随着AI在企业中的广泛应用,传统的身份访问管理(IAM)架构已经难以满足日益增长的安全需求。AI代理的数量已经远远超过了人类员工,这种规模的扩张要求企业重新思考身份安全策略。身份,这一曾经被视为辅助性的安全措施,如今已成为企业AI安全的核心控制平面。
身份安全的重要性日益凸显
在当今的企业环境中,被盗取的凭证是导致80%企业安全漏洞的元凶。这一事实促使所有主要的安全供应商达成了一个共识:身份现在是AI安全的控制平面。企业管理的员工数量越多,需要处理的身份数量也就越多。当AI代理进入生产环境后,这一数字将成倍增长。传统的IAM架构是为数千个人类用户设计的,而非数百万个以机器速度运行、拥有人类级别权限的自主代理。
身份安全架构的转型
为了应对这一挑战,行业正在经历自云计算采用以来最重大的安全转型。领先的供应商现在使用蓝牙低功耗(BLE)技术在设备和笔记本电脑之间证明物理接近度,结合加密身份和生物识别技术,实现四因素身份验证,而无需硬件令牌。例如,思科的Duo就展示了这一创新的大规模应用,其基于BLE的接近度验证与生物识别验证相结合,提供了防钓鱼的身份验证。
微软的Entra ID在单个试点项目中处理了10,000个AI代理,同时每天处理80亿次身份验证。微软身份部门的首席副总裁Alex Simons指出:“传统的目录服务并非为以这种速度运行的自主系统而设计。”Ping Identity的DaVinci编排平台更进一步,该系统每天处理超过10亿次身份验证事件,其中60%的流量来自AI代理,每次验证都在200毫秒内完成,同时保持加密证明。
为了及时发现并应对潜在的安全威胁,企业还需要采用实时行为分析技术。CrowdStrike将AI代理视为与其他身份威胁相同的对象,其Falcon平台为每个代理在24小时内建立行为基线,任何偏离都会触发自动隔离。CrowdStrike反对抗击行动负责人Adam Meyers表示:“当一个AI代理突然访问其既定模式之外的系统时,我们会像对待被泄露的员工凭证一样对待它。”
此外,企业还需要构建身份韧性以防止灾难性故障。Gartner数据显示,企业平均拥有89个不同的身份存储,分布在云和本地系统中,这种碎片化创造了攻击者可以利用的盲点。为了解决这个问题,企业需要将网络原则应用于身份基础设施。例如,Okta的Advanced Server Access实现了跨身份提供商的冗余、负载均衡和自动故障转移,当主身份验证失败时,备用系统会在50毫秒内激活。这对于每秒执行数千次操作的AI代理来说至关重要。
零信任架构的扩展
随着AI代理的普及,零信任架构也成为了企业安全的关键组成部分。Palo Alto Networks的Cortex XSIAM平台假设系统始终处于被攻陷的状态,因此每个AI代理在每次操作前都需要进行验证,而不仅仅是在初始身份验证时。Ivanti的现场CISO Mike Riemer强调了零信任原则的重要性:“它遵循‘永不信任,始终验证’的原则。通过采用零信任架构,组织可以确保只有经过身份验证的用户和设备才能访问敏感数据和应用。”
行业共识与未来展望
当思科、Okta、Zscaler、Palo Alto Networks和CrowdStrike等独立安全供应商就身份架构得出相同结论时,这不再是巧合,而是行业共识。身份基础设施决定了安全成果。企业面临两个选择:要么将身份构建为控制平面,要么接受安全漏洞成为必然。随着AI部署速度与身份安全成熟度之间的差距日益缩小,企业必须立即采取行动来加强身份安全。
关键行动
- 在30天内审核每个AI代理的身份和权限。
- 立即为所有非人类身份部署连续验证。
- 建立24/7身份安全运营中心,以防止攻击者利用安全漏洞。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/shen-fen-cheng-wei-qi-ye-ai-an-quan-de-kong-zhi-ping-mian
