什么是身份蔓延？

• IAM 词汇表
• 什么是身份蔓延？

身份蔓延是指组织内数字身份与账户不受控的增长，会导致可见性下降，安全风险随之上升。随着组织拓展云环境并接入新的应用程序，数字身份的增长速度会超出其妥善管理与防护的能力范围。身份蔓延会同时影响人类身份与非人类身份 (NHI)，其中包括服务账户和智能体式 AI。虽然 NHI 的使用量持续增长，但这类身份并未像人类员工账户一样得到定期审核与管控。长此以往，可见性的缺失会提升基于身份的网络攻击风险。身份蔓延通常伴随机密蔓延，API 密钥、词元等凭据会在缺乏集中管控的情况下大量滋生。

身份蔓延是如何产生的？

组织在扩张规模、采用云服务与引入新技术时，若未部署集中式身份与访问管理 (IAM) 管控，身份蔓延便会逐步形成。

快速扩张

云服务的采用改变了组织的访问管理模式，可在数分钟内完成新应用程序的部署。但组织在使用 SaaS 工具时若未配套集中式 IAM 管控，新增账户便会脱离安全团队的监管范围。这种分散化管理会造成账户重复、访问控制标准不统一，以及跨平台数据碎片化的问题。影子 IT会进一步加剧身份蔓延。员工未经正式审批使用工具时，不受管控的用户账户与身份会扩大组织的攻击面。

身份生命周期管理不完善

身份生命周期管理 (ILM) 可保障用户在入职、轮岗或离职时，获得匹配自身需求的访问权限。如果入职与离职流程执行不统一，身份蔓延的发生概率会大幅提升。ILM 的常见问题包括入职时授予超额访问权限、员工轮岗时未及时回收权限，以及离职流程处理滞后。如果缺乏持续的策略执行与自动预配，用户在离职后仍可能长期保留访问权限，为活跃身份带来不必要的风险。

特权账户的累积

特权账户通常是为了临时项目、合作供应商或运营需求而创建。随着组织发展壮大后，这类账户会引发共享特权凭据过多、关键系统长期授权、特权访问审核频次不足等问题。如果特权账户未得到定期管控，就会成为网络犯罪分子觊觎的目标。特权环境中的身份蔓延会大幅提升数据泄露事件的潜在影响范围。

服务账户与非人类身份 (NHI) 的增长

在云原生环境中，非人类身份 (NHI) 的数量通常多于人类用户。DevOps 流水线与自动化工具会持续创建新的服务账户，以实现机器间的通信。如果服务账户分散管理、脚本中嵌入硬编码凭据，或词元未进行轮换，这种指数级增长便会带来安全风险。如果 NHI 的凭据未得到监控、轮换或集中保管，会成为网络犯罪分子的关键攻击载体。NHI 通常无需人工干预即可运行，其状态遭到破坏后，可能长期无法被发现。

身份蔓延、机密蔓延与特权蔓延对比

身份蔓延、机密蔓延与特权蔓延均和身份安全相关，但三者对应着不同的安全风险。身份蔓延的核心是身份在各系统间的扩张。这类问题通常源于分散化的 SaaS 应用、缺乏集中式 IAM 管控的云环境扩张，以及无监管的账户创建行为。身份蔓延的核心问题在于数量。各类环境中存在大量身份，其中部分身份处于闲置状态，或监控力度不足。举例来说，若一个组织使用数十个平台，且每个平台均需独立账户，长期累积后便会产生数千个身份。这类闲置身份仍会扩大攻击面，因其数量已超出常规监控可覆盖的范围。

尽管二者名称相近，但机密蔓延指的是密码、API 密钥、词元等机密在各系统间不受控的扩散。凭据被硬编码进源代码、API 密钥以明文文件存储，或通过邮件等不安全方式共享机密时，极易引发机密蔓延。机密蔓延的核心问题并非身份数量，而是授权凭据的不受控扩散。每一个暴露或缺乏管控的机密都可能让网络犯罪分子直接访问关键系统。想象一下，某 API 密钥被嵌入代码仓库且从未轮换，网络犯罪分子可直接利用该机密访问云资源，无需入侵任何账户。

与之相对，特权蔓延的核心是单个身份被授予超额的访问权限。这类问题通常出现在权限授予后，因员工轮岗、临时项目结束或访问审核频次不足，导致权限未被及时回收。在特权蔓延场景下，身份数量或许可控，但单个账户累积超额权限才是核心隐患。想象一名员工入职组织的营销部门，获得 CRM 工具访问权限，后续转岗至运营部门后又取得关键系统的访问权限。由于该员工身份仍保留着无需使用的 CRM 工具权限，一旦账户被盗用，便会泄露超出权限范围的敏感信息。

身份蔓延的安全风险

身份在各类环境中不断增多，组织会逐渐失去管控可见性，治理能力也随之弱化。以下是身份蔓延引发的主要安全风险：

如何防范身份蔓延

组织想要防范身份蔓延，需要聚焦可见性、生命周期管理，并对人类与机器身份统一执行最低特权访问原则。

自动化预配和取消预配

通过身份与访问管理 (IAM) 方案实现集中式身份管理，是控制身份增长的关键举措。组织应通过基于角色的访问控制 (RBAC)，依据岗位角色与职能自动配置访问权限，而非人工授予宽泛权限。自动取消预配与预配同等重要，员工离职时需立即撤销其所有访问权限。通过摒弃人工账户管理模式，组织可以减少闲置或权限超额的身份数量。

部署身份治理与管理 (IGA)

身份治理与管理 (IGA) 可保障访问权限始终与组织的实际需求相匹配。定期审核访问权限可确保用户仅保留当前工作所需的最低特权。IGA 能帮助组织提前识别孤立或闲置账户，避免其演变为安全漏洞。缺乏持续治理会导致身份数量超出监管能力，进而快速引发身份蔓延。

执行最低特权访问原则

组织应尽可能取消关键系统的常设访问权限，执行最低特权访问原则，并部署即时 (JIT) 访问机制。保障用户与系统仅获取必需的最低特权，可降低权限提升风险，最大限度减少账户被盗用带来的影响。

保护特权账户

特权访问管理 (PAM) 在防范身份蔓延演变为重大数据泄露事件方面，发挥着重要作用。特权账户需保管在加密保管库中，所有管理访问行为均需强制执行 MFA。组织需要监控并记录特权会话，以确保权责清晰，实现全程可见。组织还需执行凭据自动轮换机制，降低风险暴露概率，杜绝不安全的凭据共享行为。通过防护特权身份，组织可以避免超额权限加剧身份蔓延带来的安全风险。

管理 NHI 与机密

在云环境中，NHI 的数量通常多于人类用户，因此防范身份蔓延需对人类与机器账户实施同等安全标准。组织应盘点服务账户，妥善保管机密而非将其嵌入代码，并执行机密自动轮换。需对人类与非人类身份统一应用最低特权访问原则，取消常备访问权限，确保机器身份验证处于合理管控范围内。这一要求涵盖 NHI 凭据的管理，需将 API 密钥、词元、证书等作为与身份绑定的机密，并执行轮换、权限界定与监控。