RSA イノベーション サンドボックス インベントリ | STRATA - 分散型マルチクラウド ID

RSA カンファレンス 2021 は、サンフランシスコ時間 5 月 17 日に開催されます。 RSA カンファレンスが仮想オンライン カンファレンスの形式で開催されるのは、RSA カンファレンス史上初めてのことです。このカンファレンスのイノベーション・サンドボックス・コンテストは「セキュリティ界のオスカー賞」として知られ、毎年大きな注目を集め、世界のサイバーセキュリティ業界における技術革新と投資の風向計となっています。

少し前に、RSA はイノベーション サンドボックスに最終的に選ばれたトップ 10 のスタートアップ企業を正式に発表しました。WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ です。

グリーンアライアンスは、背景紹介、製品の特徴、コメント、分析を通じて、最終選考に残った上位10社のメーカーを紹介します。本日ご紹介するのはメーカー「STRATA」です。

クラウド テクノロジーの発展に伴い、ますます多くの企業がクラウドにアプリケーションを導入しています。現在、企業が利用する主なクラウドサービスとしては、Microsoft の Azure Active Directory、Amazon の Amazon Web Services (AWS)、Google の Google Cloud Platform (GCP) などがあります。アプリケーションが異なるクラウド上で実行され、各クラウドに独自の ID 認識システムがあり、ローカルのレガシー アプリケーションと組み合わされている場合、企業は分散 ID 管理の問題に直面します。従来のアプリケーションをクラウドに移行する場合、クラウド ID 認識に適応するために各アプリケーションを手動で書き換えると、特に数百または数千のアプリケーションを持つ企業では、大量のリソースが消費されます。 STRATA は、この問題に対するソリューションとして、Maverics Identity Orchestration Platform を提供します。

企業ウェブサイト: https://www.strata.io/

1. 会社概要

STRATA の経営陣には、Eric Olden、Topher Marie、Eric Leach が含まれ、合計 110 年の ID 管理経験を有しています。 STRATA は、2019 年 8 月のシードラウンドでの 50 万ドルと、2021 年 2 月のシリーズ A ラウンドでの 1,100 万ドルを含む、1,150 万ドルの資金を調達しました。Menlo Ventures が主導するこの取り組みは、マルチクラウド ID テクノロジーの変革を推進することを目的としています。世界初のアイデンティティ オーケストレーション プラットフォームである Maverics を使用すると、アイデンティティ オーケストレーションをシンプルかつ安全かつ迅速に構築できます。アプリケーションを書き換えることなく、事前に構築された迅速に展開可能な ID オーケストレーション メカニズムを使用して、Maverics プラットフォーム上で ID オーケストレーションを構築します。

STRATA は、ハイブリッドおよびマルチクラウド環境向けに特別に構築された ID オーケストレーションおよびマルチクラウド ID 管理プラットフォームを提供し、複数のクラウド、オンプレミス、ハイブリッド クラウドにわたる分散 ID システムの管理を容易にします。 Strata の ID ファブリックは、アプリケーションを ID システムから切り離すことでロックインを解消し、クラウドと ID プロバイダー間を簡単に移動できるようにします。このアプローチにより、企業のニーズに基づいてコスト効率と拡張性に優れたハイブリッド クラウド戦略とマルチクラウド戦略が実現します。

2. 統一戦略に基づくアイデンティティ管理サービス

Maverics は、図 1 に示すように、さまざまなテクノロジを使用してアプリケーション認証をクラウドに移行します。

図1. Mavericsの統合アイデンティティ戦略

Maverics は、コア ID 管理サービスを、ID オーケストレーションとユーザー フローをサポートする統合 ID ファブリックに抽象化します。以下にその動作原理を説明します。

3. 動作原理

Maverics の Identity Orchestration は、ログイン、多要素、承認、属性、その他の ID サービスからのユーザー セッションをオーケストレーションするランタイム ユーザー フローです。アプリケーション + ID 移行、セルフサービス アプリケーション リクエストなどの Maverics ソリューションでは、アプリケーションの書き換えは必要ありません。 Maverics ワークフローを図 2 に示します。

図 2. Maverics の ID オーケストレーション プロセス

1. ユーザーが最初に認証する場所を決定します。

2. クラウド ID システムを通じてユーザーを認証します。

3. アクセス制御を確認します。通常、これはアプリケーション独自の認証システムによって行われます。ここで、Maverics はプロキシ ロールを提供します。これについては、以下でさらに詳しく説明します。

4. 条件付き認証を実施し、MFA (多要素認証) ソリューションに基づいてユーザーをさらに認証します。

5. ローカル LDAP サービスからユーザーの属性を取得します。

6. 5 の属性に基づいて、認可システムから認可ポリシーを取得します。

7. 承認されると、Web サービスが呼び出され、アプリケーション内で別のワークフローが開始されます。

8. 必要に応じて、SAML トークンを HTTP ヘッダーに変換するなど、セッション トークンをある形式から別の形式に変換します。

9. パーソナライゼーションを有効にするために、Maverics はユーザーのセッション データをパッケージ化し、その属性をアプリケーションに渡します。

10. 最後に、アプリケーションへのアクセスが提供されます。

上記のプロセスを実装するには、Maverics は、アプリケーション + ID 移行とセルフサービス アプリケーション要求という 2 つのコア テクノロジを使用する必要があります。以下に紹介します。

3.1 アプリケーション/ID の移行: アプリケーションは、コードを書き直すことなく、ローカル ID からクラウド ID に移行できます。

SiteMinder、Oracle Access Manager、RSA ClearTrust、IBM、Ping、Active Directory などの従来の ID システムからアプリケーションを移行することは、複雑で時間のかかる作業です。すべてのレガシー アプリケーションを書き直して、最新の標準ベースのクラウド ID に対応することは現実的ではありません。 Maverics を使用すると、ユーザーはクラウド ID を使用するために古いアプリケーションを書き直す必要がなくなります。これには、アプリケーション ID の移行とユーザー ID の移行という 2 つの部分が含まれます。

アプリケーション ID の移行

この部分の目的は、アプリケーションの ID をクラウドに移行することです。図 3 は、ID オーケストレーションを使用してアプリケーション ID を移行するプロセスを示しています。

図 3. アイデンティティオーケストレーションを使用してアイデンティティをアプリケーションに移行する

1. レガシー ID システムに対してサービス検出を実行し、クラウドに移行する必要があるアプリケーションを特定します。

2. アプリケーションが分析され、レガシー ポリシーが抽出され、クラウド ID ポリシーに自動的に変換されます。

3. レガシー アプリケーションとその SSO コードは、クラウド プラットフォームに「リフト アンド シフト」されます。

4. ユーザーがクラウド ID システムに対して認証するようにガイドし、OIDC または SAML を使用してユーザーのセッションを作成します。

5. アプリケーションは書き換えられていないため、古いトークン形式が引き続き使用されています。 Maverics は、クラウド ID システムからの OIDC トークンを、アプリケーションの認証に必要な従来のトークン形式に変換します。つまり、Maverics はプロキシに似たサービスを提供します。

6. データはユーザー セッションの HTTP ヘッダーにパッケージ化され、変更なしでアプリケーションで使用されます。同時に、MFA は属性プロバイダー、アプリケーション、およびその他の ID システム (オプション) から収集された追加のユーザー データをチェックします。

7. アプリケーション認証がクラウドに移行されます。

8. 移行したアプリケーションが期待どおりに動作することを確認し、QA テストと認証を自動化します (オプション)。

すべてのアプリケーションが移行されるまで、上記の手順を繰り返します。

ユーザーIDの移行

アプリケーション ID のクラウドへの移行が完了した後も、Maverics ではユーザー ID を移行する必要があります。アイデンティティ オーケストレーションを使用してユーザー アイデンティティを移行するプロセスを図 4 に示します。

図4. アイデンティティオーケストレーションを使用したユーザーアイデンティティの移行

1. Maverics は、古いバージョンの WAM (Web アクセス管理) でユーザーを認証します。

2. Cloud Identity プロファイルには、Maverics によって取得された LDAP 属性が含まれます。

3. 悪意のあるアカウント情報データベースとアカウントを照合します。

4. Maverics は、クラウド ID システムにユーザー アカウントを作成し、ユーザーが ID 認証のクラウドへの移行を完了できるようにします。

5. ユーザーが将来再度ログインすると、Maverics はユーザー認証の移行を検出します。

6. Maverics はユーザーが移行したことを検出し、クラウド ID を使用して認証します。

以上で、アプリケーションとユーザーの ID 移行が完了します。ユーザーがアプリケーションを使用すると、Maverics システムが自動的にクラウド内で ID 認識を完了するのに役立ちます。

3.2 セルフサービス アプリケーション リクエスト: Maverics Identity Orchestration を使用して、インスタント アプリケーション リクエストを構築します。

アプリケーションは、クラウド、オンプレミス、または SaaS として提供されるなど、あらゆる場所に存在します。つまり、多くの機密データを保護する必要があるということです。アクセス ポリシーはレガシー システムと SaaS にまたがっており、IT チームはこれらの断片化されたアクセス制御ポリシーを効果的に処理することができません。この Maverics Identity Orchestration ベスト プラクティス構成を使用して、アプリケーションへの即時アクセスを提供します。ワークフローを以下に示します。

図 5. ID オーケストレーションを使用してジャストインタイムのアクセス要求を構築する

1. Maverics はユーザー要求をプロキシし、ユーザーをクラウド ID システムで認証するように指示します。

2. ユーザーはポータルにログインし、Azure AD で認証します。

3. ポータルで、ユーザーがアプリケーションにアクセスしたいがアクセス権がない場合は、「今すぐ入手」ボタンをクリックできます。

4. このイベントにより、ユーザーは MFA を使用してさらに認証を行うようになります。

5. ユーザーが MFA を使用して認証すると、Maverics は LDAP からユーザーの属性を取得します。

6. Maverics はこれらの属性を承認システムに渡し、「米国従業員の場合はアクセスを許可する」というアクセス ポリシーに対して評価します。

7. Maverics は、組織全体の人、機能、システムを結び付けて IT サービスと運用を自動化、標準化、標準化するシステムである ServiceNow に、取り込みおよび監査イベントを送信します。

8. Maverics を使用すると、ユーザーは要求されたアプリケーションに即座にアクセスし、パーソナライズされたデータをアプリケーションに渡すことができます。

Maverics は、App+ アイデンティティ移行とセルフサービス アプリケーション リクエスト テクノロジーを通じて、アプリケーションを書き換えることなく、統一された柔軟なアイデンティティを実現します。

IV.結論

ハイブリッドクラウドやマルチクラウドの発展に伴い、さまざまな従来の IT システムとクラウドアプリケーションの統合において解決する必要がある緊急の問題は、アイデンティティの統一です。 STRATA は、マルチクラウド ID 認識テクノロジーの研究開発に注力しており、クラウド コンピューティングにおける企業の大きな問題点を的確に把握しています。同社の製品である Maverics は、事前に構築され、迅速に展開可能な ID オーケストレーション メカニズムを提供し、ユーザーはアプリケーションを再開発することなく、複数のクラウド間で ID システムを移行できます。現在、クラウド テクノロジーが大規模に導入される中、STRATA の製品は、アプリケーションをクラウドに移行するコストを効果的に削減し、エンタープライズ アプリケーションをクラウドに移行するプロセスを加速することができます。企業がハイブリッド クラウドやマルチクラウドのシナリオで統一されたビジネス統合を実現したり、従来の環境からオールクラウド環境 (クラウドのみ) にビジネスを移行したりできれば、その後のゼロ トラスト メカニズムの強固な基盤を築くことができます。 STRATA は導入時にゼロ トラストについて言及していませんでしたが、マルチクラウド シナリオにおける IAM メカニズムは、実際にはゼロ トラスト コンセプトのベスト プラクティスです。