با پذیرش هوش مصنوعی، معماریهای بومی ابر و اتوماسیون در مقیاس گسترده توسط سازمانها، هویت دیگر صرفاً یک عملکرد امنیتی پشتیبان نیست. این به لایه کنترلی تبدیل میشود که تعیین میکند سیستمها چگونه به انسانها و ماشینها اعتماد، مجوز و نظارت میکنند. این تغییر توسط دو تغییر عمده هدایت میشود. اول، سیستمهای سازمانی به شدت در پلتفرمهای رایانش ابری، APIها و خدمات توزیع شدهاند. دوم، توسعه با کمک هوش مصنوعی و اتوماسیون سرعت ساخت و استقرار سیستمها را تسریع میکنند. این تغییرات با هم در حال بازتعریف نحوه اجرای اعتماد و کنترل در محیطهای مدرن هستند. وقتی خروجیهای تولید شده توسط هوش مصنوعی با زیرساختها، APIها و گردشهای کاری خودکار تعامل میکنند، چالش دیگر تنها این نیست که آیا سیستمها کار میکنند، بلکه این است که آیا میتوان به آنها اعتماد کرد، آنها را کنترل کرد و به طور قابل اعتماد ممیزی کرد. ریشاو بهانداری در سیستمهای احراز هویت سازمانی، تحویل ابر و سیستمهای اتوماسیون در مقیاس بزرگ کار کرده است. تجربه او سیستمهای IAM در مقیاس سازمانی، مهندسی ابر و تحویل DevOps را در بر میگیرد. از دیدگاه او، هویت دیگر فقط درباره ورود و دسترسی نیست. این در حال تبدیل شدن به پایهای برای اعتماد، کنترل و پاسخگویی در سیستمهای سازمانی مدرن است. سازمانهایی که موفق میشوند، آنهایی نخواهند بود که سریعتر هوش مصنوعی را اتخاذ میکنند، بلکه آنهایی هستند که لایههای کنترلی قویتری در اطراف آن ایجاد میکنند.
لطفاً درباره خودتان و سفر حرفهایتان بگویید.
من بیش از هشت سال در Infosys روی سیستمهای سازمانی در حوزههای مختلف کار کردهام. من با مدیریت هویت و دسترسی در Vodafone شروع کردم و میلیونها احراز هویت کاربر را در مقیاس بزرگ مدیریت میکردم. از آنجا، به تحویل ابر و تحول دیجیتال نقل مکان کردم و اخیراً به شیوههای اتوماسیون و توسعه با کمک هوش مصنوعی پرداختم. آنچه متوجه شدهام این است که هویت، امنیت ابر و حاکمیت هوش مصنوعی همگی در حال همگرایی هستند. شما نمیتوانید درباره امنیت ابر صحبت کنید بدون اینکه درباره هویت صحبت کنید. شما نمیتوانید درباره حاکمیت هوش مصنوعی صحبت کنید بدون اینکه هر دو را درک کنید. این همگرایی چیزی است که این لحظه را برای فناوری سازمانی جالب میکند.
شما در زمینه هویت، تحویل ابر و اتوماسیون کار کردهاید. این ترکیب چگونه تفکر شما را درباره معماری سازمانی شکل داده است؟
این مرا مجبور کرد که این سه چیز را به عنوان یک گفتگو ببینم. در اوایل حرفهام، فکر میکردم هویت یک زیرساخت است که راهاندازی و نگهداری میکنید. ابر فقط درباره محل قرار گرفتن سرورهای شما بود. اتوماسیون درباره انجام سریعتر کارها بود. آنچه متوجه شدم این است که همه آنها درباره اعتماد و کنترل هستند. چگونه اعتماد میکنید که یک کاربر همان کسی است که ادعا میکند؟ چگونه اعتماد میکنید که یک منبع ابری مشروع است؟ چگونه اعتماد میکنید که یک اقدام خودکار مجاز است؟ اینها سؤالات هویتی هستند که متفاوت لباس پوشیدهاند. وقتی آن را به این شکل میبینید، معماری شما اساساً تغییر میکند.
چرا هویت به یک لایه کنترل مرکزی تبدیل شده است نه فقط یک عملکرد امنیتی پشتیبان؟
دو اتفاق افتاد. اول، سیستمها توزیع شده شدند. وقتی همه چیز در یک مرکز داده بود، امنیت شبکه مرز شما بود. اکنون با ابر، APIها و خدمات در شبکههایی که کنترل نمیکنید، مرز شبکه کار نمیکند. هویت به مرز اصلی شما تبدیل میشود. دوم، دامنه هویت به طور چشمگیری گسترش یافت. دیگر فقط کاربران نیستند. این خدمات هستند که با یکدیگر صحبت میکنند، APIها، کارهای زمانبندی شده، زیرساخت به عنوان کد و سیستمهای هوش مصنوعی. همه به احراز هویت و مجوز نیاز دارند. به دلیل این گسترش، هویت از یک نگرانی پشتیبان به یک موضوع معماری تبدیل شد که نحوه طراحی و اجرای سیستمها را شکل میدهد.
با پذیرش هوش مصنوعی و اتوماسیون در مقیاس گسترده توسط سازمانها، هویت چگونه در حال تغییر است؟
هویت ماشین به اندازه هویت انسان مهم میشود. خدمات، توابع Lambda و سیستمهای هوش مصنوعی همگی به هویت نیاز دارند. چالش مقیاس است. ممکن است صدها کارمند داشته باشید اما هزاران خدمات و عامل. مدیریت هویت در آن مقیاس نیاز به رویکرد کاملاً متفاوتی دارد. لغو نیز متفاوت است. وقتی یک انسان میرود، دسترسی را لغو میکنید. وقتی یک خدمات اشتباه میشود، باید دسترسی را در عرض ثانیهها لغو کنید، نه روزها. و پاسخگویی پیچیده است. با سیستمهای هوش مصنوعی، باید بفهمید آیا سیستم کاری را که باید انجام داده یا شخصی آن را اشتباه پیکربندی یا سوء استفاده کرده است. این نیاز به رد ممیزی و حاکمیت بهتری دارد.
بزرگترین ریسکها هنگام اتصال هوش مصنوعی، خدمات ابری و کنترلهای دسترسی بدون حاکمیت قوی چیست؟
بزرگترین ریسک نقاط کور است. کسی یک سیستم هوش مصنوعی را برای تصمیمگیری مستقر میکند، اما هیچ کس پیامدهای امنیتی را درک نمیکند. سیستم مجوزهای گستردهای دریافت میکند زیرا محدود کردن آنها پیچیده به نظر میرسید. سپس اشتباهی رخ میدهد. من سیستمهای اتوماسیونی را دیدهام که به پایگاههای داده تولید دسترسی داشتند که میتوانستند در صورت به خطر افتادن آسیب فاجعهباری ایجاد کنند. شکستهای انطباق ریسک دیگری هستند. اگر نتوانید آنچه یک سیستم هوش مصنوعی انجام داده یا تصمیمات را ردیابی کنید، منطبق نیستید. همچنین وابستگی به فروشنده و اعتماد کاذب وجود دارد، جایی که فکر میکنید امن هستید، اما سیستمهای شما برای هوش مصنوعی در مقیاس طراحی نشدهاند.
اعتماد صفر در عمل با سیستمهای هوش مصنوعی و گردشهای کاری خودکار به چه معناست؟
اعتماد صفر به معنای عدم اعتماد به هیچ چیز به طور پیشفرض است، صرف نظر از اینکه از کجا میآید. برای انسانها، به معنای تأیید هویت در هر بار است. برای ماشینها، به معنای اعتبارنامههای کوتاهمدت است که به سرعت منقضی میشوند، بنابراین به خطر افتادن محدود به زمان است. برای سیستمهای هوش مصنوعی، به معنای عمدی بودن درباره مجوزها است. دسترسی خاص به منابع خاص برای اقدامات خاص، با توانایی لغو اگر سیستم کار غیرمنتظرهای انجام دهد. اعتماد صفر همچنین به معنای قابلیت مشاهده است. اگر نتوانید ببینید چه اتفاقی میافتد، نمیتوانید آن را اجرا کنید. چالش با هوش مصنوعی تعریف اینکه رفتار غیرمنتظره چگونه به نظر میرسد است.
سازمانها معمولاً هویت، امنیت ابر و حاکمیت را کجا اشتباه میگیرند؟
آنها سرعت را بر کنترل اولویت میدهند. آنها مجوزهای گستردهای برای حرکت سریع اعطا میکنند. آنها هوش مصنوعی را با دسترسی به همه چیز مستقر میکنند زیرا محدود کردن پیچیده به نظر میرسید. آنها با هویت به عنوان یک فکر بعدی رفتار میکنند، معماری ابر را بدون فکر کردن به آن طراحی میکنند، سپس سعی میکنند آن را به آن متصل کنند. اشتباه دیگر فرض کردن این است که ارائهدهنده ابر امنیت را مدیریت میکند. ارائهدهندگان ابزارها را به شما میدهند، اما باید به درستی از آنها استفاده کنید. سازمانها همچنین تا زمانی که مشکلات رخ دهند در قابلیت مشاهده سرمایهگذاری نمیکنند. آنها نگهداری گزارش، مدیریت اسرار و رد ممیزی را فقط پس از شکست چیزی درک میکنند. جنبه انسانی نیز اهمیت دارد. حاکمیت فقط فنی نیست. این درباره فرآیندها و گردشهای کاری است.
سازمانها چگونه باید امنیت، سرعت عملیاتی و تجربه ی کاربر را متعادل کنند؟
بینش کلیدی این است که اصطکاک از طراحی بد ناشی میشود، نه امنیت. یک سیستم ایمن با طراحی خوب، انجام کار درست را مسیر کمترین مقاومت میکند. اگر گزارشهای ممیزی دردناک باشند، تیمها از آنها اجتناب میکنند. اگر مجوزها روزها طول بکشد، تیمها دسترسی گسترده درخواست میکنند. اگر لغو پیچیده باشد، تیمها آن را رد میکنند. در اتوماسیون سرمایهگذاری کنید. تأمین، درخواستهای مجوز و ثبت ممیزی را خودکار کنید. تیمها را در اوایل طراحی استراتژی خود درگیر کنید. محدودیتها و نیازهای آنها را درک کنید. درباره اینکه چرا کنترلهای خاصی را درخواست میکنید شفاف باشید. تیمها زمانی که دلیل را بفهمند، تمایل بیشتری به انطباق دارند.
رهبران امروز چه اقدامات عملی میتوانند برای بهبود کنترل در محیطهای ابری فعال شده توسط هوش مصنوعی انجام دهند؟
اول، موجودی آنچه دارید را بردارید. بدانید چه سیستمهای هوش مصنوعی وجود دارند، چه دسترسیهایی دارند و چه کاری انجام میدهند. با اعتماد صفر به صورت عملی شروع کنید. اعتماد صفر کامل را در همه جا یکباره پیادهسازی نکنید. با سیستمهای حیاتی شروع کنید. از طریق ثبت، معیارها و هشدار در قابلیت مشاهده سرمایهگذاری کنید. رد ممیزی قوی را پیادهسازی کنید تا بتوانید ردیابی کنید چه اتفاقی افتاده و چرا. اسرار را به طور ایمن مدیریت کنید و آنها را به طور منظم تغییر دهید. تیمهای امنیت و انطباق را در اوایل ابتکارات هوش مصنوعی درگیر کنید. پس از استقرار نپرسید که آیا چیزی ایمن است. در نهایت، تیمهای خود را به طور مداوم آموزش دهید. امنیت و حاکمیت تنظیم و فراموشی نیستند.
چگونه هویت، امنیت ابر و حاکمیت هوش مصنوعی را در حال تکامل میبینید؟
هویت و حاکمیت خودکارتر و هوشمندتر خواهند شد. یادگیری ماشین رفتار غیرعادی را تشخیص میدهد و درک میکند که عادی چگونه به نظر میرسد. تمرکز بیشتری بر قابلیت مشاهده و درک رفتار سیستم هوش مصنوعی خواهد بود که در حال حاضر یک جعبه سیاه باقی میماند. مقررات پیرامون هوش مصنوعی افزایش خواهد یافت. همانطور که هوش مصنوعی تصمیمات مهمی میگیرد، تنظیمکنندهها حاکمیت و پاسخگویی بهتری را طلب خواهند کرد. سازمانهایی که اکنون حاکمیت خوبی دارند جلوتر خواهند بود. همچنین تمرکز بیشتری بر هویت قابل حمل خواهد بود، نه قفل شده در یک ارائهدهنده ابر. آنچه سازمانها باید اکنون برای آن آماده شوند این است که تشخیص دهند هویت و حاکمیت فقط مشکلات امنیتی نیستند. آنها مشکلات تجاری هستند. آنها بر سرعت، قابلیت اطمینان و انطباق تأثیر میگذارند. سازمانهایی که برنده میشوند، کسانی خواهند بود که لایههای کنترل قوی در اطراف هوش مصنوعی و اتوماسیون ایجاد میکنند، نه کسانی که بدون آن کنترلها سریعتر حرکت میکنند.
