身份治理與管理的未來:快速、安全、可擴展
身份安全 (Identity Security) 的挑戰 現代企業正面臨身份數量的爆炸式增長。雲端技術的普及、DevOps的加速,以及現在的智能AI(Agentic AI)的興起,使得人類和機器身份的數量增長速度遠超大多數企業的管理能力。根據《CyberArk 2025身份安全景觀報告》,90%的企業報告曾遭受以身份為中心的成功攻擊,無情的黑客持續針對身份發動攻擊。機器身份的數量現已超過人類身份,比例高達82:1。隨著AI預計成為擁有特權和敏感存取權限的新身份的主要創造者,風險面正在呈指數級擴張。 然而,身份安全仍然以被動應對為主。企業通常在部署雲端帳戶、工作負載和資源後才應用特權存取控制,這導致安全債務不斷累積,安全團隊不得不承擔保護他們並不擁有的資源的責任。這種CIO和CTO(擁有權)與CISO(責任)之間的脫節,不僅造成效率低下,還擴大了身份相關風險的差距。 為什麼身份安全必須從一開始就實施 現在是CISO們站出來改變現狀的時候了。身份擴張的現狀要求轉向積極主動的模式:在資源創建之初就保護企業資源和特權存取。這種被稱為“從一開始就安全”的模式,要求將自動化的身份控制嵌入到DevOps和基礎設施即代碼(IaC)管道中,例如Terraform、Ansible和CI/CD工作流程。 “從一開始就安全”意味著: 這種方法消除了創建和保護之間的延遲,減少了攻擊面,並能隨著數位轉型的速度擴展。它將安全角色從被動的守門人轉變為積極的推動者。 為什麼現在是積極推行身份安全的時刻 四個匯聚的因素使這一轉型變得迫在眉睫: 當身份和特權管理落後於資源創建時,企業將面臨暴露風險。唯一可持續的解決方案是從一開始就嵌入安全,實現自動化和大規模治理。 縮小擁有權與責任之間的差距 保護現代基礎設施身份的挑戰不僅是技術問題,更是組織問題。在大多數企業中,CIO或CTO負責創建和管理企業系統、雲端帳戶和機器身份,而CISO則負責保護這些資產和存取權限。這種脫節導致安全團隊追逐由他們未配置的基礎設施引入的風險,事後應用控制,應對審計、警報或違規事件。 根據《2025身份安全景觀報告》,70%的安全專業人士認為身份孤島是網絡安全風險的核心驅動因素。隨著企業採用更多雲端、微服務和AI代理,這些孤島變得更加危險。解決之道需要CIO、CTO和CISO之間的戰略對齊,通過共享工作流程實現協作,將安全嵌入運營結構中。 自動化身份安全:安全設計的關鍵 只有通過自動化和編排才能實現從一開始就安全。手動管理身份和特權存取策略無法擴展。企業應將身份控制嵌入以下方面: 這些控制對最終用戶來說是無形的。開發者和工程師能快速、安全地獲得所需存取權限,無需額外障礙,而安全團隊則獲得完整的可見性、控制力和審計能力。 此外,企業應投資於參考架構和治理手冊,將從一開始就安全的原則標準化應用於各業務單位。這有助於確保身份安全不僅是一次性項目,而是一種持續進化的能力。 AI如何加速身份風險 AI的興起加劇了這一問題。這些基於大型語言模型(LLM)並具有越來越高獨立性的自主軟件代理,開始大規模配置資源、做出決策並與系統交互。每個AI代理獨立與企業資源和數據交互,根據其特權級別,可能創建其他秘密或資源。如果從一開始就未將安全控制嵌入其操作工作流程,企業可能很快會面臨大量未管理的身份和未檢查的存取權限。 在部署後試圖保護它們就像追逐影子。沒有積極的治理,智能AI將超過我們保護它的能力。只有從一開始就安全,才能確保這些系統從第一天起就在定義的護欄內大規模運作。通過在探索階段觀察AI代理的運行時行為並保護其認證的秘密,企業可以領先一步。 CISO與CIO從“從一開始就安全”中獲得的收益 對CISO而言,戰略優勢包括: …