AI時代，企業(yè)對云計算的需求更加旺盛。從種類繁多的Saas應(yīng)用，到橫跨多個數(shù)據(jù)中心的混合云架構(gòu)，再到支撐AI大模型運行的算力云，多態(tài)化的“云”已成為企業(yè)不可或缺的數(shù)字底座。隨著物理邊界的消融，身份正式成為了連接本地應(yīng)用、云端服務(wù)、AI工作負載與海量數(shù)據(jù)的唯一紐帶，扮演著 AI 時代“數(shù)字通行證”的核心角色。

然而，這種“中心化”地位也讓身份成了攻擊者眼中的頭號突破口。2024年，震驚全球的Snowflake數(shù)據(jù)泄露事件便是前車之鑒：攻擊者使用竊取到的身份憑證，鉆了部分賬戶沒有開啟多因素認證（MFA）的漏洞，堂而皇之地“登入”了160家企業(yè)的云數(shù)據(jù)庫。

更值得企業(yè)警惕的是，這場AI時代的“身份危機”正愈演愈烈，大有席卷“云端”之勢。云安全聯(lián)盟（CSA）最新發(fā)布的《2025年云與AI安全狀況調(diào)查報告》明確指出，不安全的身份與高風險權(quán)限，已超越配置錯誤，成為企業(yè)在云環(huán)境和AI應(yīng)用中面臨的頭號威脅。

AI時代，身份安全即云安全

作為數(shù)字安全領(lǐng)域權(quán)威的國際非營利組織，云安全聯(lián)盟（CSA）發(fā)布的年度云計算威脅報告，一直被視為云安全領(lǐng)域的“風向標”。在最新的報告中，CSA的調(diào)研數(shù)據(jù)傳遞出一個明確信號：身份問題已成為主導風險結(jié)果的關(guān)鍵因素。

1.身份驅(qū)動型泄露已成常態(tài)

首先，云端數(shù)據(jù)泄露的統(tǒng)計數(shù)據(jù)充分凸顯了身份安全在云安全中的核心地位。報告指出，在遭遇過云相關(guān)數(shù)據(jù)泄露的企業(yè)中，前四大原因中有三項與身份直接相關(guān)：

權(quán)限賦予過度（31%）：賦予了員工超出工作所需的權(quán)限。

訪問控制不一致（27%）：不同平臺間的訪問標準混亂。

身份管理規(guī)范缺失（27%）：包括未輪換的密鑰、閑置憑證、孤立賬戶以及未啟用多因素認證（MFA）等。

這些日常運營中的細微疏漏，極易升級為重大的數(shù)據(jù)安全災(zāi)難。MOVEit 攻擊事件、JumpCloud 數(shù)據(jù)泄露事件、Okta 數(shù)據(jù)泄露事件，都由身份憑證泄露肇始。

2.身份安全為何難以保證？

身份如此重要，為何企業(yè)總是管不好？CSA在報告中給出了答案，身份安全問題并非源于個別賬戶，而是系統(tǒng)性的治理未能跟上云技術(shù)的采用步伐：

團隊孤島：28%的企業(yè)面臨“云安全團隊與 IAM 團隊缺乏協(xié)同”的挑戰(zhàn)。

“最小化授權(quán)”實施遇阻：21%的企業(yè)表示難以規(guī)?；涞亍白钚?quán)限原則”。

KPI設(shè)定被動：43%的企業(yè)仍以安全事件發(fā)生的頻率為核心考核指標，而非考核風險降低措施的有效性和前瞻性。

值得一提的是，盡管零信任已經(jīng)成為企業(yè)提升云安全水平的首選，44%的企業(yè)計劃在未來12個月內(nèi)優(yōu)先落實“為身份實施最小權(quán)限”，但企業(yè)對身份安全的衡量標準仍側(cè)重于形式化的合規(guī)指標（如MFA和SSO的使用率），而非權(quán)限濫用、訪問異常等深入指標?？梢娖髽I(yè)的零信任建設(shè)，仍舊任重而道遠。

3.身份對AI安全更為重要

CSA在報告中指出，55% 的企業(yè)正將 AI 用于實際業(yè)務(wù)需求，AI正從“試驗階段” 快速轉(zhuǎn)向“核心業(yè)務(wù)”。安全風險隨之而來，34%擁有AI工作負載的企業(yè)已遭遇過AI相關(guān)數(shù)據(jù)泄露。

CSA強調(diào)，身份風險已延伸至服務(wù)賬戶、API 及機器身份，而這些身份正是連接數(shù)據(jù)管道、模型訓練與推理過程的核心。因此，企業(yè)對待AI的身份、數(shù)據(jù)及工作負載防護，應(yīng)采用與云安全同等嚴格的標準。

4.如何破解身份安全難題

對于企業(yè)如何破解云身份安全難題，CSA基于大量安全事件的分析結(jié)果，給出了以下建議：

實現(xiàn)身份的跨云統(tǒng)一治理：IAM團隊與云團隊需要在零信任路線圖上達成共識，在各環(huán)境中標準化策略執(zhí)行、跨云身份協(xié)同及集中式認證。

結(jié)合場景實現(xiàn)最小權(quán)限：用“即時提權(quán)”和“限時訪問”替代長期的管理員權(quán)限，通過“策略即代碼”確保權(quán)限配置無偏差，并定期審查高風險權(quán)限。

注重實效而非形式：在跟蹤多因素認證（MFA）和單點登錄（SSO）使用率的同時，更應(yīng)實時監(jiān)測提權(quán)頻次、高風險角色濫用及訪問模式異常等信號。

芯盾時代，助企業(yè)破解AI時代身份安全難題

芯盾時代作為領(lǐng)先的業(yè)務(wù)安全產(chǎn)品方案提供商，基于零信任理念，打造了用戶身份與訪問管理平臺（IAM），能夠幫助企業(yè)將身份管理能力從傳統(tǒng)的人和設(shè)備，延展至非人類身份（NHI）,并憑借先進的產(chǎn)品架構(gòu)，幫助企業(yè)打造覆蓋本地與云端的統(tǒng)一身份管理平臺，一站式實現(xiàn)對身份、認證、權(quán)限、審計的統(tǒng)一管理，幫助企業(yè)提升身份安全水平，保障云環(huán)境安全，構(gòu)建AI時代的一體化身份管理體系。

借助芯盾時代IAM，企業(yè)能夠?qū)崿F(xiàn)以下功能：

1.全局身份“一盤棋”，統(tǒng)一管理全部身份

芯盾時代 IAM 能夠整合本地、云端所有業(yè)務(wù)應(yīng)用中分散的身份數(shù)據(jù)，為每位員工建立唯一的可信數(shù)字身份，形成權(quán)威身份數(shù)據(jù)源，并接管所有應(yīng)用的身份管理模塊，最終實現(xiàn)全局身份信息、認證策略、訪問權(quán)限、審計日志的統(tǒng)一管理。

借助IAM平臺，企業(yè)能夠建立自動化流轉(zhuǎn)的用戶全生命周期管理機制，將身份管理能力提升至“分鐘級”，做到“人走號銷，權(quán)隨崗動”。

2.適配多云環(huán)境，打破云端本地“壁壘”

憑借先進的產(chǎn)品架構(gòu)，芯盾時代IAM可快速與企業(yè)部署在公有云、私用云上的業(yè)務(wù)應(yīng)用、AI大模型對接，并兼容企業(yè)微信、釘釘、飛書等協(xié)同辦公生態(tài)，同時全面兼容各種架構(gòu)的本地應(yīng)用，真正消除云端與云端、云端與本地之間的身份割裂，實現(xiàn)“云端本地一盤棋”。

針對IAM平臺對接云應(yīng)用時的數(shù)據(jù)傳輸問題，芯盾時代基于自主研發(fā)的零信任網(wǎng)絡(luò)訪問技術(shù)，專門開發(fā)了外網(wǎng)連接器，能夠?qū)崿F(xiàn)身份信息在本地和云端之間的高效傳輸，并借助密碼技術(shù)保證身份數(shù)據(jù)的完整性和機密性，保證IAM平臺與云應(yīng)用安全對接。

3.實施全局多因素認證，有力保障云賬戶安全

借助芯盾時代自主研發(fā)的移動認證App或SDK，企業(yè)能夠結(jié)合員工所知、所持、所有進行多因素身份認證（MFA），為員工提供密碼、App掃碼、短信驗證碼、動態(tài)口令、指紋識別、人臉識別等多種認證方式，讓員工在進行身份認證時少輸密碼、甚至不輸密碼，兼顧安全與便利。

芯盾時代IAM為企業(yè)提供定制化的統(tǒng)一應(yīng)用門戶，統(tǒng)一業(yè)務(wù)應(yīng)用的登錄入口，并借助單點登錄功能，讓員工只需認證一次，就能登錄所有權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，實現(xiàn)“一次認證，全網(wǎng)通行”。

4.落實“最小化授權(quán)”，智能挖掘異常行為

借助AI技術(shù)，芯盾時代IAM能夠自動掃描所有業(yè)務(wù)應(yīng)用中的權(quán)限分配情況，生成格式化報表，并智能審查每一個員工、每一個賬號、每一個agent的訪問權(quán)限是否合規(guī)、合理，對過度授權(quán)、職責沖突、權(quán)限濫用等情況給出處置建議。

IAM還能夠根據(jù)角色、組織、崗位等因素，為每個員工和賬號自動推薦“最小化授權(quán)”策略，配合芯盾時代IAM細至URL級的權(quán)限管理能力，實現(xiàn)“按需授權(quán)，精準管控”。

在日志審查上，IAM能夠自動對日志進行分析、清洗和結(jié)構(gòu)化處理，自動篩選高風險事件，生成審計報告，極大解放了人力，提升了審計的效率與深度。

5.自主知識產(chǎn)權(quán)，滿足國家與行業(yè)審計要求

芯盾時代IAM擁有完全自主知識產(chǎn)權(quán)，全面兼容各種國產(chǎn)芯片、操作系統(tǒng)、數(shù)據(jù)庫和中間件，完全滿足《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級保護基本要求》等法律法規(guī)對身份認證、訪問控制的相關(guān)要求。

芯盾時代IAM久經(jīng)實戰(zhàn)考驗，在大量企業(yè)客戶的實際應(yīng)用中展現(xiàn)出了優(yōu)異的安全性、穩(wěn)定性與兼容性，獲得了客戶的好評。

云端邊界的消融與AI負載的激增，要求企業(yè)必須構(gòu)建一套能夠穿透本地與云端的防御體系。芯盾時代IAM通過將管理范疇從人類延展至非人類身份（NHI），為企業(yè)打造了適配 AI 時代的一體化安全基座，助力企業(yè)釋放 AI 潛能，在數(shù)智化時代占得先機。