文章总结： 本文探讨了身份安全领域中部署环境不一致性导致的碎片化问题，分析了本地部署、云PaaS与云原生、云SaaS三种IAM部署模式及其混合使用带来的五大挑战：权限烟囱化、策略混乱、验证体验差、可见性不足和架构修修补补。文章提出了解决方案，包括技术层面采用标准化和身份编排理念，管理层面建立统一战略和治理责任，以应对混合部署环境下的身份安全挑战。 综合评分： 87 文章分类： 安全建设,应用安全,云安全,网络安全,数据安全

随笔 | 身份安全的下一个十年（7）

原创

IDSA David Lv

安全红蓝紫

2025年12月20日 06:00 四川

大家好，好久不见，瞎折腾几个月。前两篇，我们聊了身份类型的多样化、系统容量的海量化以及保护对象的广泛化。这些都极大地增加了IAM的复杂性。

往期推荐

随笔 | 身份安全的下一个十年（1）

随笔 | 身份安全的下一个十年（2）

随笔 | 身份安全的下一个十年（3）

随笔 | 身份安全的下一个十年（4）

随笔 | 身份安全的下一个十年（5）

随笔 | 身份安全的下一个十年（6）

    然而，还有一个维度常常被忽视，却深刻影响着IAM的落地效果和整体安全性，即部署环境的不一致性。这背后隐藏着身份安全“碎片化”的巨大隐忧。

本地、PaaS、SaaS交织的部署迷宫

    当前IAM主要存在的三种部署方式及其特点：

1. 本地部署方式：出于合规、老旧系统集成、低延迟或特定控制需求（如紧密耦合的IGA预配、企业SSO、本地PAM/堡垒机），许多核心IAM组件（目录、IDP、策略执行点等）仍然部署在企业自有的数据中心内。这种模式控制力最强，但也意味着最高的运维负担和相对较慢的更新速度。

2. 云PaaS与云原生方式：企业将IAM软件部署在云服务提供商（如AWS, Azure, GCP、私有云）的基础设施上，或者利用容器化（Docker）、编排（Kubernetes）等云原生技术在云端或本地构建IAM能力。这种模式提供了比本地部署更好的弹性、可扩展性和敏捷性，同时企业仍保留对IAM软件本身的控制权。但也引入了云平台的依赖和新的技能要求，以及CSP、内部云团队、IAM团队之间的多层责任模型,管理效率比较低。

3. 云软件即服务方式：企业直接订阅由第三方供应商完全托管和运营的IAM服务（如Okta, Ping Identity等提供的IDaaS，或SaaS化的IGA/PAM等）。这种模式通常采用多租户架构，具有成本低（尤其是初始成本）、上手快、运维负担轻的优点，非常适合中小型企业或标准化的身份场景。但缺点是控制力最弱，定制化能力有限，且可能存在厂商锁定和多租户环境下的潜在风险。

关键在于，绝大多数中大型企业并非只选择其中一种模式，而是三种模式并存，形成了复杂的混合部署格局。应用系统可能散落在本地数据中心、多个公有云、以及各种SaaS服务中。

碎片化带来的治理黑洞与架构挑战

    混合部署的“新常态”正是我们当前身份安全规划与架构中面临的最棘手的问题之一。这种部署环境的不一致性，直接导致了身份安全的碎片化，带来了诸多痛点：

    1. 权限烟囱化：不同的部署环境往往意味着不同的IAM工具集和管理界面。本地AD/LDAP管理一套用户，云端Entra ID/Okta管理另一套，各个SaaS应用还有自己独立的权限体系。这导致身份生命周期管理、权限审计、访问审查等治理工作难以统一，效率低下且容易出现疏漏，形成治理黑洞。经常看到，一个员工离职，需要IT管理员在多个系统中手动禁用账号，同时还要在后台数据库建立代管员工对应的角色，耗时耗力还不容易留存记录。

    2. 策略混乱：访问控制策略难以在混合环境中保持一致。本地应用的授权逻辑可能还在代码里，云应用的授权依赖云平台IAM，SaaS应用的授权在各自的管理后台配置。这不仅增加了安全风险，也阻碍了零信任等需要全局策略协同的安全架构落地。

    3. 验证体验差：对用户而言，可能需要在不同系统间重复登录，或者面对多种不同的MFA，体验割裂且不便。对管理员而言，需要在多个控制台之间切换，管理复杂，效率低下。

    4. 可见性不足：安全运营团队难以获得跨环境的、统一的身份活动视图。日志分散在各处，格式不一，关联分析困难，导致检测和事件响应的延迟和不准确。

    5. 架构修修补补：为了打通不同环境的身份，架构师们不得不花费大量精力进行点对点的集成和打补丁，或者依赖昂贵的身份编排/同步工具。这些集成方案往往脆弱、难以维护，且随着环境变化容易失效。

如何应对碎片化之痛？

    解决混合部署带来的碎片化问题，没有一蹴而就的银弹，需要技术和管理的双重努力：

·技术层面：拥抱标准化（如OIDC、Oauth2.0、SCIM等），采用“身份编排(Identity Orchestration)”或“身份结构 (Identity Fabric)”的理念，构建能够连接和管理异构身份源和应用的抽象层；推动策略的集中管理和分布式执行（如基于OPA的PBAC）；利用云原生技术提升本地IAM的灵活性和可管理性。可能未来去中心化身份（DID）技术在IAM体系中标准化后，可能会改善身份数据的统一性。

·管理层面：建立统一的IAM战略和治理业务责任，明确跨团队的职责分工（打破管理层、业务、IT、安全、云、运维之间的壁垒）；优先打通关键的身份数据流和控制流；采用循序渐进的方式推进整合，而不是追求一步到位。

小结：正视混合，寻求协同

    混合部署在未来很长一段时间内都将是IAM领域的现实。我们必须正视它带来的碎片化挑战。这要求我们不仅要关注单个IAM技术或平台的优劣，更要着眼于如何在异构环境中实现身份数据、安全策略和用户体验的协同与一致。这不仅是对技术架构能力的考验，更是对组织治理和协作能力的挑战。

    在这种复杂、碎片化的背景下，身份本身的安全保障变得尤为重要且脆弱。下一篇，我们将聚焦身份安全的核心风险：身份凭证和权限是如何成为攻击者的首选目标的。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全红蓝紫 IDSA David Lv《随笔 | 身份安全的下一个十年（7）》