身份安全 (Identity Security) 的挑戰 
現代企業正面臨身份數量的爆炸式增長。雲端技術的普及、DevOps的加速，以及現在的智能AI（Agentic AI）的興起，使得人類和機器身份的數量增長速度遠超大多數企業的管理能力。根據《CyberArk 2025身份安全景觀報告》，90%的企業報告曾遭受以身份為中心的成功攻擊，無情的黑客持續針對身份發動攻擊。機器身份的數量現已超過人類身份，比例高達82:1。隨著AI預計成為擁有特權和敏感存取權限的新身份的主要創造者，風險面正在呈指數級擴張。 

然而，身份安全仍然以被動應對為主。企業通常在部署雲端帳戶、工作負載和資源後才應用特權存取控制，這導致安全債務不斷累積，安全團隊不得不承擔保護他們並不擁有的資源的責任。這種CIO和CTO（擁有權）與CISO（責任）之間的脫節，不僅造成效率低下，還擴大了身份相關風險的差距。

為什麼身份安全必須從一開始就實施 
現在是CISO們站出來改變現狀的時候了。身份擴張的現狀要求轉向積極主動的模式：在資源創建之初就保護企業資源和特權存取。這種被稱為“從一開始就安全”的模式，要求將自動化的身份控制嵌入到DevOps和基礎設施即代碼（IaC）管道中，例如Terraform、Ansible和CI/CD工作流程。 

“從一開始就安全”意味著： 

• 在資源創建時鎖定特權帳戶：嵌入式本地管理員和其他長期存在的特權帳戶及秘密在資源創建時自動被鎖定。 

• 執行零常態特權（Zero Standing Privileges , ZSP）：用戶僅在需要時獲得即時權限（Just in Time, JIT）、臨時的存取權限，減少持續風險。 

• 驗證安全編碼實踐：通過安全的軟件開發生命週期（SSDLC）驗證工作負載身份，確保從一開始就將身份衛生納入代碼。 

• 自動化證書生命週期 (Automated Certificate Lifecycle)：通過證書生命週期管理服務自動請求、管理和續訂所有公共和私有證書頒發機構（CA）的證書。 

這種方法消除了創建和保護之間的延遲，減少了攻擊面，並能隨著數位轉型的速度擴展。它將安全角色從被動的守門人轉變為積極的推動者。 

為什麼現在是積極推行身份安全的時刻 
四個匯聚的因素使這一轉型變得迫在眉睫： 

1. AI加速：智能AI系統（自主或半自主的軟件代理）可以執行各種特權操作，行為像人類但規模像機器，增加了複雜性並減少了人工監督。 

2. 雲端速度：基礎設施和服務的部署速度比以往任何時候都要快，現代企業動態且短暫地部署數千個雲端工作負載，手動安全流程無法跟上這種速度和規模。 

3. 審計與合規壓力：監管框架越來越要求證明控制能力，特別是對特權存取的控制。沒有自動化，滿足這些要求將昂貴、緩慢且不一致。 

4. 網絡安全人才短缺：安全團隊資源緊張，責任增加而人力有限，企業必須找到以更少資源做更多事情的方法。將安全嵌入自動化工作流程可顯著減輕運營負擔。 

當身份和特權管理落後於資源創建時，企業將面臨暴露風險。唯一可持續的解決方案是從一開始就嵌入安全，實現自動化和大規模治理。 

縮小擁有權與責任之間的差距 
保護現代基礎設施身份的挑戰不僅是技術問題，更是組織問題。在大多數企業中，CIO或CTO負責創建和管理企業系統、雲端帳戶和機器身份，而CISO則負責保護這些資產和存取權限。這種脫節導致安全團隊追逐由他們未配置的基礎設施引入的風險，事後應用控制，應對審計、警報或違規事件。 

根據《2025身份安全景觀報告》，70%的安全專業人士認為身份孤島是網絡安全風險的核心驅動因素。隨著企業採用更多雲端、微服務和AI代理，這些孤島變得更加危險。解決之道需要CIO、CTO和CISO之間的戰略對齊，通過共享工作流程實現協作，將安全嵌入運營結構中。 

自動化身份安全：安全設計的關鍵 
只有通過自動化和編排才能實現從一開始就安全。手動管理身份和特權存取策略無法擴展。企業應將身份控制嵌入以下方面： 

• 基礎設施即代碼模板：確保每個Terraform或CloudFormation模板在配置雲端提供商帳戶或工作負載時，包含身份安全平台的上線步驟，保護本地帳戶並建立身份安全控制平面的信任根。 

• 安全SDLC：將靜態代碼分析工具整合到安全軟件開發生命週期中，執行機器身份安全最佳實踐，例如即時秘密檢索，確保代碼在Git倉庫、CI/CD工具和軟件開發管道中流動時不暴露工作負載身份秘密。 

• IT服務管理（ITSM）和ChatOps：使用經批准的工作流程進行ZSP、JIT和存取請求配置，自動保護創建時的特權實體。 

這些控制對最終用戶來說是無形的。開發者和工程師能快速、安全地獲得所需存取權限，無需額外障礙，而安全團隊則獲得完整的可見性、控制力和審計能力。 

此外，企業應投資於參考架構和治理手冊，將從一開始就安全的原則標準化應用於各業務單位。這有助於確保身份安全不僅是一次性項目，而是一種持續進化的能力。 

AI如何加速身份風險 
AI的興起加劇了這一問題。這些基於大型語言模型（LLM）並具有越來越高獨立性的自主軟件代理，開始大規模配置資源、做出決策並與系統交互。每個AI代理獨立與企業資源和數據交互，根據其特權級別，可能創建其他秘密或資源。如果從一開始就未將安全控制嵌入其操作工作流程，企業可能很快會面臨大量未管理的身份和未檢查的存取權限。 

在部署後試圖保護它們就像追逐影子。沒有積極的治理，智能AI將超過我們保護它的能力。只有從一開始就安全，才能確保這些系統從第一天起就在定義的護欄內大規模運作。通過在探索階段觀察AI代理的運行時行為並保護其認證的秘密，企業可以領先一步。 

CISO與CIO從“從一開始就安全”中獲得的收益 
對CISO而言，戰略優勢包括： 

• 降低違規風險：通過運營化零信任和消除常態特權。 

• 增強雲端和SaaS安全態勢：與現代威脅模型對齊。 

• 審計與合規準備：通過一致的政策執行和自動化證據收集。 

• 運營效率：減少手動上線和修復任務。 

• 提高韌性：保護關鍵任務服務免受中斷。 

對CIO和CTO而言，這一模式提供： 

• 更快的存取時間：為開發者和工程師提供快速存取。 

• 與安全的低摩擦整合：通過無縫工作流程整合。 

• 對CISO的更大信任：知道風險得到緩解而不會減慢創新速度。 

從一開始就安全為CISO、CIO和CTO提供了共同的機會，支持快速行動並保持安全的業務需求。 

CISO：領導嵌入式身份安全的轉型 
為了領導這一轉型，CISO應： 

1. 與CIO和CTO進行結構化討論：強調合作而非擁有權轉移，討論如何將身份安全嵌入基礎設施配置中。 

2. 重設安全團隊的期望：鼓勵從被動防禦轉向主動設計，任務包括構建可重用的上線自動化、跟踪保護時間指標，並優先考慮新資源而非遺留修復。 

3. 領導從一開始就安全的企業計劃：映射當前的配置流程，確定可插入自動化身份控制的位置，定義明確的成功指標，例如新資產上線百分比、減少常態特權存取等。 

4. 將身份安全編入DevSecOps實踐：將身份安全作為部署基礎設施的標準要求，與日誌記錄、監控和成本標記類似。 

5. 向高層領導和董事會傳達成果：強調縮短的保護和存取時間、改善的審計結果和減少的修復工作量，將技術進展轉化為業務價值，確保身份安全計劃的持續支持。 

結論：從一開始就構建身份安全 
未來正在快速到來。雲端工作負載、機器身份和AI代理的創建速度超過了安全響應能力——除非安全從一開始就內建。通過擁抱從一開始就安全，CISO可以打破繼承的安全債務循環，帶領團隊從救火轉向前瞻性領導，從而保護企業並使其無懼創新。 

從一開始嵌入身份安全是現代網絡安全領導的新使命。現在是從“事後安全”轉向“安全設計”的時刻——行動的時機就是現在。 

Amidas 擁有豐富身份安全部署經驗，熟悉多雲環境與自動化整合，助您快速落實安全策略。歡迎聯絡 Amidas，一起部署零信任身份安全方案。 

與我們聯繫以了解更多：   

電話：2168 0388   

Whatsapp: 9828 3401   

電郵：[email protected]  

原文轉載始: https://www.cyberark.com/resources/blog/identity-security-at-inception-a-cisos-guide-to-proactive-protection 

關於作者：詹姆斯·克里默是CyberArk CISO顧問主任，CyberArk藍圖框架的創始人之一，以及《身份安全迫切性：領導者保護每個身份的指南》的領銜作者。