ISO27017新规落地：身份认证不再“刷脸就过”，多因素真不是可选项

最近不少客户一进咨询窗口就问：“我们刚做完ISO27001，现在又要搞ISO27017？那个‘身份认证要求’到底卡在哪？”——别急，咱们九蚂蚁陪企业过审这几年，看得真真切切：这次不是加个登录密码就完事，而是把“你是谁”这件事，从流程缝里拎出来单独拷问。

新规不是加戏，是补漏洞

过去很多企业把“身份认证”理解成“账号+密码”，甚至允许弱口令、长期不换密、同一密码复用多个系统。但云环境下的共享资源、跨租户访问、API调用暴增，单点认证早就是裸奔状态。ISO27017:2022修订版明确：对云服务中涉及客户数据访问、管理权限、配置变更等关键操作，必须实施基于风险的身份验证策略——而高风险场景，默认触发多因素认证（MFA）。

这不是建议，是控制项（Control A.9.4.3），写进了审核打分表。

多因素？不是“锦上添花”，是“入场门槛”

有人问：“能不能只在管理员后台开MFA，普通用户还用密码？”答案很实在：看场景。比如运维人员重置客户数据库权限、财务人员导出SaaS系统月度报表、第三方集成方调用用户信息API——这些动作一旦发生未授权访问，后果直接关联云服务商责任。标准原文用词是“shall implement”，即“必须实施”，没有灰色地带。
我们帮某跨境电商客户做差距分析时发现，他们前台客服系统虽用了短信验证码，但后台BI平台仍支持纯密码登录，结果这一项就被审核老师当场标红。

别硬套模板，先理清“谁在什么时候动什么”

九蚂蚁的做法一向很“土”：不推标准化MFA盒子，而是和客户一起画三张图——
✅ 用户角色图（谁有权限？）
✅ 操作敏感度矩阵（哪类操作算高风险？）
✅ 认证路径清单（当前怎么验？漏在哪？）
理清楚这三样，MFA不是加一道锁，而是把钥匙链重新串了一遍——既合规，也不卡业务。

说白了，新规不是为难大家，是逼着我们把“信任”这件事，从口头承诺变成可验证的动作。需要搭把手？九蚂蚁的云安全顾问，专治各种“认证焦虑”。