AI時(shí)代，企業(yè)對(duì)云計(jì)算的需求更加旺盛。從種類繁多的Saas應(yīng)用，到橫跨多個(gè)數(shù)據(jù)中心的混合云架構(gòu)，再到支撐AI大模型運(yùn)行的算力云，多態(tài)化的“云”已成為企業(yè)不可或缺的數(shù)字底座。隨著物理邊界的消融，身份正式成為了連接本地應(yīng)用、云端服務(wù)、AI工作負(fù)載與海量數(shù)據(jù)的唯一紐帶，扮演著 AI 時(shí)代“數(shù)字通行證”的核心角色。

然而，這種“中心化”地位也讓身份成了攻擊者眼中的頭號(hào)突破口。2024年，震驚全球的Snowflake數(shù)據(jù)泄露事件便是前車之鑒：攻擊者使用竊取到的身份憑證，鉆了部分賬戶沒有開啟多因素認(rèn)證（MFA）的漏洞，堂而皇之地“登入”了160家企業(yè)的云數(shù)據(jù)庫(kù)。

更值得企業(yè)警惕的是，這場(chǎng)AI時(shí)代的“身份危機(jī)”正愈演愈烈，大有席卷“云端”之勢(shì)。云安全聯(lián)盟（CSA）最新發(fā)布的《2025年云與AI安全狀況調(diào)查報(bào)告》明確指出，不安全的身份與高風(fēng)險(xiǎn)權(quán)限，已超越配置錯(cuò)誤，成為企業(yè)在云環(huán)境和AI應(yīng)用中面臨的頭號(hào)威脅。

AI時(shí)代，身份安全即云安全

作為數(shù)字安全領(lǐng)域權(quán)威的國(guó)際非營(yíng)利組織，云安全聯(lián)盟（CSA）發(fā)布的年度云計(jì)算威脅報(bào)告，一直被視為云安全領(lǐng)域的“風(fēng)向標(biāo)”。在最新的報(bào)告中，CSA的調(diào)研數(shù)據(jù)傳遞出一個(gè)明確信號(hào)：身份問(wèn)題已成為主導(dǎo)風(fēng)險(xiǎn)結(jié)果的關(guān)鍵因素。

1.身份驅(qū)動(dòng)型泄露已成常態(tài)

首先，云端數(shù)據(jù)泄露的統(tǒng)計(jì)數(shù)據(jù)充分凸顯了身份安全在云安全中的核心地位。報(bào)告指出，在遭遇過(guò)云相關(guān)數(shù)據(jù)泄露的企業(yè)中，前四大原因中有三項(xiàng)與身份直接相關(guān)：

權(quán)限賦予過(guò)度（31%）：賦予了員工超出工作所需的權(quán)限。

訪問(wèn)控制不一致（27%）：不同平臺(tái)間的訪問(wèn)標(biāo)準(zhǔn)混亂。

身份管理規(guī)范缺失（27%）：包括未輪換的密鑰、閑置憑證、孤立賬戶以及未啟用多因素認(rèn)證（MFA）等。

這些日常運(yùn)營(yíng)中的細(xì)微疏漏，極易升級(jí)為重大的數(shù)據(jù)安全災(zāi)難。MOVEit 攻擊事件、JumpCloud 數(shù)據(jù)泄露事件、Okta 數(shù)據(jù)泄露事件，都由身份憑證泄露肇始。

2.身份安全為何難以保證？

身份如此重要，為何企業(yè)總是管不好？CSA在報(bào)告中給出了答案，身份安全問(wèn)題并非源于個(gè)別賬戶，而是系統(tǒng)性的治理未能跟上云技術(shù)的采用步伐：

團(tuán)隊(duì)孤島：28%的企業(yè)面臨“云安全團(tuán)隊(duì)與 IAM 團(tuán)隊(duì)缺乏協(xié)同”的挑戰(zhàn)。

“最小化授權(quán)”實(shí)施遇阻：21%的企業(yè)表示難以規(guī)?；涞亍白钚?quán)限原則”。

KPI設(shè)定被動(dòng)：43%的企業(yè)仍以安全事件發(fā)生的頻率為核心考核指標(biāo)，而非考核風(fēng)險(xiǎn)降低措施的有效性和前瞻性。

值得一提的是，盡管零信任已經(jīng)成為企業(yè)提升云安全水平的首選，44%的企業(yè)計(jì)劃在未來(lái)12個(gè)月內(nèi)優(yōu)先落實(shí)“為身份實(shí)施最小權(quán)限”，但企業(yè)對(duì)身份安全的衡量標(biāo)準(zhǔn)仍側(cè)重于形式化的合規(guī)指標(biāo)（如MFA和SSO的使用率），而非權(quán)限濫用、訪問(wèn)異常等深入指標(biāo)?？梢娖髽I(yè)的零信任建設(shè)，仍舊任重而道遠(yuǎn)。

3.身份對(duì)AI安全更為重要

CSA在報(bào)告中指出，55% 的企業(yè)正將 AI 用于實(shí)際業(yè)務(wù)需求，AI正從“試驗(yàn)階段” 快速轉(zhuǎn)向“核心業(yè)務(wù)”。安全風(fēng)險(xiǎn)隨之而來(lái)，34%擁有AI工作負(fù)載的企業(yè)已遭遇過(guò)AI相關(guān)數(shù)據(jù)泄露。

CSA強(qiáng)調(diào)，身份風(fēng)險(xiǎn)已延伸至服務(wù)賬戶、API 及機(jī)器身份，而這些身份正是連接數(shù)據(jù)管道、模型訓(xùn)練與推理過(guò)程的核心。因此，企業(yè)對(duì)待AI的身份、數(shù)據(jù)及工作負(fù)載防護(hù)，應(yīng)采用與云安全同等嚴(yán)格的標(biāo)準(zhǔn)。

4.如何破解身份安全難題

對(duì)于企業(yè)如何破解云身份安全難題，CSA基于大量安全事件的分析結(jié)果，給出了以下建議：

實(shí)現(xiàn)身份的跨云統(tǒng)一治理：IAM團(tuán)隊(duì)與云團(tuán)隊(duì)需要在零信任路線圖上達(dá)成共識(shí)，在各環(huán)境中標(biāo)準(zhǔn)化策略執(zhí)行、跨云身份協(xié)同及集中式認(rèn)證。

結(jié)合場(chǎng)景實(shí)現(xiàn)最小權(quán)限：用“即時(shí)提權(quán)”和“限時(shí)訪問(wèn)”替代長(zhǎng)期的管理員權(quán)限，通過(guò)“策略即代碼”確保權(quán)限配置無(wú)偏差，并定期審查高風(fēng)險(xiǎn)權(quán)限。

注重實(shí)效而非形式：在跟蹤多因素認(rèn)證（MFA）和單點(diǎn)登錄（SSO）使用率的同時(shí)，更應(yīng)實(shí)時(shí)監(jiān)測(cè)提權(quán)頻次、高風(fēng)險(xiǎn)角色濫用及訪問(wèn)模式異常等信號(hào)。

芯盾時(shí)代，助企業(yè)破解AI時(shí)代身份安全難題

芯盾時(shí)代作為領(lǐng)先的業(yè)務(wù)安全產(chǎn)品方案提供商，基于零信任理念，打造了用戶身份與訪問(wèn)管理平臺(tái)（IAM），能夠幫助企業(yè)將身份管理能力從傳統(tǒng)的人和設(shè)備，延展至非人類身份（NHI）,并憑借先進(jìn)的產(chǎn)品架構(gòu)，幫助企業(yè)打造覆蓋本地與云端的統(tǒng)一身份管理平臺(tái)，一站式實(shí)現(xiàn)對(duì)身份、認(rèn)證、權(quán)限、審計(jì)的統(tǒng)一管理，幫助企業(yè)提升身份安全水平，保障云環(huán)境安全，構(gòu)建AI時(shí)代的一體化身份管理體系。

借助芯盾時(shí)代IAM，企業(yè)能夠?qū)崿F(xiàn)以下功能：

1.全局身份“一盤棋”，統(tǒng)一管理全部身份

芯盾時(shí)代 IAM 能夠整合本地、云端所有業(yè)務(wù)應(yīng)用中分散的身份數(shù)據(jù)，為每位員工建立唯一的可信數(shù)字身份，形成權(quán)威身份數(shù)據(jù)源，并接管所有應(yīng)用的身份管理模塊，最終實(shí)現(xiàn)全局身份信息、認(rèn)證策略、訪問(wèn)權(quán)限、審計(jì)日志的統(tǒng)一管理。

借助IAM平臺(tái)，企業(yè)能夠建立自動(dòng)化流轉(zhuǎn)的用戶全生命周期管理機(jī)制，將身份管理能力提升至“分鐘級(jí)”，做到“人走號(hào)銷，權(quán)隨崗動(dòng)”。

2.適配多云環(huán)境，打破云端本地“壁壘”

憑借先進(jìn)的產(chǎn)品架構(gòu)，芯盾時(shí)代IAM可快速與企業(yè)部署在公有云、私用云上的業(yè)務(wù)應(yīng)用、AI大模型對(duì)接，并兼容企業(yè)微信、釘釘、飛書等協(xié)同辦公生態(tài)，同時(shí)全面兼容各種架構(gòu)的本地應(yīng)用，真正消除云端與云端、云端與本地之間的身份割裂，實(shí)現(xiàn)“云端本地一盤棋”。

針對(duì)IAM平臺(tái)對(duì)接云應(yīng)用時(shí)的數(shù)據(jù)傳輸問(wèn)題，芯盾時(shí)代基于自主研發(fā)的零信任網(wǎng)絡(luò)訪問(wèn)技術(shù)，專門開發(fā)了外網(wǎng)連接器，能夠?qū)崿F(xiàn)身份信息在本地和云端之間的高效傳輸，并借助密碼技術(shù)保證身份數(shù)據(jù)的完整性和機(jī)密性，保證IAM平臺(tái)與云應(yīng)用安全對(duì)接。

3.實(shí)施全局多因素認(rèn)證，有力保障云賬戶安全

借助芯盾時(shí)代自主研發(fā)的移動(dòng)認(rèn)證App或SDK，企業(yè)能夠結(jié)合員工所知、所持、所有進(jìn)行多因素身份認(rèn)證（MFA），為員工提供密碼、App掃碼、短信驗(yàn)證碼、動(dòng)態(tài)口令、指紋識(shí)別、人臉識(shí)別等多種認(rèn)證方式，讓員工在進(jìn)行身份認(rèn)證時(shí)少輸密碼、甚至不輸密碼，兼顧安全與便利。

芯盾時(shí)代IAM為企業(yè)提供定制化的統(tǒng)一應(yīng)用門戶，統(tǒng)一業(yè)務(wù)應(yīng)用的登錄入口，并借助單點(diǎn)登錄功能，讓員工只需認(rèn)證一次，就能登錄所有權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，實(shí)現(xiàn)“一次認(rèn)證，全網(wǎng)通行”。

4.落實(shí)“最小化授權(quán)”，智能挖掘異常行為

借助AI技術(shù)，芯盾時(shí)代IAM能夠自動(dòng)掃描所有業(yè)務(wù)應(yīng)用中的權(quán)限分配情況，生成格式化報(bào)表，并智能審查每一個(gè)員工、每一個(gè)賬號(hào)、每一個(gè)agent的訪問(wèn)權(quán)限是否合規(guī)、合理，對(duì)過(guò)度授權(quán)、職責(zé)沖突、權(quán)限濫用等情況給出處置建議。

IAM還能夠根據(jù)角色、組織、崗位等因素，為每個(gè)員工和賬號(hào)自動(dòng)推薦“最小化授權(quán)”策略，配合芯盾時(shí)代IAM細(xì)至URL級(jí)的權(quán)限管理能力，實(shí)現(xiàn)“按需授權(quán)，精準(zhǔn)管控”。

在日志審查上，IAM能夠自動(dòng)對(duì)日志進(jìn)行分析、清洗和結(jié)構(gòu)化處理，自動(dòng)篩選高風(fēng)險(xiǎn)事件，生成審計(jì)報(bào)告，極大解放了人力，提升了審計(jì)的效率與深度。

5.自主知識(shí)產(chǎn)權(quán)，滿足國(guó)家與行業(yè)審計(jì)要求

芯盾時(shí)代IAM擁有完全自主知識(shí)產(chǎn)權(quán)，全面兼容各種國(guó)產(chǎn)芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)和中間件，完全滿足《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等法律法規(guī)對(duì)身份認(rèn)證、訪問(wèn)控制的相關(guān)要求。

芯盾時(shí)代IAM久經(jīng)實(shí)戰(zhàn)考驗(yàn)，在大量企業(yè)客戶的實(shí)際應(yīng)用中展現(xiàn)出了優(yōu)異的安全性、穩(wěn)定性與兼容性，獲得了客戶的好評(píng)。

云端邊界的消融與AI負(fù)載的激增，要求企業(yè)必須構(gòu)建一套能夠穿透本地與云端的防御體系。芯盾時(shí)代IAM通過(guò)將管理范疇從人類延展至非人類身份（NHI），為企業(yè)打造了適配 AI 時(shí)代的一體化安全基座，助力企業(yè)釋放 AI 潛能，在數(shù)智化時(shí)代占得先機(jī)。