CSA 的研究结果表明，身份安全问题并非源于少数存在问题的账户，而是多层次的系统性问题。从以下方面可看出，治理与运营未能跟上云技术的采用步伐：

• 团队孤岛：28% 的企业将 “云安全团队与 IAM 团队缺乏协同” 列为主要挑战。
• 最小权限实施阻力：21% 的企业表示 “难以规模化落地最小权限原则”。
• 被动式 KPI：企业仍以安全事件发生频率 / 严重程度为核心 KPI（43%），而非前瞻性的风险降低措施。

再叠加混合云 / 多云环境的复杂性，身份为何仍是最薄弱环节便一目了然。

1. 注重实效而非形式
 

继续跟踪 MFA/SSO 指标，但需补充能实时暴露身份风险的信号，包括：

• 权限提升事件的发生频率或高风险角色的滥用情况；
• 与事件追踪相关的访问异常（如时间、地域及资源访问模式异常）；
• 人类与非人类身份的生命周期合规性（如休眠账户、过期密钥、孤立角色）。

2. 结合场景与时间实现最小权限落地
 

• 用 “即时提权” 和 “限时访问” 替代长期管理员权限；
• 实施 “策略即代码（Policy-as-Code）”，确保跨云厂商的权限无偏差；
• 定期审查高风险权限，将例外情况视为 “待发事故”。

3. 实现跨云治理统一
 

• 让 IAM 团队与云团队在统一的零信任路线图和工具上达成共识；
• 在各环境中标准化策略执行、身份联合（Identity Federation）及集中式认证；
• 构建整合 IAM 与云安全态势指标的共享仪表板，确保团队对风险优先级达成一致。

4. 让身份管控贴合数据泄露实际场景
 

AI 相关数据泄露的常见原因与传统场景高度相似：软件漏洞被利用（21%）、AI 模型缺陷（19%）、内部威胁（18%）、云配置错误（16%）。不要过度纠结于新型 “AI 原生” 风险，而忽视身份安全的基础—— 应首先将经过验证的云安全与身份安全防护措施应用于 AI 工作负载。

AI 正从 “试验阶段” 快速转向 “核心业务”：总计 55% 的企业正将 AI 用于实际业务需求。与此同时，34% 拥有 AI 工作负载的企业已遭遇过 AI 相关数据泄露。

身份风险如今已延伸至服务账户、API 及机器身份—— 这些身份正是连接数据管道、模型训练与推理过程的核心。但许多企业的 AI 安全实践仍 “重合规流程，轻技术落地”：超过一半的企业依赖框架指导 AI 安全，但仅有 26% 会开展 AI 安全测试，22% 会对 AI 数据进行分类与加密，15% 会实施机器学习运维（MLOps）安全实践。

需明确：合规是底线而非上限。对待 AI 的身份、数据及工作负载防护，应采用与云安全同等严格的标准。若缺乏更深入的技术投入与基于风险的策略，企业可能会忽视其他领域已有的基础安全实践。更值得警惕的是，这还仅针对 “合规使用的 AI”；随着 “影子 AI（未经批准的 AI 工具）” 增多，AI 领域中未受监控的部分可能带来更大风险。

报告中反复出现的一个主题是 “管理层协同”。31% 的受访者表示，企业高管对云安全风险缺乏足够认知 —— 部分管理者认为 “云原生工具已足够好用”，或 “云厂商应承担主要责任”。这种认知偏差直接导致了 “被动式 KPI” 的采用，以及对 “可预防泄露的身份管控措施” 的投资不足。

安全管理者可通过报告预防性成果弥合这一差距，例如：长期管理员角色减少数量、高风险权限的修复比例、撤销孤立凭证的平均时间等。这能将身份安全重新定位为 “可衡量、能降低成本的风险管控项目”，而非单纯的 “管控清单”。

管理层还需投资于能提供 “整合可见性”、“降低复杂性” 并 “实现前瞻性风险管理” 的平台与流程。随着 AI 采用速度加快，这一转变尤为迫切 —— AI 带来的新风险既需要基础安全成熟度支撑，也需要应对新兴威胁的敏捷性。在这一调整落地前，即便是最专业的安全团队，也会陷入被动运营的困境。

身份安全即云安全。《2025 年云与 AI 安全状况调查报告》显示，身份问题与云配置错误是两大风险驱动因素。企业虽声称将零信任与最小权限列为优先事项，但要让这些策略真正发挥作用，治理、衡量及跨团队运营必须跟上步伐。