隨著企業採用人工智慧、雲原生架構和大規模自動化,身分識別不再只是後端安全功能。它正成為決定系統如何信任、授權和觀察人類與機器的控制層。這一轉變由兩大變化驅動。首先,企業系統已在雲平台、API和服務之間高度分散。其次,人工智慧輔助開發和自動化正在加速系統建置和部署的速度。這些變化共同重新定義了在現代環境中必須如何實施信任和控制。當人工智慧生成的輸出與基礎設施、API和自動化工作流程互動時,挑戰不再只是系統是否運作,而是系統是否可以被信任、控制和可靠地稽核。Rishav Bhandari曾參與企業身分驗證、雲端交付和大規模自動化系統的工作。他的經驗涵蓋企業級IAM系統、雲端工程和DevOps交付。從他的角度來看,身分識別不再只是關於登入和存取。它正成為現代企業系統中信任、控制和問責制的基礎。成功的組織不會是那些最快採用人工智慧的組織,而是那些圍繞它建立更強大控制層的組織。
請告訴我們關於您自己和您的職業歷程。
我在Infosys工作了八年多,處理不同領域的企業系統。我從Vodafone的身分識別和存取管理開始,大規模處理數百萬次使用者身分驗證。從那裡,我轉向雲端交付和數位轉型,最近則專注於自動化和人工智慧輔助開發實務。我意識到身分識別、雲端安全和人工智慧治理正在融合。談論雲端安全時無法不談身分識別。談論人工智慧治理時必須理解這兩者。這種融合正是使企業技術在此刻變得有趣的原因。
您曾參與身分識別、雲端交付和自動化的工作。這種組合如何塑造您對企業架構的思考?
這迫使我將這三件事視為同一個對話。在職業生涯早期,我認為身分識別是您設定和維護的基礎設施。雲端只是關於伺服器的位置。自動化是關於更快地完成事情。我意識到它們都是關於信任和控制。您如何信任使用者就是他們聲稱的身分?您如何信任雲端資源是合法的?您如何信任自動化操作是被授權的?這些都是不同形式的身分識別問題。當您以這種方式看待時,您的架構會發生根本性變化。
為什麼身分識別已成為核心控制層,而不僅僅是後端安全功能?
發生了兩件事。首先,系統變得分散。當一切都在一個資料中心時,網路安全是您的邊界。現在有了雲端、API和跨越您無法控制的網路的服務,網路邊界已不再有效。身分識別成為您的主要邊界。其次,身分識別的範圍大幅擴展。它不再只是使用者。它包括相互通訊的服務、API、排程作業、基礎設施即程式碼和人工智慧系統。所有這些都需要身分驗證和授權。由於這種擴展,身分識別從後端關注點轉變為塑造您如何設計和運作系統的架構關注點。
隨著組織大規模採用人工智慧和自動化,身分識別如何變化?
機器身分識別變得與人類身分識別同樣重要。服務、Lambda函式和人工智慧系統都需要身分識別。挑戰在於規模。您可能有數百名員工,但有數千個服務和代理。在這種規模下管理身分識別需要完全不同的方法。撤銷也不同。當人離職時,您撤銷存取權限。當服務出錯時,您需要在幾秒鐘內撤銷存取權限,而不是幾天。問責制也很複雜。對於人工智慧系統,您需要了解系統是否執行了應該執行的操作,還是有人配置錯誤或濫用了它。這需要更好的稽核軌跡和治理。
在沒有強大治理的情況下連接人工智慧、雲端服務和存取控制時,最大的風險是什麼?
最大的風險是盲點。有人部署了一個人工智慧系統來做決策,但沒有人理解安全影響。系統獲得了廣泛的權限,因為縮小權限範圍看起來很複雜。然後就出錯了。我見過可以存取生產資料庫的自動化系統,如果被入侵可能造成災難性損害。合規失敗是另一個風險。如果您無法稽核人工智慧系統做了什麼或追蹤決策,您就不合規。還有供應商鎖定和虛假信心,您認為自己很安全,但您的系統並非為大規模人工智慧設計的。
在人工智慧系統和自動化工作流程中,零信任在實務上意味著什麼?
零信任意味著預設不信任任何事物,無論它來自哪裡。對於人類,這意味著每次都要驗證身分。對於機器,這意味著快速到期的短期憑證,因此入侵是有時間限制的。對於人工智慧系統,這意味著對權限保持謹慎。針對特定資源的特定操作授予特定存取權限,並能在系統執行意外操作時撤銷。零信任也意味著可觀察性。如果您看不到正在發生的事情,就無法執行它。人工智慧的挑戰在於定義什麼是意外行為。
企業在身分識別、雲端安全和治理方面通常會犯什麼錯誤?
他們將速度置於控制之上。他們授予廣泛的權限以快速行動。他們部署可以存取所有內容的人工智慧,因為縮小範圍看起來很複雜。他們將身分識別視為事後想法,在設計雲端架構時不考慮它,然後試圖硬加上去。另一個錯誤是假設雲端供應商處理安全性。供應商提供工具,但您必須正確使用它們。組織也不會在問題發生之前投資於可觀察性。他們只有在出現故障後才了解日誌保留、機密管理和稽核軌跡。人的方面也很重要。治理不僅僅是技術性的。它關乎流程和工作流程。
組織應該如何平衡安全性、營運速度和使用者體驗?
關鍵洞察是摩擦來自糟糕的設計,而非安全性。設計良好的安全系統使做正確的事成為阻力最小的路徑。如果稽核日誌很痛苦,團隊會避免使用它們。如果權限需要幾天時間,團隊會要求廣泛存取權限。如果撤銷很複雜,團隊會跳過它。投資於自動化。自動化配置、權限請求和稽核日誌記錄。在設計策略時儘早讓團隊參與。了解他們的限制和需求。對於您要求某些控制的原因保持透明。當團隊理解原因時,他們更願意遵守。
領導者今天可以採取哪些實際步驟來改善人工智慧賦能雲端環境的控制?
首先,盤點您擁有的內容。了解存在哪些人工智慧系統、它們擁有什麼存取權限以及它們做什麼。務實地從零信任開始。不要一次在所有地方實施完美的零信任。從關鍵系統開始。透過日誌記錄、指標和警報投資於可觀察性。實施強大的稽核軌跡,以便您可以追蹤發生了什麼以及為什麼。安全地管理機密並定期輪換它們。在人工智慧計畫早期讓安全和合規團隊參與。不要在部署後才詢問某些東西是否安全。最後,持續教育您的團隊。安全和治理不是一次設定就忘記的。
您如何看待身分識別、雲端安全和人工智慧治理的演變?
身分識別和治理將變得更加自動化和智慧化。機器學習將偵測異常行為並理解正常情況。將更加關注可觀察性和理解人工智慧系統行為,目前這仍然是一個黑盒子。圍繞人工智慧的法規將增加。隨著人工智慧做出重要決策,監管機構將要求更好的治理和問責制。現在擁有良好治理的組織將處於領先地位。還將更加關注可攜式身分識別,而不是鎖定在一個雲端供應商。組織現在應該準備的是認識到身分識別和治理不僅僅是安全問題。它們是業務問題。它們影響速度、可靠性和合規性。獲勝的組織將圍繞人工智慧和自動化建立強大的控制層,而不是在沒有這些控制的情況下行動最快的組織。
