W miarę jak przedsiębiorstwa wdrażają AI, architektury natywne dla chmury i automatyzację na dużą skalę, tożsamość nie jest już tylko funkcją bezpieczeństwa zaplecza. Staje się warstwą kontrolną, która określa, jak systemy ufają, autoryzują i obserwują zarówno ludzi, jak i maszyny. Ta zmiana jest napędzana przez dwie główne zmiany. Po pierwsze, systemy korporacyjne stały się wysoce rozproszone w platformach chmurowych, interfejsach API i usługach. Po drugie, rozwój wspomagany przez AI i automatyzacja przyspieszają tempo budowania i wdrażania systemów. Razem te zmiany na nowo definiują sposób, w jaki zaufanie i kontrola muszą być wdrażane w nowoczesnych środowiskach. Gdy dane wyjściowe generowane przez AI wchodzą w interakcję z infrastrukturą, interfejsami API i zautomatyzowanymi przepływami pracy, wyzwaniem nie jest już tylko to, czy systemy działają, ale czy można im ufać, kontrolować je i poddawać audytowi w niezawodny sposób. Rishav Bhandari pracował nad uwierzytelnianiem korporacyjnym, dostawą usług w chmurze i systemami automatyzacji na dużą skalę. Jego doświadczenie obejmuje systemy IAM w skali korporacyjnej, inżynierię chmury i dostawę DevOps. Z jego perspektywy tożsamość nie dotyczy już tylko logowania i dostępu. Staje się fundamentem zaufania, kontroli i odpowiedzialności w nowoczesnych systemach korporacyjnych. Organizacje, które odniosą sukces, nie będą tymi, które najszybciej przyjmą AI, ale tymi, które zbudują wokół niego silniejsze warstwy kontrolne.
Proszę opowiedzieć nam o sobie i swojej drodze zawodowej.
Spędziłem ponad osiem lat w Infosys, pracując nad systemami korporacyjnymi w różnych dziedzinach. Zacząłem od zarządzania tożsamością i dostępem w Vodafone, obsługując miliony uwierzytelnień użytkowników na dużą skalę. Stamtąd przeniosłem się do dostarczania usług w chmurze i transformacji cyfrowej, a ostatnio do automatyzacji i praktyk rozwoju wspomaganego przez AI. To, co zrozumiałem, to że tożsamość, bezpieczeństwo chmury i zarządzanie AI zbiegają się. Nie można mówić o bezpieczeństwie chmury bez mówienia o tożsamości. Nie można mówić o zarządzaniu AI bez zrozumienia obu. Ta konwergencja sprawia, że ten moment jest interesujący dla technologii korporacyjnej.
Pracowałeś nad tożsamością, dostawą usług w chmurze i automatyzacją. Jak ta kombinacja ukształtowała twoje myślenie o architekturze korporacyjnej?
Zmusiło mnie to do postrzegania tych trzech rzeczy jako tej samej rozmowy. Na początku mojej kariery myślałem o tożsamości jako infrastrukturze, którą się konfiguruje i utrzymuje. Chmura dotyczyła tylko tego, gdzie znajdowały się twoje serwery. Automatyzacja dotyczyła robienia rzeczy szybciej. To, co zrozumiałem, to że wszystkie one dotyczą zaufania i kontroli. Jak ufasz, że użytkownik jest tym, za kogo się podaje? Jak ufasz, że zasób w chmurze jest legalny? Jak ufasz, że zautomatyzowana akcja jest autoryzowana? To są pytania dotyczące tożsamości w różnych ujęciach. Gdy widzisz to w ten sposób, twoja architektura zmienia się fundamentalnie.
Dlaczego tożsamość stała się centralną warstwą kontrolną, a nie tylko funkcją bezpieczeństwa zaplecza?
Stały się dwie rzeczy. Po pierwsze, systemy stały się rozproszone. Gdy wszystko było w jednym centrum danych, bezpieczeństwo sieci było twoją granicą. Teraz, z chmurą, interfejsami API i usługami w sieciach, których nie kontrolujesz, granica sieci nie działa. Tożsamość staje się twoją główną granicą. Po drugie, zakres tożsamości dramatycznie się rozszerzył. To nie są już tylko użytkownicy. To są usługi komunikujące się ze sobą, interfejsy API, zaplanowane zadania, infrastruktura jako kod i systemy AI. Wszystkie potrzebują uwierzytelniania i autoryzacji. Ze względu na tę ekspansję tożsamość przeszła z kwestii zaplecza do kwestii architektonicznej, która kształtuje sposób projektowania i obsługi systemów.
Jak zmienia się tożsamość, gdy organizacje przyjmują AI i automatyzację na dużą skalę?
Tożsamość maszyny staje się równie ważna jak tożsamość człowieka. Usługi, funkcje Lambda i systemy AI potrzebują tożsamości. Wyzwaniem jest skala. Możesz mieć setki pracowników, ale tysiące usług i agentów. Zarządzanie tożsamością na tę skalę wymaga zupełnie innego podejścia. Odwołanie jest również inne. Gdy człowiek odchodzi, cofasz dostęp. Gdy usługa działa źle, musisz cofnąć dostęp w ciągu sekund, a nie dni. A odpowiedzialność jest skomplikowana. W przypadku systemów AI musisz zrozumieć, czy system zrobił to, co powinien, czy ktoś go źle skonfigurował lub nadużył. Wymaga to lepszych ścieżek audytu i zarządzania.
Jakie są największe zagrożenia przy łączeniu AI, usług w chmurze i kontroli dostępu bez silnego zarządzania?
Największym ryzykiem są martwe punkty. Ktoś wdraża system AI do podejmowania decyzji, ale nikt nie rozumie implikacji dla bezpieczeństwa. System otrzymuje szerokie uprawnienia, ponieważ ich zawężenie wydawało się skomplikowane. Potem coś idzie nie tak. Widziałem systemy automatyzacji z dostępem do baz danych produkcyjnych, które mogłyby spowodować katastrofalne szkody w przypadku kompromitacji. Niepowodzenia w zakresie zgodności to kolejne ryzyko. Jeśli nie możesz przeprowadzić audytu tego, co zrobił system AI lub śledzić decyzji, nie jesteś zgodny. Istnieje również uzależnienie od dostawcy i fałszywa pewność, gdy myślisz, że jesteś bezpieczny, ale twoje systemy nie zostały zaprojektowane dla AI na dużą skalę.
Co oznacza Zero Trust w praktyce w przypadku systemów AI i zautomatyzowanych przepływów pracy?
Zero Trust oznacza domyślnie nie ufanie niczemu, niezależnie od tego, skąd to pochodzi. Dla ludzi oznacza to weryfikowanie tożsamości za każdym razem. Dla maszyn oznacza to krótkotrwałe poświadczenia, które szybko wygasają, więc kompromis jest ograniczony czasowo. Dla systemów AI oznacza to przemyślane podejście do uprawnień. Konkretny dostęp do konkretnych zasobów dla konkretnych działań, z możliwością cofnięcia, jeśli system robi coś nieoczekiwanego. Zero Trust oznacza również obserwowalność. Nie możesz tego wyegzekwować, jeśli nie widzisz, co się dzieje. Wyzwaniem związanym z AI jest zdefiniowanie, jak wygląda nieoczekiwane zachowanie.
Gdzie przedsiębiorstwa zazwyczaj mylą się w kwestii tożsamości, bezpieczeństwa chmury i zarządzania?
Priorytetowo traktują szybkość nad kontrolą. Przyznają szerokie uprawnienia, aby działać szybko. Wdrażają AI z dostępem do wszystkiego, ponieważ zawężanie wydawało się skomplikowane. Traktują tożsamość jak coś drugorzędnego, projektując architekturę chmury bez myślenia o niej, a następnie próbując ją dobudować. Innym błędem jest założenie, że dostawca chmury obsługuje bezpieczeństwo. Dostawcy dają ci narzędzia, ale musisz z nich prawidłowo korzystać. Organizacje również nie inwestują w obserwowalność, dopóki nie wystąpią problemy. Rozumieją przechowywanie logów, zarządzanie sekretami i ścieżki audytu dopiero po tym, jak coś zawiedzie. Ludzka strona również ma znaczenie. Zarządzanie to nie tylko kwestia techniczna. To kwestia procesów i przepływów pracy.
Jak organizacje powinny równoważyć bezpieczeństwo, szybkość operacyjną i doświadczenie użytkownika?
Kluczowym spostrzeżeniem jest to, że tarcie wynika ze złego projektu, a nie z bezpieczeństwa. Dobrze zaprojektowany bezpieczny system sprawia, że robienie właściwej rzeczy jest ścieżką najmniejszego oporu. Jeśli logi audytu są bolesne, zespoły ich unikają. Jeśli uprawnienia zajmują dni, zespoły proszą o szeroki dostęp. Jeśli odwołanie jest skomplikowane, zespoły je pomijają. Inwestuj w automatyzację. Automatyzuj obsługę administracyjną, żądania uprawnień i rejestrowanie audytu. Włączaj zespoły wcześnie w projektowanie strategii. Rozumiej ich ograniczenia i potrzeby. Bądź przejrzysty co do tego, dlaczego prosisz o określone kontrole. Zespoły są bardziej skłonne do przestrzegania, gdy rozumieją dlaczego.
Jakie praktyczne kroki mogą podjąć liderzy dzisiaj, aby poprawić kontrolę w środowiskach chmurowych obsługujących AI?
Po pierwsze, zinwentaryzuj to, co masz. Wiedz, jakie systemy AI istnieją, jaki mają dostęp i co robią. Zacznij od zero trust pragmatycznie. Nie wdrażaj idealnego zero trust wszędzie naraz. Zacznij od systemów krytycznych. Inwestuj w obserwowalność poprzez rejestrowanie, metryki i alerty. Wdrażaj silne ścieżki audytu, abyś mógł prześledzić, co się stało i dlaczego. Zarządzaj sekretami w bezpieczny sposób i rotuj je regularnie. Włączaj zespoły ds. bezpieczeństwa i zgodności wcześnie w inicjatywach AI. Nie pytaj, czy coś jest bezpieczne po wdrożeniu. Na koniec, edukuj swoje zespoły w sposób ciągły. Bezpieczeństwo i zarządzanie nie są czymś, co ustalisz i zapomnisz.
Jak widzisz ewolucję tożsamości, bezpieczeństwa chmury i zarządzania AI?
Tożsamość i zarządzanie staną się bardziej zautomatyzowane i inteligentne. Uczenie maszynowe będzie wykrywać nietypowe zachowania i rozumieć, jak wygląda normalność. Będzie więcej uwagi poświęconej obserwowalności i zrozumieniu zachowania systemu AI, które obecnie pozostaje czarną skrzynką. Regulacje dotyczące AI będą się zwiększać. Ponieważ AI podejmuje ważne decyzje, organy regulacyjne będą wymagać lepszego zarządzania i odpowiedzialności. Organizacje z dobrym zarządzaniem teraz będą z przodu. Będzie też więcej uwagi poświęconej przenośnej tożsamości, nieuzależnionej od jednego dostawcy chmury. To, do czego organizacje powinny się teraz przygotować, to uznanie, że tożsamość i zarządzanie to nie tylko problemy bezpieczeństwa. To problemy biznesowe. Wpływają na szybkość, niezawodność i zgodność. Organizacje, które wygrają, zbudują silne warstwy kontrolne wokół AI i automatyzacji, a nie te, które poruszają się najszybciej bez tych kontroli.
