Idira(更名后的CyberArk)完全指南

infisical 发布于 2026-06-30 阅读 31

Palo Alto Networks收购CyberArk并更名为Idira,保留CyberArk品牌。Idira定位为统一身份安全平台,涵盖人类、机器和AI Agent身份。文章全面解析Idira架构(秘密管理、PAM、AI Agent安全等),对比CyberArk变化,分析其优缺点(成熟但复杂、闭源、价格高),指出适合大型受监管企业,但对注重开发者体验和敏捷性的团队不友好,并推广开源替代Infisical。

发布于 2026 年 6 月 28 日,星期日

博客图片

CyberArk 是身份安全领域历史最悠久的品牌之一。他们以特权访问管理(PAM)最为人熟知,但其产品涵盖密钥管理、证书管理等。自 1999 年独立运营后,Palo Alto Networks (PANW) 收购了 CyberArk,并将其产品线重新整合为安全平台 Idira。

这次品牌重塑是一项重大举措,也让用户感到困惑,因为 CyberArk 品牌与 Idira 同时存在。这让许多团队产生疑问:依赖 CyberArk 的用户会有什么变化?CyberArk 还会继续获得更新吗?我会被迫购买 Idira 吗?价格会变得更贵吗?

简单来说,Idira 是 CyberArk 技术的新品牌,并扩展了 Palo Alto Networks 在机器和 AI Agent 身份方面的能力。如果你正在将其评估为密钥管理特权访问管理解决方案,品牌重塑的重要性不如底层架构、定价和运营模式。根据公开信息,这些似乎都延续到了新品牌中。

安全基础设施的采用成本高昂,迁移也很痛苦,尤其是对于像 Idira/CyberArk 这样操作复杂、通常需要专职团队来运营的工具。在评估安全基础设施时,理解这一点很重要。这次品牌重塑引发了一些实际问题:

  • Idira 到底是什么?
  • CyberArk 品牌重塑对客户意味着什么?
  • 该平台提供什么?
  • Idira/CyberArk 在哪些方面表现良好,在哪些方面存在不足?

对于将许多服务捆绑在一起的产品,首先理解其基础部分很有必要。

Idira 是什么?

Idira 是 Palo Alto Networks 的身份安全平台。它旨在发现、控制和管理组织内的各类身份。包括:

  • 人类用户
  • 机器工作负载
  • AI Agent。

Palo Alto Networks 完成了对 CyberArk 的收购,这笔交易被广泛报道为约 250 亿美元,并于 2026 年 5 月将 CyberArk 产品组合整合到名为 Idira 的单一品牌下。该平台围绕三个身份领域定位:

  • 人类身份安全: PAM、身份与访问管理(IAM)以及身份治理与管理(IGA)。这是经典的 CyberArk 领域。
  • 机器身份安全: 密钥管理、证书生命周期以及非人类工作负载的治理,这些工作负载现在已远超人类用户数量。
  • AI Agent 安全: 自主 Agent 的发现、控制和治理,这是该套件中最新且最不成熟的部分。

文档中还列出了许多其他服务,它们填补了这些领域之间的空白,或是这些领域的变体。除了 AI Agent 部分,大部分服务都反映了收购前的 CyberArk 产品。

此次收购及随后的品牌重塑令人困惑,尤其是因为 Palo Alto Networks 保留了 CyberArk 品牌。

收购后 CyberArk 自身发生了哪些变化?

收购后,CyberArk 的产品发生了显著变化:

  • CyberArk 的 Conjur(其密钥管理解决方案)开源版本已停止接收定期、有意义的更新。
  • Conjur 的托管版本已更名为“Secrets Manager SaaS”,而自托管版本现在称为“Secrets Manager Self-Hosted”。

Palo Alto Networks 本身已声明将继续支持和发展现有的 CyberArk 产品。但具体的支持和发展方式目前未知。PANW 已宣布计划与自己的 Strata 和 Cortex 产品进行深度集成,并暗示与 Idira 的路线图正在趋同。

在短期或中期内,现有的 CyberArk 客户不会失去他们已经付费的产品,CyberArk 的产品将继续对新客户开放。然而,产品路线图尚不确定,尤其是如果产品越来越多地被纳入 Palo Alto Networks 的体系之下。

CyberArk vs. Idira:实际发生了什么变化以及如何选择

Palo Alto Networks 向现有的 CyberArk 客户保证,底层技术和运营模式保持不变。他们的产品长期以来以能力强但复杂而闻名,通常需要专门的培训和专职团队。

这种复杂性源于 CyberArk 的产品组合本身是 10 次收购的结果,包括其证书管理/PKI 工具(前身为 Venafi)和 CyberArk 于 2017 年收购的密钥管理器 Conjur。将 CyberArk 完全并入 Idira 可能会进一步增加这种复杂性。

由于每个 CyberArk 产品都有对应的 Idira 产品,新平台的操作方式可能类似于 CyberArk,尽管关于确切对应关系的公开信息很少。

品牌本身确实发生了变化。产品继承了 CyberArk 的命名惯例,例如 Secrets Hub 更名为 Idira Secrets Hub,Privilege Cloud 更名为 Idira Privilege Cloud 等。

就目前而言,最大的变化似乎是表面上的:

  • 一个品牌,一个控制平面。 Palo Alto Networks 将 CyberArk 产品整合到 Idira 品牌下,并拥有中心化控制平面。
  • 明确推动机器身份和 AI Agent。 Idira 在其新定位中明确提到了 AI Agent 和机器身份。

如果你已经在使用 CyberArk,短期内品牌重塑主要是表面上的。如果你正在全新评估该平台,可将 Idira 视为 CyberArk 成熟的 PAM 和密钥技术,并加上一个不太成熟的机器和 AI 层。

很难就选择哪个解决方案给出建议。CyberArk 仍接受新客户,但其未来似乎不确定。继 IBM 收购 HashiCorp(以及随后关闭 HCP Vault Secrets)之后,担心安全基础设施的未来是合情合理的。

Idira 的结构:一站式服务的承诺

Idira 的卖点是广度。一个供应商,一个平台,涵盖所有身份类型,这大致与 CyberArk 类似,只是少了 Agent AI 的角度。CyberArk 的技术(为 Idira 提供动力)已有近 30 年历史,这使其成熟,但也意味着它积累了复杂性,这是最大的抱怨点。

有几个组件值得理解,因为大多数评估最终会落在它们身上:

  • Idira Secrets Manager 是密钥管理器,基于 CyberArk 的 Conjur 血统,可作为自托管或托管 SaaS 服务使用。
  • Idira Secrets Hub 是一个治理层,连接到你已运行的云原生密钥库。
  • PAM 套件 处理人类特权访问:会话隔离、凭据保管、即时提升以及合规框架要求的审计追踪。

Palo Alto Networks 还单独收购了 AI 网关提供商 Portkey,其技术很可能用于提供 AI Agent 安全功能,如 Agent 发现、权限控制、任务范围访问等。

Idira 还包括各种其他产品,例如证书管理、密码管理等解决方案。

这种广度将安全堆栈统一在一个屋檐下。这对于治理和报告来说很方便,但意味着每个领域都有其自身的部署、配置和操作面。

如果你只需要一个密钥管理器,这种复杂性可能不值得(查看 Conjur 与 Infisical 的比较),但对于从头开始设置大型安全堆栈的任何人来说,这是可行的。

Idira 在哪些方面表现出色

Idira 的理想客户是大型企业,这类企业雇佣几名额外的基础设施工程师不成问题,或者 CyberArk 本就是其已有的解决方案。这些优势是 CyberArk 生存了近 30 年并仍在销售的原因:

  • 成熟且深入的 PAM。 对于大型企业中的人类特权访问,CyberArk 开创了这一类别,其深度已延续到 Idira。会话记录、凭据保管和即时提升都已完善并广泛部署。
  • 合规与审计记录。 如果你在严格的监管下运营,Idira 的审计追踪和治理报告是为审计师构建并得到他们认可的。
  • 真正的广度。 对于一个希望与单一供应商建立单一治理视图的组织来说,工具的广度很重要。

Idira 在其提供产品的每个类别中都是一个可信的解决方案,但这同时也带来了复杂性和笨重感,而这正是其弱点。

Idira 在哪些方面存在不足

使 Idira 对大型企业有优势的相同特性,也使其对许多其他团队来说不合适。

  • 部署和采用负担重。 特别是自托管的密钥管理器以其陡峭的配置曲线而闻名,当工具使开发人员的日常工作变得更繁琐时,强制采用是很困难的。增加摩擦的工具会被绕过,而变通方法正是密钥蔓延的来源。
  • 闭源。 Idira 不提供当前产品的开源核心供检查、透明地自托管或在与销售沟通前试用。你可以自托管 Idira 的解决方案,但产品基本上是闭源的。
  • 收购后的创新步伐。 身份安全市场充斥着几十年前构建、现在被大型、行动缓慢的收购方拥有的产品。收购方通常优先考虑与自己产品的集成和较慢的开发,而不是创新性的尝试。
  • AI Agent 层尚处于早期。 将 Agent 身份能力视为前瞻性尝试,而非成熟的产品线。Idira 包含 AI Agent 安全产品,但 Agent 安全范式仍在演变之中。

与 CyberArk 的一个长期争议点一直是定价。Idira 似乎延续了这一传统。

Idira 定价与总拥有成本

Idira 继承了 CyberArk 的企业模式:无公开定价,许可证(可能)按身份收费,许多高级部署可能需要专业服务。

这意味着总拥有成本高昂且不透明。定价是隐藏的,但 CyberArk 的费率一直处于市场顶端。一个中等规模的部署每年可能达到数十万美元,尤其是当你考虑运营成本和专职工程师时。

接入、迁移或定制开发通常需要专业服务,这是一笔额外的(如果是一次性的话)费用。我们在这个博客上分析了 CyberArk Conjur 定价。虽然 Conjur 只是一个密钥管理器,但基本原理应该能很好地适用。

Idira 适合谁,不适合谁

适合的场景:

  • 你是一家大型、受监管的企业,拥有专门的身份安全或 PAM 团队。
  • 你能承受长时间的迁移、接入周期,以及可能招聘具备特定知识的新工程师。
  • 成本不是问题。
  • 人类特权访问和合规审计是你的核心问题。
  • 你已经在运行 CyberArk 和/或拥有相关的机构知识。
  • 没有紧迫性,迁移或采用期可以在需要时跨越数月到数年。
  • 你完全赞同 Idira 的产品方向,和/或已经在使用 Palo Alto Networks 的产品。

不适合的场景:

  • 开发者体验很重要,你希望简化安全的操作方面。
  • 你是一个小型或中型团队,或者是一个希望快速行动的企业。
  • 你希望避免定制开发或招聘新工程师来运营你的身份安全堆栈。
  • 开源和透明是你不可或缺的要求。
  • 你的主要需求是现代密钥管理、证书管理,或者除了 PAM 之外的几乎任何东西。
  • 你希望快速采用安全工具。
  • 你不确定 CyberArk 技术在 PANW 旗下未来的发展方向。

Idira 替代品:Infisical 的定位

许多团队选择 Infisical 而不是 Idira,原因是其开发者体验、开源特性和简单性。

Infisical 是一个开源的身份安全平台,将机密管理、证书管理密钥管理 (KMS) 和特权访问管理统一在一个平台中。

它与 Idira 的一站式哲学相同,并包含许多重要功能(例如细粒度审计日志、访问策略和控制),但与其他 Idira/CyberArk 的设计选择相反:

  • 开源且部署灵活。 检查代码,在任何云或本地自托管,或作为托管服务运行。尤其是大型组织,通常会选择 Infisical 以获得开源灵活性。
  • 基于 PostgreSQL,而非专有基础设施。 部署和扩展依赖成熟的技术,而 CyberArk 的 Digital Vault 运行在专有技术上。这意味着运营 Infisical 通常可以由基础设施或 DevOps 团队完成,而无需配备具有专业知识的专职员工。
  • 默认以开发者优先。 工作流、用于本地开发的 CLI、易用的仪表盘、审批流程、密钥轮换和动态短期密钥开箱即用,因此团队在第一天就能获得价值,而不是等到数月的部署之后。

Infisical 是 Idira 和 CyberArk 等传统供应商的现代替代品,它专注于开发者体验,以简化安全、避免脆弱的变通方法并消除昂贵的定制开发。

如果你正在权衡选择,我们对最佳密钥管理工具的概述可以将整个市场进行并排比较。

  • 原文链接: infisical.com/blog/idira...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~

相关文章

0 条评论