备三个能力:
1. 身份系统盘点
首先梳理企业已对接的身份服务和访问控制服务,创建一个身份系统软件及组件清单。清单包括了企业内各分布式系统的全部用户属性、组、角色、数据结构、策略、配置等。这是构建统一身份管理的数据基础。
2. 身份服务可视化
通过对原有身份数据、策略、身份系统配置,获得用户访问应用模式、身份数据流的洞察。
3. 应用集成分析
分析用户在访问情况下,身份系统和应用之间的交互,包括使用的cookies、HTTP header、访问令牌等。
最终,通过这几个能力,身份发现(Identity Discovery)可以帮助原有身份系统向统一身份系统迁移。
连接器目录
从旧身份系统迁移应用及服务十分复杂,重新编写每个应用去适应新身份系统是不现实的。连接器目录(Connector Catalog)帮助企业在无需复杂代码支持的情况下构建传统身份服务与STRATA的统一身份服务之间的链接。
身份编排器
·为完成统一身份与统一管理,身份编排器(Identity Orchestrator)主要提供以下能力:
1. 统一身份和策略
策略统一,同时支持旧身份服务和新的统一身份服务的策略同步与统一。
2. 应用不改造
身份认证与访问控制统一, 通过编排器适配多种身份认证协议,实现在不改造应用的情况下,将应用所需的身份与属性信息通过HTTP 头字段传递。
3. 逐步迁移
同时兼容旧身份服务与新身份服务,分步迁移用户。
STRATA的方案能够解决多云环境下易构身份服务统一的问题,只有数据策略统一起来避免身份孤岛,才能实现对访问的安全可控。身份数据的统一管理有利于零信任解决方案的落地实施,STRATA方案不用改造应用就能解决零信任入门启动难题。
STRATA的MVERICS解决方案有助于零信任架构的实施,因为零信任架构的关键能力首先就强调了“以身份为基石”,首要目标就是基于身份进行细粒度的访问控制。换句话说,身份安全基础设施是实现零信任架构的关键支撑,零信任架构借助现代身份管理平台实现对人、设备、系统的全面、动态、智能的访问控制。
本文作者:甄德善 奇安信身份安全实验室
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。