保護身分安全。將攻擊者拒之門外。
在跨越任何基礎架構(包括混合雲、SaaS 和多雲)存取任何資源的過程中不間斷地保護身分。CyberArk Identity Security Platform 是抗禦惡意行為者及未經授權存取的第一道防線,以保護企業最重要資訊。根據 Verizon 資料外洩調查報告(DBIR),超過 74% 的資料外洩事件涉及特權憑證遭竊或濫用,身分安全已成為現代企業資安防護的核心。
頤合資訊 — 台灣 CyberArk 專業導入先驅
頤合資訊(InfoArchi)是台灣最早成功將 CyberArk 方案導入大型企業客戶的專業服務商,在特權存取管理(PAM)與憑證生命週期管理領域累積了豐富的實戰經驗,是台灣 CyberArk 市場的先驅者與最具經驗的導入夥伴。
- 台灣第一家 CyberArk 大型客戶導入商(2012):頤合資訊於 2012 年完成台灣第一家大型企業 CyberArk 方案簽約與導入,比業界其他服務商早了數年,深度掌握各類產業導入挑戰與最佳實踐
- 逾十年深厚經驗與豐富客戶基礎:超過十年的 CyberArk 服務歷程,涵蓋金融業、製造業、科技業等大型企業客戶,累積了台灣最豐富的 CyberArk 實施案例,深度了解不同產業的特權存取管理需求與合規要求
- 多張 CyberArk CDE 工程師認證:顧問團隊持有多張 CyberArk CDE(Certified Delivery Engineer)工程師認證,涵蓋特權存取管理(PAM)及憑證生命週期管理(Certificate Manager)等核心專業領域,是台灣擁有最多 CyberArk 認證工程師的服務商
一、CyberArk 身分安全平台總覽
CyberArk 是全球唯一以「智慧特權控制為核心」的身分安全平台供應商,連續多年在 Gartner PAM 魔力象限中位居領導者象限。平台以統一方式保護人類與機器身分存取應用程式、基礎架構和資料,並靈活地自動化身分生命週期,透過持續的身分威脅檢測和保護來落實最小授權以實踐零信任原則。
- 持續驗證(Continuous Authentication):在整個存取生命週期中持續驗證身分,而非僅於登入時驗證一次
- 持續授權(Continuous Authorization):依據情境動態調整存取權限,實踐零信任最小授權原則
- 身分威脅偵測與回應(ITDR):即時偵測異常行為並自動回應,縮短威脅暴露時間
- 統一身分生命週期管理:自動化人類與機器身分的全生命週期,從入職到離職一次到位
- 特權存取管理(PAM):嚴格管控所有特權帳號的存取行為,防止橫向移動攻擊
二、員工與客戶身分存取管理
單一登入(SSO)
透過一次登入存取所有已授權應用程式,支援 SAML 2.0、OIDC/OAuth 2.0,內建 1,500+ 預設整合範本,與 Microsoft 365、Google Workspace、Salesforce、ServiceNow 等無縭整合。自適性 SSO 依使用者風險評分動態決定是否需要額外驗證。
多因素驗證(Adaptive MFA)
採用機器學習即時評估每次存取的風險等級,支援 OATH TOTP、推播通知、簡訊 OTP、FIDO2/WebAuthn 無密碼驗證、Windows Hello for Business、生物辨識及硬體安全金鑰(YubiKey)。自適性引擎考量登入時間、地理位置、裝置健康狀態、IP 信譽及行為生物辨識,在安全性與使用者體驗之間取得最佳平衡。
使用者生命週期管理
整合 Workday、SAP SuccessFactors 等 HR 系統,新員工第一天即可使用所需應用程式,離職時自動撤銷所有存取權限。定期存取認證(Access Certification)確保主管定期確認下屬存取權限,徹底消除孤兒帳號帶來的安全風險。
三、特權存取管理(PAM)
Digital Vault — 特權憑證保管庫
採用多層加密架構(AES-256)與 HSM 硬體安全模組。核心功能:自動密碼輪換(支援 Windows/Linux/Unix/DB/網路設備)、一次性密碼(OTP)、雙人授權(Dual Control)、自動憑證發現(掃描全企業所有特權帳號與 SSH 金鑰)。
特權工作階段管理(PSM)
所有特權工作階段均透過 CyberArk 代理進行,使用者全程不接觸真實密碼。功能涵蓋:完整工作階段錄影(RDP/SSH/Web/DB)、文字指令擷取(OCR 關鍵字搜尋)、即時監控與異常中斷、Just-In-Time(JIT)存取。
零常設特權(Zero Standing Privileges, ZSP)
權限僅在需要時動態授予,任務完成後立即收回。大幅縮小攻擊面,即使帳號遭竊也無法長期潛伏。
特權威脅分析(PTA)
機器學習建立帳號正常行為基準,可偵測 Golden Ticket / Pass-the-Hash 攻擊、橫向移動、服務帳號異常互動式登入、密碼噴灑攻擊等高階威脅。
四、端點特權安全(EPM)
超過 70% 的攻擊始於端點。CyberArk EPM 採用「提升即時所需應用程式的權限,而非提升整個使用者帳號」的設計,完整支援 Windows 10/11/Server、macOS 及主流 Linux。
五、機密管理(CyberArk Secrets Manager)
Secrets Manager(基於 Conjur 技術)集中儲存、管理和分發所有非人類身分所需的機密,提供完整存取控制、稽核記錄與自動輪換功能。隨著 AI Agent、微服務與容器化應用的普及,服務帳號與機器身分(Non-Human Identity)的數量已遠超人類帳號,Secrets Manager 正是管控這些非人類身分憑證的核心方案。
Conjur — 現代化工作負載的機密管理引擎
Conjur 是 CyberArk Secrets Manager 的核心技術引擎,專為 CI/CD、Container、AI Agent、微服務等現代化工作負載設計。與傳統 PAM Vault 主要管控 Windows Service、Task Scheduler、資料庫連線等傳統服務帳號不同,Conjur 針對雲端原生與 DevOps 環境提供更輕量、更自動化的機密管理方式。
Conjur 的核心原理是「不存密碼,動態取得」:應用程式或 AI Agent 啟動時,先向 Conjur 驗證身分,取得短效 Token,使用 Token 存取目標資源,Token 自動過期作廢。密碼從不落地、不存在程式碼中,徹底消除硬編碼憑證的風險。
Conjur 五大管控層次
1. 工作負載身分認證(Workload Identity)
每個工作負載或 AI Agent 取得機密之前,必須先證明「我是誰」。Conjur 支援多種認證方式:Kubernetes Pod 以 Service Account Token 驗證、AWS/Azure/GCP 以雲端平台 IAM Role 驗證、Jenkins/GitHub Actions 以 JWT Token 驗證、VM 上的應用程式以 Host Identity 與 API Key 驗證、以及憑證式(Certificate-based)認證。每個工作負載都有獨立身分,不共用帳號。
2. 最小權限策略即程式碼(Policy as Code)
Conjur 使用 YAML 格式定義權限政策,實現「策略即程式碼」。每個 AI Agent 或服務帳號僅能存取被明確授權的機密,越界即被拒絕。政策檔案可納入版本控制,確保變更可追溯、可審核。
3. 動態憑證輪換(Dynamic Secrets)
機密的有效期可自訂設定(例如每小時自動輪換),應用程式每次啟動或定期重新向 Conjur 取得新的憑證,舊憑證自動作廢。即使機密意外外洩,攻擊者取得的也是已過期的無效憑證。
4. Kubernetes 與容器環境深度整合
AI Agent 與微服務最常部署在 Kubernetes 環境中,Conjur 提供三種機密注入方式:
- Secrets Provider(Init Container):Pod 啟動前先取得機密,注入為環境變數或檔案,適合短期任務型工作負載
- Sidecar Injector:以 Sidecar 容器伴隨 Pod 持續更新機密,適合長時間運行的 AI Agent,確保憑證始終有效
- Secrets Store CSI Driver:以 Volume 方式掛載機密至 Pod,透過 Container Storage Interface 標準介面運作,對應用程式完全透明
5. 完整稽核日誌
每一次機密存取都完整記錄:哪個工作負載存取、存取哪個機密、存取時間、成功或失敗。完整的稽核軌跡對金融機構的法規遵循至關重要,能夠精確回答「這個 AI Agent 在什麼時候存取了什麼系統」。
AI Agent 與服務帳號的實際應用情境
- 呼叫外部 API(OpenAI、內部服務):API Key 集中存放於 Conjur,AI Agent 執行時動態取得,用完即廢
- 連接資料庫查詢資料:資料庫密碼動態簽發,每次連線使用短效憑證
- 存取雲端儲存(S3 / Blob Storage):雲端 IAM 臨時憑證動態產生,避免長期金鑰外洩風險
- 微服務間串接:Service-to-Service Token 由 Conjur 集中管控與自動輪換
- CI/CD Pipeline 部署:Pipeline 所需機密集中在 Conjur 管理,不寫在 GitHub 或 CI 設定檔中
與 PAM Vault 的整合
對於已部署 CyberArk PAM 的企業,Conjur 可透過 Vault Synchronizer 與 PAM Vault 無縫整合:傳統服務帳號密碼繼續存放在 Vault 中,由 CPM 元件依密碼政策執行自動輪換;現代化工作負載與 AI Agent 則透過 Conjur 動態取用機密。兩者共用同一管控平台,稽核日誌統一匯集,無需分開管理。
主流工具整合
- Jenkins:官方 Conjur Secrets Plugin,Pipeline 動態取得憑證,Jenkins 不儲存任何明文密碼,符合 PCI-DSS/SOX
- Ansible:Conjur Ansible Collection Lookup Plugin,Playbook 動態取得機密,支援 Ansible Automation Platform
- Tenable:掃描前向 CyberArk 即時查詢目標主機密碼,消除靜態儲存密碼的風險
- UiPath RPA:Credential Store 插件直接整合 CyberArk Orchestrator,支援 Attended/Unattended 機器人
- Automation Anywhere / Blue Prism:以 CyberArk 取代各平台內建 Credential Vault,集中保護 RPA 機器人高權限帳號
- Kubernetes / Terraform / GitHub Actions / GitLab CI:涵蓋現代 DevOps 完整工具鏈
六、雲端特權安全(Cloud Privilege Security)
跨 AWS、Azure、GCP 多雲環境的統一特權存取保護,功能涵蓋雲端 IAM 分析與可視性、JIT 雲端控制台存取、CIEM 持續建議最小化權限、CIS Benchmark/NIST/SOC 2 自動化合規報告。
七、身分管理與治理(IGA)
確保每個使用者在正確的時間、以正確的方式、存取正確的資源。功能包括定期存取認證、AI 角色挖掘、職責分離(SoD)規則強制執行、SOX/GDPR/PCI-DSS/HIPAA 合規報告一鍵產生。
八、憑證生命週期管理(Certificate Manager)
Apple 自 2025 年起要求 TLS 憑證有效期不得超過 47 天,手動管理已完全不可行。CyberArk Certificate Manager(前身為 Venafi TLS Protect)提供企業完整的憑證可視性與生命週期全程自動化。
全企業憑證探索
主動掃描所有 TLS 埠、代理式探索(Windows 憑證存放區、Java Keystore、PEM 檔案)、雲端憑證探索(AWS ACM、Azure Key Vault、GCP CA Service)、F5/Citrix/Nginx/Apache/IIS 及 API 閘道。
七大生命週期全程自動化
探索 → 申請(自動入口+政策驗證)→ 簽發(向 CA 自動提交 CSR)→ 部署(自動安裝至 IIS/Nginx/F5/AWS ELB 等)→ 監控(持續驗證+多層次到期預警)→ 更新(到期前自動啟動)→ 撤銷(自動 CRL/OCSP)。全程無需人工介入。
支援 CA 範圍
DigiCert、Entrust、Sectigo、GlobalSign、Let’s Encrypt、Microsoft AD CS、AWS Private CA、Azure Managed CA、GCP CA Service、HashiCorp Vault PKI。
部署選項
- Certificate Manager SaaS(前身 Venafi Cloud):完全雲端托管,快速導入,適合雲端原生環境
- Certificate Manager Self-Hosted(前身 Venafi TPP):完全掌控在自有環境,支援 Air-Gapped 隔離網路,適合金融、政府等高度管制行業
九、零信任架構與法規遵循
CyberArk 落實零信任四大支柱,協助企業滿足 PCI-DSS v4.0、ISO 27001、SOC 2 Type II、NIST CSF、GDPR 及金管會金融機構資安評鑑等主要法規遵循要求。
十、為何選擇 CyberArk
- Gartner PAM 魔力象限領導者:連續多年位居領導者象限,全球 7,000+ 企業客戶
- 台灣在地服務:頤合資訊(InfoArchi)具備完整 CyberArk 認證技術能力(含多張 CDE 認證工程師)
- CyberArk Advanced Partner:頤合資訊自 2021 年起為 Advanced Partner,2012 年完成台灣第一家客戶簽約
Infoarchi頤合資訊 