授权访问不再是关键时刻

作者：Saaya Pal, Aqil Pasha (Jump Capital) | 来源：SandHill.io #283

访问权限仍然在配置时决定，但风险现在出现在执行期间。随着系统变得更加动态和由代理（Agent）驱动，身份安全必须从静态控制转向实时授权。

身份安全是围绕着错误的时刻建立的：在任何事情发生之前。

企业系统被设计为在任何事情发生之前决定访问权限。分配角色，授予权限，颁发凭据，系统假定该决定在很大程度上成立，仅通过定期审查或在发出风险信号后重新审视访问权限。

当主要身份是人类员工且主要控制点是登录时，这种模型是有意义的。但现在它越来越不合时宜。

身份表面增长最快的部分不是企业员工用户。它是他们下方和周围的非人类层：服务帐户、云角色、工作负载身份、OAuth 授权、API 密钥、SaaS 到 SaaS 连接、证书、机密，以及现在的代理（Agents）。这些身份的行为不像员工。它们不完全符合“入职-调岗-离职”的工作流程。它们使用令牌进行身份验证，动态承担角色，持续运行，并且通常在单个链中的多个系统中执行。

这已经足以让传统的安全堆栈不堪重负。AI 驱动的系统使得这种不匹配更加难以忽视。

Anthropic 最近发布的 Mythos 和 Project Glasswing 是正在发生变化的信号之一。头条新闻不仅仅是前沿模型可以发现更多漏洞。而是它们可以发现并利用不同类别的漏洞：深度实现错误、组合弱点以及位于企业今天依赖的许多控制点之下的多步利用链。Anthropic 表示，Mythos 已经发现了数千个高危漏洞，包括在主要操作系统和浏览器中，并自主链接了本来需要专家研究人员花费数周时间构建的利用链。

这压缩了时间并扩展了攻击路径。对身份更重要的含义是结构性的：风险越来越多地在运行时（执行期间）决定，而不是在配置访问的那一刻。

身份堆栈支离破碎，且决定得太早

企业身份堆栈不是一个单一的系统。它是一组在不同时间为不同问题甚至为不同团队构建的层：
IAM 在登录时对用户进行身份验证并授予访问权限
IGA 管理审批、认证和可审计性
PAM 保护高风险凭据和特权路径
云 IAM 管理 AWS、Azure 和 GCP 内部的权限
机密和证书系统管理机器身份验证
态势、图谱和 ITDR 工具试图重建整个资产的风险

这些层中的每一层都很重要。但没有一个被设计为现代软件环境的通用运行时控制平面。这很重要，因为大多数有意义的访问决策不再是静态的。

一个工作负载可能会在某一步骤假设一个云角色，从另一个系统检索机密，调用第三方 API，写入数据库，调用内部服务，并将工作移交给另一个进程或代理。每一次跳转都会改变风险概况，并可能依赖不同的身份系统、策略模型和所有权假设。到真正发生操作时，最初的批准或权限通常很少能说明是否应该允许该操作。

这是现代身份安全的核心失败模式：授权仍然固定在身份和配置状态上，而风险是通过操作和执行上下文出现的。

可见性提高了。控制力却没有。

过去几年中，许多最有趣的身份安全初创公司都致力于解决可见性问题。它们构建了关于谁可以访问什么的更好的图谱。它们映射了云权限、SaaS 权限、应用注册和服务帐户的蔓延。在许多企业中，这些系统创建了有效身份风险的第一个可用图景。

这是真正的进步。但可见性不等于控制。

大多数身份态势、非人类身份 (NHI) 和图谱产品都是带外运行的。它们可以告诉你某个服务帐户权限过高、某个 OAuth 授权有风险，或者某个云主体可以横向接触到敏感基础设施。但它们在决定特定操作在尝试进行的那一刻是否应被允许时，要弱得多。

这就是为什么最小特权在实践中不断退化。在静态环境中，最小特权已经很难了。在动态环境中，它在结构上变得不完整。访问需求在执行期间出现，跨越产品边界，并取决于在配置时不存在的上下文。结果是可预测的：团队通过授予比他们想要的更广泛的常规访问权限来保留功能，然后围绕它添加监控和审查。

这不是策略卫生的失败。这是控制单元错误的证据。

传统 PAM 保护凭据。下一层必须管理操作。

当今身份安全中最重要的区别之一是保护凭据和管理操作之间的区别。

传统的 PAM 系统旨在存储凭据、代理特权会话、轮换机密以及减少对常规管理员访问的暴露。这仍然有价值。但对于访问是 API 驱动、委托、短暂且跨系统传播的环境来说，这还不够。

保护凭据不能告诉你下游操作是否合适。下一个控制层必须更靠近执行。它必须决定不仅身份是否有效，而且该身份是否应被允许在这个资源上、在这些条件下、以这种委托谱系执行此操作。

这暗示了不同的架构：
短暂的、任务范围的凭据，而不是广泛的常规访问
在请求时对访问进行代理和转换
结合资源敏感度、运行时状态、先前操作和参与者类型的策略决策
当操作从人类转移到服务再转移到代理和子代理时，保留归因

• 内联执行（Inline enforcement），而不仅仅是事后检测

这是从作为目录和审批系统的身份到作为运行时控制平面的身份的转变。

非人类身份暴露了问题。Agents 代理让它不可避免。

非人类身份是旧模型的第一个主要裂缝。服务帐户无法清晰地映射到人类管理者。工作负载身份不经过入职-调岗-离职流程。企业通常通过将这些身份强制放入人类治理抽象中来应对：分配所有者、运行审查、记录例外。这创造了流程，但没有创造控制。

AI 代理（Agents）将这一点推得更远。

一个有用的代理不仅是另一个应用集成。它是一个解释意图、选择工具、链接操作并经常委托工作的系统。一个用户请求可以扇出多个 API 调用、服务到服务的交互、临时凭据、数据库操作和下游代理步骤。访问面不再是单次登录或单一角色。它是一个序列。

这造成了旧堆栈难以解决的三个硬性技术问题：

谱系 (Lineage)：到底是谁在行动？一个人？代表人的服务？代表人的代表服务的代理使用工具？

转换 (Translation)：如何将高层意图转化为完成任务所需的最小权限集，而不赋予参与者更广泛的常规角色？

执行 (Enforcement)：一旦执行开始，当系统的路径无法预先完全知道时，如何约束行为？

这些是运行时问题，而不是配置问题。

机会在哪里

身份安全的机会不仅仅是另一个权限记录系统。它是在身份和执行之间出现一个新的控制层。这一领域最重要的公司不会通过拥有单一的传统模块来获胜。他们将通过做好以下四件事来获胜：

统一人类、机器和代理参与者的身份上下文

跨执行链保留归因和谱系

代理短暂的、狭窄范围的即时 (JIT) 访问，而不是依赖常规特权

在操作级别而不是仅仅在身份级别进行内联策略执行

老问题是：谁应该有访问权限？新问题是：这个参与者现在是否被允许在这里做这件事？
这就是下一个十年的身份安全将建立的地方。