Kui ettevõtted kasutavad suurel määral tehisintellekti (AI), pilveteenuste arhitektuure ja automatiseerimist, siis identiteet ei ole enam ainult tagaosa turvafunktsioon. See muutub juhtimiskihiks, mis määrab, kuidas süsteemid usaldavad, volitavad ning jälgivad nii inimesi kui ka masinaid. Seda muutust põhjustavad kaks suurt muutust. Esiteks on ettevõttesüsteemid muutunud väga jaotatudks erinevate pilveteenuste platvormide, API-de ja teenustega. Teiseks kiirendavad AI-ga toetatud arendus ja automatiseerimine süsteemide ehitamise ja kasutuselevõtu kiirust. Koos muudavad need muutused põhimõtteliselt seda, kuidas tuleb tänapäevastes keskkondades rakendada usaldust ja kontrolli. Kui AI-ga loodud väljundid interakteeruvad infrastruktuuriga, API-dega ja automatiseeritud töövoogudega, ei ole probleem enam ainult see, kas süsteemid töötavad, vaid see, kas neile saab usaldada, kas neid saab kontrollida ja auditida usaldusväärselt. Rishav Bhandari on töötanud ettevõttes identiteedi ja autentimisega, pilveteenuste tarnealas ning suuremahuliste automatiseerimissüsteemidega. Tema kogemus hõlmab ettevõtteskaala identiteedi- ja juurdepääsuhalduse (IAM) süsteeme, pilveteenuste inseneritööd ja DevOps-i tarnealast tegevust. Tema vaatenurgast ei ole identiteet enam ainult sisselogimise ja juurdepääsu küsimus. See muutub usalduse, kontrolli ja vastutuse aluseks tänapäevastes ettevõttesüsteemides. Edu saavutavad mitte need organisatsioonid, kes võtavad AI-d kõige kiiremini kasutusele, vaid need, kes ehitavad selle ümber tugevama kontrollikihi.
Palun rääkige endast ja oma kutseteekonnast.
Olen töötanud üle kaheksa aasta Infosysis erinevates ettevõttesüsteemides. Alustasin identiteedi- ja juurdepääsuhaldusega Vodafone’is, kus käsitlesin miljonite kasutajate autentimist suurel määral. Sealt liikusin edasi pilveteenuste tarne ja digitaalse teisenduse suunas ning viimasel ajal olen pöördunud automatiseerimise ja AI-ga toetatud arenduspraktikate poole. Ma olen teadnud, et identiteet, pilveteenuste turvalisus ja AI valdkonna valitsus (AI governance) on kõik kokku sulanud. Pilveteenuste turvalisusest ei saa rääkida ilma identiteedist rääkimata. Samuti ei saa rääkida AI valdkonna valitsusest ilma nende mõlemaga tutvumata. Just see kokkusulamine teeb praeguse hetke ettevõtte tehnoloogias huvitavaks.
Olete töötanud identiteedi, pilveteenuste tarne ja automatiseerimisega. Kuidas on see kombinatsioon mõjutanud teie mõtlemist ettevõttes arhitektuuris?
See sundis mind vaatama neid kolme asja kui ühte ja sama vestlust. Varases karjääris pidasin identiteeti infrastruktuuriks, mille tuleb seadistada ja hooldada. Pilveteenused olid lihtsalt see, kus teie serverid asuvad. Automatiseerimine oli lihtsalt asi, mille abil saab asju kiiremini teha. Ma mõistsin, et tegelikult kõik need puudutavad usaldust ja kontrolli. Kuidas saate usaldada, et kasutaja on see, kelle ta enda väidab olevat? Kuidas saate usaldada, et pilveteenuste ressurss on õiguspärane? Kuidas saate usaldada, et automatiseeritud tegevus on volitatud? Need on identiteediga seotud küsimused, millel on lihtsalt erinev rõhk. Kui vaadata seda selliselt, muutub teie arhitektuur põhimõtteliselt.
Miks on identiteet muutunud keskseks juhtimiskihiks, mitte ainult tagaosa turvafunktsiooniks?
Toimus kaks asja. Esiteks muutusid süsteemid jaotatuks. Kui kõik asus ühes andmekeskuses, oli võrguturvalisus teie piir. Nüüd, kui pilveteenused, API-d ja teenused on laialdaselt erinevates võrkudes, mille üle teil pole kontrolli, ei toimi võrgupiir enam. Identiteet muutub teie esmaseks piiriks. Teiseks laienes identiteedi ulatus dramaatiliselt. See ei puudu enam ainult inimestest. See hõlmab teenuseid, kes omavahel suhtlevad, API-sid, ajastatud töid, infrastruktuuri-koodina (infrastructure-as-code) ja AI-süsteeme. Kõigil neil on vaja autentimist ja volitamist. Selle ulatuse tõttu liikus identiteet tagaosa probleemist arhitektuuriprobleemiks, mis kujundab teie süsteemide disaini ja toimimist.
Kuidas muutub identiteet, kui organisatsioonid kasutavad suurel määral AI-d ja automatiseerimist?
Masina identiteet muutub nii oluliseks kui ka inimese identiteet. Teenused, Lambda-funktsioonid ja AI-süsteemid vajavad kõik identiteeti. Probleem on skaala. Teil võib olla sadu töötajaid, kuid tuhandeid teenuseid ja agente. Sellises skaalas identiteedi haldamine nõuab täiesti teistsugust lähenemist. Ka tühistamine on teistsugune. Kui inimene lahkub, tühistatakse tema juurdepääs. Kui teenus läheb valesti, peate juurdepääsu tühistama sekundites, mitte päevades. Ja vastutus on keerukam. AI-süsteemide puhul peate mõistma, kas süsteem tegi seda, mida peaks tegema, või kas keegi seda valesti konfigureeris või kuritarvitasi. Selleks on vaja paremaid audititeid ja valitsust.
Mis on suurimad riskid, kui AI-d, pilveteenuseid ja juurdepääsukontrolle ühendatakse tugeva valitsuseta?
Suurim risk on pimedad tsoonid. Keegi paigaldab AI-süsteemi otsuste langetamiseks, kuid keegi ei mõista turvalisuse tagajärgi. Süsteemile antakse laiaulatuslikud õigused, kuna nende kitsendamine tundus keeruline. Siis läheb midagi valesti. Olen näinud automatiseerimissüsteeme, millel on juurdepääs tootmisandmebaasidele ja mis võivad kompromitteerumise korral põhjustada katastroofilisi kahjusid. Teine risk on vastavusnõuete täitmata jätmine. Kui te ei saa auditida seda, mida AI-süsteem tegi, ega otsida tagasi otsuseid, ei ole te vastavuses nõuetega. On ka risk vedajaga seotud blokeerumise ja vale usalduse tekke kohta – te arvate, et olete turvalised, kuid teie süsteemid ei ole suuremahuliseks AI-ks disainitud.
Mida tähendab Zero Trust praktikas AI-süsteemide ja automatiseeritud töövoogude korral?
Zero Trust tähendab, et midagi ei usaldata vaikimisi, sõltumata sellest, kust see pärit on. Inimeste puhul tähendab see identiteedi korduvat kinnitamist igal ajal. Masinate puhul tähendab see lühikest kehtivusaega omavate identifikaatorite kasutamist, nii et kompromitteerumine on ajaliselt piiratud. AI-süsteemide puhul tähendab see täpselt mõeldud õiguste andmist. Täpselt kindlate ressursside ja konkreetsete tegevuste jaoks, võimalusega tühistada õigused, kui süsteem teeb midagi ootamatut. Zero Trust tähendab ka jälgitavust. Seda ei saa rakendada, kui te ei saa seda, mis toimub, jälgida. AI puhul on suurim väljakutse defineerida, mis on ootamatu käitumine.
Kus teevad ettevõtted tavaliselt identiteedi, pilveteenuste turvalisuse ja valitsusega vigu?
Nad annavad eelisõiguse kiirusele üle kontrolli. Nad annavad laiaulatuslikke õigusi kiiremaks liikumiseks. Nad paigaldavad AI-d koos ligipääsuga kõigile ressurssidele, kuna nende kitsendamine tundus keeruline. Nad käsitlevad identiteeti kui järelmõtet, disainides pilveteenuste arhitektuuri ilma sellest mõtlemata ja püüdes seda hiljem lisada. Teine viga on eeldada, et pilveteenuste pakkuja haldab turvalisust. Pakkuja annab teile tööriistu, kuid te peate neid õigesti kasutama. Organisatsioonid ei investeeri ka jälgitavusse enne probleemide teket. Nad mõistavad logikogumise, saladuste haldamise ja audititeid alles pärast seda, kui midagi läheb valesti. Oluline on ka inimlik pool. Valitsus ei ole ainult tehniline küsimus. See puudutab protsesse ja töövooge.
Kuidas peaksid organisatsioonid tasakaalustama turvalisust, operatsioonilist kiirust ja kasutajakogemust?
Peamine avastus on see, et takistus tuleneb halvast disainist, mitte turvalisusest. Hästi disainitud turvaline süsteem teeb õige tegevuse kergemaks kui vale. Kui auditilogid on ebamugavad, vältivad tiimid neid. Kui õiguste andmine võtab päevi, paluvad tiimid laiaulatuslikke õigusi. Kui õiguste tühistamine on keeruline, unustavad tiimid selle ära. Investeerige automatiseerimisse. Automatiseerige ressursi andmine, õiguste taotlemine ja auditilogimine. Kaasake tiimid varakult oma strateegia disaini. Mõistke nende piiranguid ja vajadusi. Olge läbipaistvad selles, miks te teatud kontrollimeetmeid nõuate. Tiimid on valmis rohkem koostööd tegema, kui nad mõistavad põhjust.
Mis praktilisi samme saavad juhid täna astuda, et parandada kontrolli AI-ga võimendatud pilveteenuste keskkonnas?
Esiteks tehke inventuur seda, mida teil on. Teadke, millised AI-süsteemid eksisteerivad, milline neil on ligipääs ja mida nad teevad. Alustage zero trusti põhimõtetega praktiliselt. Ärge rakendage täiuslikku zero trusti koheselt kõikjal. Alustage kriitiliste süsteemidega. Investeerige jälgitavusse logimise, metrite ja hoiatuste kaudu. Rakendage tugevaid audititeid, et te saaksite jälgida, mis juhtus ja miks. Haldake saladusi turvaliselt ja vahetage neid regulaarselt. Kaasake turvalisus- ja vastavusmeeskonnad varakult AI-initsiatiividesse. Ärge küsige, kas midagi on turvaline, pärast seda kui see on juba kasutusele võetud. Lõpuks pidevalt harjutage oma tiime. Turvalisus ja valitsus ei ole „paigaldada ja unustada“.
Kuidas te näete identiteedi, pilveteenuste turvalisuse ja AI valdkonna valitsuse arengut?
Identiteet ja valitsus muutuvad rohkem automatiseerituks ja täpsemaks. Masinõpe tuvastab anomaaalse käitumise ja mõistab, mis on tavapärane. Suurem rõhk langeb jälgitavusel ja AI-süsteemide käitumise mõistmisel, mis praegu on ikka veel must kast. AI valdkonna regulatsioonid suurenevad. Kuna AI teeb olulisi otsuseid, nõuavad regulaatorid paremat valitsust ja vastutust. Organisatsioonid, kes täna juba head valitsust rakendavad, on ees. Suurem rõhk langeb ka porteeruval identiteedil, mitte ühe pilveteenuste pakkuja blokeerumisel. Mida organisatsioonid peaksid täna ette valmistama, on see, et identiteet ja valitsus ei ole ainult turvaprobleemid. Need on äriprobleemid. Need mõjutavad kiirust, usaldusväärsust ja vastavust. Edu saavutavad need organisatsioonid, kes ehitavad AI ja automatiseerimise ümber tugeva kontrollikihi, mitte need, kes liiguvad kõige kiiremini ilma nendeta kontrollita.
