身份风险成为企业云环境与AI头号威胁

AI时代，企业对云计算的需求更加旺盛。从种类繁多的Saas应用，到横跨多个数据中心的混合云架构，再到支撑AI大模型运行的算力云，多态化的“云”已成为企业不可或缺的数字底座。随着物理边界的消融，身份正式成为了连接本地应用、云端服务、AI工作负载与海量数据的唯一纽带，扮演着 AI 时代“数字通行证”的核心角色。

然而，这种“中心化”地位也让身份成了攻击者眼中的头号突破口。2024年，震惊全球的Snowflake数据泄露事件便是前车之鉴：攻击者使用窃取到的身份凭证，钻了部分账户没有开启多因素认证（MFA）的漏洞，堂而皇之地“登入”了160家企业的云数据库。

更值得企业警惕的是，这场AI时代的“身份危机”正愈演愈烈，大有席卷“云端”之势。云安全联盟（CSA）最新发布的《2025年云与AI安全状况调查报告》明确指出，不安全的身份与高风险权限，已超越配置错误，成为企业在云环境和AI应用中面临的头号威胁。

AI时代，身份安全即云安全

作为数字安全领域权威的国际非营利组织，云安全联盟（CSA）发布的年度云计算威胁报告，一直被视为云安全领域的“风向标”。在最新的报告中，CSA的调研数据传递出一个明确信号：身份问题已成为主导风险结果的关键因素。

1.身份驱动型泄露已成常态

首先，云端数据泄露的统计数据充分凸显了身份安全在云安全中的核心地位。报告指出，在遭遇过云相关数据泄露的企业中，前四大原因中有三项与身份直接相关：

• 权限赋予过度（31%）：赋予了员工超出工作所需的权限。

• 访问控制不一致（27%）：不同平台间的访问标准混乱。

• 身份管理规范缺失（27%）：包括未轮换的密钥、闲置凭证、孤立账户以及未启用多因素认证（MFA）等。

这些日常运营中的细微疏漏，极易升级为重大的数据安全灾难。MOVEit 攻击事件、JumpCloud 数据泄露事件、Okta 数据泄露事件，都由身份凭证泄露肇始。

2.身份安全为何难以保证？

身份如此重要，为何企业总是管不好？CSA在报告中给出了答案，身份安全问题并非源于个别账户，而是系统性的治理未能跟上云技术的采用步伐：

• 团队孤岛：28%的企业面临“云安全团队与 IAM 团队缺乏协同”的挑战。

• “最小化授权”实施遇阻：21%的企业表示难以规模化落地“最小权限原则”。

• KPI设定被动：43%的企业仍以安全事件发生的频率为核心考核指标，而非考核风险降低措施的有效性和前瞻性。

值得一提的是，尽管零信任已经成为企业提升云安全水平的首选，44%的企业计划在未来12个月内优先落实“为身份实施最小权限”，但企业对身份安全的衡量标准仍侧重于形式化的合规指标（如MFA和SSO的使用率），而非权限滥用、访问异常等深入指标。可见企业的零信任建设，仍旧任重而道远。

3.身份对AI安全更为重要

CSA在报告中指出，55% 的企业正将 AI 用于实际业务需求，AI正从“试验阶段” 快速转向“核心业务”。安全风险随之而来，34%拥有AI工作负载的企业已遭遇过AI相关数据泄露。

CSA强调，身份风险已延伸至服务账户、API 及机器身份，而这些身份正是连接数据管道、模型训练与推理过程的核心。因此，企业对待AI的身份、数据及工作负载防护，应采用与云安全同等严格的标准。

4.如何破解身份安全难题

对于企业如何破解云身份安全难题，CSA基于大量安全事件的分析结果，给出了以下建议：

• 实现身份的跨云统一治理：IAM团队与云团队需要在零信任路线图上达成共识，在各环境中标准化策略执行、跨云身份协同及集中式认证。

• 结合场景实现最小权限：用“即时提权”和“限时访问”替代长期的管理员权限，通过“策略即代码”确保权限配置无偏差，并定期审查高风险权限。

• 注重实效而非形式：在跟踪多因素认证（MFA）和单点登录（SSO）使用率的同时，更应实时监测提权频次、高风险角色滥用及访问模式异常等信号。

芯盾时代助企业破解AI时代身份安全难题

芯盾时代作为领先的业务安全产品方案提供商，基于零信任理念，打造了用户身份与访问管理平台（IAM），能够帮助企业将身份管理能力从传统的人和设备，延展至非人类身份（NHI）,并凭借先进的产品架构，帮助企业打造覆盖本地与云端的统一身份管理平台，一站式实现对身份、认证、权限、审计的统一管理，帮助企业提升身份安全水平，保障云环境安全，构建AI时代的一体化身份管理体系。

借助芯盾时代IAM，企业能够实现以下功能：

1.全局身份“一盘棋”，统一管理全部身份

芯盾时代 IAM 能够整合本地、云端所有业务应用中分散的身份数据，为每位员工建立唯一的可信数字身份，形成权威身份数据源，并接管所有应用的身份管理模块，最终实现全局身份信息、认证策略、访问权限、审计日志的统一管理。

借助IAM平台，企业能够建立自动化流转的用户全生命周期管理机制，将身份管理能力提升至“分钟级”，做到“人走号销，权随岗动”。

2.适配多云环境，打破云端本地“壁垒”

凭借先进的产品架构，芯盾时代IAM可快速与企业部署在公有云、私用云上的业务应用、AI大模型对接，并兼容企业微信、钉钉、飞书等协同办公生态，同时全面兼容各种架构的本地应用，真正消除云端与云端、云端与本地之间的身份割裂，实现“云端本地一盘棋”。

针对IAM平台对接云应用时的数据传输问题，芯盾时代基于自主研发的零信任网络访问技术，专门开发了外网连接器，能够实现身份信息在本地和云端之间的高效传输，并借助密码技术保证身份数据的完整性和机密性，保证IAM平台与云应用安全对接。

3.实施全局多因素认证，有力保障云账户安全

借助芯盾时代自主研发的移动认证App或SDK，企业能够结合员工所知、所持、所有进行多因素身份认证（MFA），为员工提供密码、App扫码、短信验证码、动态口令、指纹识别、人脸识别等多种认证方式，让员工在进行身份认证时少输密码、甚至不输密码，兼顾安全与便利。

芯盾时代IAM为企业提供定制化的统一应用门户，统一业务应用的登录入口，并借助单点登录功能，让员工只需认证一次，就能登录所有权限内的业务应用，实现“一次认证，全网通行”。

4.落实“最小化授权”，智能挖掘异常行为

借助AI技术，芯盾时代IAM能够自动扫描所有业务应用中的权限分配情况，生成格式化报表，并智能审查每一个员工、每一个账号、每一个agent的访问权限是否合规、合理，对过度授权、职责冲突、权限滥用等情况给出处置建议。

IAM还能够根据角色、组织、岗位等因素，为每个员工和账号自动推荐“最小化授权”策略，配合芯盾时代IAM细至URL级的权限管理能力，实现“按需授权，精准管控”。

在日志审查上，IAM能够自动对日志进行分析、清洗和结构化处理，自动筛选高风险事件，生成审计报告，极大解放了人力，提升了审计的效率与深度。

5.自主知识产权，满足国家与行业审计要求

芯盾时代IAM拥有完全自主知识产权，全面兼容各种国产芯片、操作系统、数据库和中间件，完全满足《网络安全法》、《网络安全等级保护基本要求》等法律法规对身份认证、访问控制的相关要求。

云端边界的消融与AI负载的激增，要求企业必须构建一套能够穿透本地与云端的防御体系。芯盾时代IAM通过将管理范畴从人类延展至非人类身份（NHI），为企业打造了适配 AI 时代的一体化安全基座，助力企业释放 AI 潜能，在数智化时代占得先机。