Оскільки підприємства впроваджують ШІ, хмарні архітектури та автоматизацію у великих масштабах, ідентифікація більше не є лише функцією внутрішньої безпеки. Вона стає рівнем контролю, який визначає, як системи довіряють, авторизують і спостерігають за людьми та машинами. Цей зсув викликаний двома основними змінами. По-перше, корпоративні системи стали високо розподіленими між хмарними платформами, API та сервісами. По-друге, керована ШІ розробка та автоматизація прискорюють швидкість створення та розгортання систем. Разом ці зміни переосмислюють те, як має впроваджуватися довіра та контроль у сучасних середовищах. Коли вихідні дані, згенеровані ШІ, взаємодіють з інфраструктурою, API та автоматизованими робочими процесами, виклик полягає не лише в тому, чи працюють системи, а в тому, чи можна їм довіряти, контролювати їх та надійно перевіряти. Рішав Бхандарі працював з корпоративною аутентифікацією, хмарною доставкою та великомасштабними системами автоматизації. Його досвід охоплює системи IAM корпоративного масштабу, хмарну інженерію та доставку DevOps. З його точки зору, ідентифікація більше не стосується лише входу та доступу. Вона стає основою для довіри, контролю та відповідальності в сучасних корпоративних системах. Організації, які досягнуть успіху, будуть не ті, що найшвидше впроваджують ШІ, а ті, що створюють навколо нього більш міцні рівні контролю.
Будь ласка, розкажіть про себе та свій професійний шлях.
Я провів понад вісім років в Infosys, працюючи над корпоративними системами в різних сферах. Я розпочав з управління ідентифікацією та доступом у Vodafone, обробляючи мільйони аутентифікацій користувачів у великих масштабах. Звідти я перейшов до хмарної доставки та цифрової трансформації, а нещодавно — до автоматизації та практик розробки за допомогою ШІ. Те, що я зрозумів, це те, що ідентифікація, хмарна безпека та управління ШІ зближуються. Неможливо говорити про хмарну безпеку, не говорячи про ідентифікацію. Неможливо говорити про управління ШІ, не розуміючи обох. Саме цей збіг робить цей момент цікавим для корпоративних технологій.
Ви працювали з ідентифікацією, хмарною доставкою та автоматизацією. Як ця комбінація сформувала ваше розуміння корпоративної архітектури?
Це змусило мене побачити ці три речі як одну розмову. На початку своєї кар'єри я вважав ідентифікацію інфраструктурою, яку ви налаштовуєте та обслуговуєте. Хмарні обчислення стосувалися лише того, де розташовані ваші сервери. Автоматизація полягала в тому, щоб робити речі швидше. Те, що я зрозумів, це те, що все це стосується довіри та контролю. Як ви довіряєте, що користувач є тим, за кого себе видає? Як ви довіряєте, що хмарний ресурс є легітимним? Як ви довіряєте, що автоматизована дія є авторизованою? Це питання ідентифікації, одягнені по-різному. Коли ви бачите це так, ваша архітектура змінюється фундаментально.
Чому ідентифікація стала центральним рівнем контролю, а не просто функцією внутрішньої безпеки?
Сталося дві речі. По-перше, системи стали розподіленими. Коли все було в одному центрі обробки даних, безпека мережі була вашим кордоном. Тепер з хмарними обчисленнями, API та сервісами в мережах, які ви не контролюєте, кордон мережі не працює. Ідентифікація стає вашим основним кордоном. По-друге, обсяг ідентифікації драматично розширився. Це більше не лише користувачі. Це сервіси, що спілкуються один з одним, API, заплановані завдання, інфраструктура як код та системи ШІ. Всі потребують аутентифікації та авторизації. Через це розширення ідентифікація перейшла від внутрішньої проблеми до архітектурної, яка формує те, як ви проектуєте та керуєте системами.
Як змінюється ідентифікація, коли організації впроваджують ШІ та автоматизацію у великих масштабах?
Машинна ідентифікація стає настільки ж важливою, як і людська ідентифікація. Сервіси, Lambda-функції та системи ШІ, всі потребують ідентифікації. Виклик полягає в масштабі. У вас може бути сотні працівників, але тисячі сервісів і агентів. Управління ідентифікацією в такому масштабі вимагає зовсім іншого підходу. Відкликання також відрізняється. Коли людина йде, ви відкликаєте доступ. Коли сервіс виходить з ладу, вам потрібно відкликати доступ за лічені секунди, а не дні. А підзвітність є складною. З системами ШІ вам потрібно зрозуміти, чи система зробила те, що повинна була, чи хтось її неправильно налаштував або зловживав нею. Це вимагає кращих аудиторських слідів та управління.
Які найбільші ризики при підключенні ШІ, хмарних сервісів та контролю доступу без сильного управління?
Найбільший ризик — це сліпі зони. Хтось розгортає систему ШІ для прийняття рішень, але ніхто не розуміє наслідків для безпеки. Система отримує широкі дозволи, оскільки їх звуження здавалося складним. Потім щось йде не так. Я бачив системи автоматизації з доступом до виробничих баз даних, які могли б завдати катастрофічної шкоди в разі компрометації. Невдачі відповідності — це інший ризик. Якщо ви не можете перевірити, що зробила система ШІ, або простежити рішення, ви не відповідаєте вимогам. Існує також залежність від постачальника та помилкова впевненість, коли ви думаєте, що захищені, але ваші системи не були розроблені для ШІ у великих масштабах.
Що означає нульова довіра на практиці з системами ШІ та автоматизованими робочими процесами?
Нульова довіра означає не довіряти нічому за замовчуванням, незалежно від того, звідки воно походить. Для людей це означає перевірку ідентифікації кожного разу. Для машин це означає короткочасні облікові дані, термін дії яких швидко закінчується, тому компрометація обмежена в часі. Для систем ШІ це означає обдуманість щодо дозволів. Конкретний доступ до конкретних ресурсів для конкретних дій з можливістю відкликання, якщо система робить щось несподіване. Нульова довіра також означає спостережуваність. Ви не можете забезпечити її дотримання, якщо не бачите, що відбувається. Виклик з ШІ полягає у визначенні того, як виглядає несподівана поведінка.
Де підприємства зазвичай помиляються з ідентифікацією, хмарною безпекою та управлінням?
Вони віддають пріоритет швидкості над контролем. Вони надають широкі дозволи для швидкого просування. Вони розгортають ШІ з доступом до всього, тому що звуження здавалося складним. Вони розглядають ідентифікацію як запізнілу думку, проектуючи хмарну архітектуру, не думаючи про неї, а потім намагаючись приєднати її. Інша помилка — це припущення, що хмарний провайдер обробляє безпеку. Провайдери надають вам інструменти, але ви повинні використовувати їх правильно. Організації також не інвестують у спостережуваність, доки не виникнуть проблеми. Вони розуміють збереження журналів, управління секретами та аудиторські сліди лише після того, як щось виходить з ладу. Людська сторона також має значення. Управління — це не просто технічні питання. Це про процеси та робочі процеси.
Як організації повинні балансувати безпеку, операційну швидкість та користувацький досвід?
Ключове розуміння полягає в тому, що тертя походить від поганого дизайну, а не від безпеки. Добре спроектована безпечна система робить правильні дії шляхом найменшого опору. Якщо журнали аудиту болісні, команди уникають їх. Якщо дозволи займають дні, команди запитують широкий доступ. Якщо відкликання є складним, команди пропускають його. Інвестуйте в автоматизацію. Автоматизуйте надання, запити на дозволи та журналювання аудиту. Залучайте команди на ранньому етапі розробки своєї стратегії. Розумійте їхні обмеження та потреби. Будьте прозорими щодо того, чому ви запитуєте певні контролі. Команди більш готові дотримуватися, коли розуміють чому.
Які практичні кроки можуть зробити лідери сьогодні, щоб покращити контроль у хмарних середовищах, що працюють на ШІ?
По-перше, інвентаризуйте те, що у вас є. Знайте, які системи ШІ існують, який доступ вони мають і що вони роблять. Починайте з нульової довіри прагматично. Не впроваджуйте ідеальну нульову довіру скрізь відразу. Почніть з критичних систем. Інвестуйте в спостережуваність через журналювання, метрики та сповіщення. Впровадьте надійні аудиторські сліди, щоб ви могли простежити, що сталося і чому. Керуйте секретами безпечно та регулярно їх ротуйте. Залучайте команди з безпеки та відповідності на ранніх етапах ініціатив ШІ. Не запитуйте, чи щось безпечне після розгортання. Нарешті, постійно навчайте свої команди. Безпека та управління — це не налаштувати й забути.
Як ви бачите розвиток ідентифікації, хмарної безпеки та управління ШІ?
Ідентифікація та управління стануть більш автоматизованими та інтелектуальними. Машинне навчання виявлятиме аномальну поведінку та розумітиме, як виглядає нормальна. Буде більше уваги приділено спостережуваності та розумінню поведінки систем ШІ, що зараз залишається чорною скринькою. Регулювання навколо ШІ збільшиться. Оскільки ШІ приймає важливі рішення, регулятори вимагатимуть кращого управління та підзвітності. Організації з хорошим управлінням зараз будуть попереду. Також буде більше уваги приділено портативній ідентифікації, не прив'язаній до одного хмарного провайдера. Те, до чого організації повинні зараз готуватися, — це визнання того, що ідентифікація та управління — це не просто проблеми безпеки. Це бізнес-проблеми. Вони впливають на швидкість, надійність та відповідність. Організації, які виграють, побудують міцні рівні контролю навколо ШІ та автоматизації, а не ті, хто рухається найшвидше без цих контролів.
