云端自動化的廣泛采用，意味著系統ID數量的增長速度是人類用戶的兩倍。因為，在多云環境下，越權（over-privileged）的系統ID可以更快、更高效地執行從運行腳本到修補漏洞的各項任務，而且其犯的錯誤比人類用戶少。雖然系統ID可以快速無誤地完成任務并提高生產力，但這種跨不同云應用程序的廣泛使用，使組織很難獲得對系統ID的可見性，及強制執行最低權限訪問。這就是為什么跨云管控系統ID和實施機密管理至關重要的原因，不這么做會加大組織的攻擊面，并危及業務運營。

　　系統ID數量的激增，需要安全團隊加強監管工作，因為了解使用哪些權限、使用多頻繁以及在什么情況下使用至關重要。如果組織打算充分享用跨云自動化的好處，就必須成功地管理身份和訪問。這在CloudOps團隊中尤其如此，他們的工作是迅速地構建和交付產品，云構建團隊為了不阻礙開發效率，會為新任務（比如應用程序動態測試）創建新的系統ID，這可能妨礙管理的可見性和用戶責任制。很多時候，組織往往意識不到到云端系統ID方面的嚴重風險。如果組織中普遍存在系統ID訪問權限過大且不受管理的情況，就會加大其攻擊面和風險。一旦攻擊者劫持了權限過大的身份，就可以橫向移動，進而訪問整個環境。

　　例如，早在上世紀90年代后期，工程師就在Linux上使用服務ID來運行cronjob（計劃任務），這需要運行腳本和更新報告之類的批處理任務。直到今天，人類仍依靠系統完成這些類型的任務。問題在于，在現代多云環境下，管理完成這些工作的系統要復雜得多——組織使用眾多平臺的數千個系統ID，使其缺乏可見性和控制度，安全團隊可能不知道哪些ID執行哪些工作，因為它們是由云構建者設置的，這就大大增加了攻擊者的攻擊面。

　　從行為的角度來看，預測與系統ID相關的活動可能很困難。畢竟，系統偶爾會出現隨機行為，完成超出通常職責范圍的任務。但是當安全負責人試圖審核ID用戶權限時，他們會發現一長串費解的可能沒必要的ID。這導致危險的停滯狀態。如果組織中有太多權限訪問數量不明的系統ID在人為干預之外運行，會導致威脅加大。組織應設法獲得跨所有云平臺（IaaS、DaaS、PaaS和SaaS）的可見性，并控制系統ID的特權訪問。

　　理想情況下，這種管控來自單一的管理平臺，授予和撤銷權限就像點擊按鈕一樣簡單。至于系統ID的權限，安全團隊應該像對待人一樣對待系統ID，采用零常設權限（ZSP）政策——ZSP是多云安全的基準。這意味著摒棄靜態權限或機密、撤銷越權帳戶，以及消除過時或不必要的帳戶。這聽起來像是復雜而艱巨的任務，卻是保護云環境的必要步驟。幸好，現在有幾種解決方案可以幫助組織獲得可見性、實施控制以及不中斷業務運營。

　　降低多云環境下越權系統ID風險的五種手段

　　1.對所有用戶（人類和非人類）使用即時（JIT）權限訪問

　　無論在會話或任務持續期間、或是指定的時間段內，還是用戶手動重新核查配置文件，都需要對所有用戶（用戶和機器ID）使用即時（JIT）權限訪問，一旦任務完成，這些權限就被自動撤銷。

　　2.保持零常設權限

　　動態添加和刪除權限，使企業CloudOps團隊能夠保持零常設權限（ZSP）安全態勢。它適用于零信任概念，意味著在默認情況下，沒有任何人或設備可以一直訪問企業的云帳戶和數據。

　　3.集中和擴展權限管理

　　使用靜態身份時，盡量減少散亂現象是一大挑戰，如今許多CloudOps團隊在努力使用Excel電子表格來手動管理ID和權限。集中式配置可以跨所有云資源自動執行這個過程，從而大大降低出錯、及帳戶和數據面臨更大風險的可能性。

　　4.借助高級數據分析（ADA）獲得統一的訪問可見性

　　ADA使團隊能夠從單一管理平臺跨所有平臺監控整個環境，這項功能可識別每個組織特定的權限訪問問題，并讓負責管理數千個用戶ID的安全團隊能夠做到心中有數。

　　5.將機密管理引入到CI/CD流程中

　　可以實時授予和撤銷JIT機密，這在CloudOps需要啟動臨時服務時很理想，它自動執行通過策略來調用的共享機密輪換機制，并保護和簡化入職和離職流程。

　　有限的可見性阻礙了安全團隊，并加劇了原本很復雜的情形。擁有越權訪問的系統ID過多，意味著組織在保護多云環境時面臨重大挑戰。但是如果能定義誰在什么權限下使用特權帳戶、撤銷不必要的訪問，以及運用即時權限訪問，組織就可以保護多云環境，并放心地部署自動化流程。

　　沒人知道如今在云端到底使用了多少系統ID，我們只知道這個數字在迅速增加。雖然這種增加表明了業務運營有所改善，但也表明了需要動態可靠的安全解決方案。多云環境下工作的團隊應與能夠跨云環境確保安全，又不干擾運營的安全合作伙伴合作。這對于確保關鍵基礎設施的安全性和功能性至關重要。