随着企业采用AI、云原生架构和大规模自动化,身份识别不再只是后端安全功能。它正在成为决定系统如何信任、授权和监控人类及机器的控制层。这一转变由两大变化驱动。首先,企业系统在云平台、API和服务之间变得高度分散。其次,AI辅助开发和自动化正在加速系统构建和部署的速度。这些变化共同重新定义了现代环境中信任和控制的实施方式。当AI生成的输出与基础设施、API和自动化工作流程交互时,挑战不再仅仅是系统是否运作,而是它们是否可以被信任、控制和可靠地审计。Rishav Bhandari曾从事企业身份验证、云交付和大规模自动化系统工作。他的经验涵盖企业级IAM系统、云工程和DevOps交付。从他的角度来看,身份识别不再只关乎登录和访问。它正在成为现代企业系统中信任、控制和问责的基础。成功的组织不会是那些最快采用AI的组织,而是那些围绕它建立更强控制层的组织。
请告诉我们关于您自己和您的职业历程。
我在Infosys工作了八年多,从事跨不同领域的企业系统工作。我从Vodafone的身份和访问管理开始,处理数百万用户的大规模身份验证。之后,我转向云交付和数字化转型,最近则专注于自动化和AI辅助开发实践。我意识到身份识别、云安全和AI治理正在融合。你不能在不谈论身份识别的情况下谈论云安全。你不能在不理解两者的情况下谈论AI治理。这种融合使这一时刻对企业技术来说变得有趣。
您曾从事身份识别、云交付和自动化工作。这种组合如何塑造了您对企业架构的思考?
它迫使我将这三件事视为同一场对话。在职业生涯早期,我认为身份识别是您设置和维护的基础设施。云只是关于您的服务器所在位置。自动化是关于更快地完成事情。我意识到它们都关乎信任和控制。您如何信任用户就是他们声称的那个人?您如何信任云资源是合法的?您如何信任自动化操作是被授权的?这些都是不同形式的身份识别问题。当您这样看时,您的架构会从根本上改变。
为什么身份识别成为核心控制层而不仅仅是后端安全功能?
发生了两件事。首先,系统变得分散。当一切都在一个数据中心时,网络安全就是您的边界。现在有了云、API和跨您无法控制的网络的服务,网络边界不再有效。身份识别成为您的主要边界。其次,身份识别的范围急剧扩大。它不再只是用户。它是服务之间的通信、API、计划任务、基础设施即代码和AI系统。所有这些都需要身份验证和授权。由于这种扩展,身份识别从后端问题转变为塑造您如何设计和操作系统的架构问题。
随着组织大规模采用AI和自动化,身份识别如何变化?
机器身份识别变得与人类身份识别同样重要。服务、Lambda函数和AI系统都需要身份。挑战在于规模。您可能有数百名员工,但有数千个服务和代理。在这种规模下管理身份需要完全不同的方法。撤销也不同。当人离开时,您撤销访问权限。当服务出错时,您需要在几秒钟内而不是几天内撤销访问权限。问责制也很复杂。对于AI系统,您需要了解系统是否做了应该做的事情,或者是否有人配置错误或滥用它。这需要更好的审计跟踪和治理。
在没有强大治理的情况下连接AI、云服务和访问控制时,最大的风险是什么?
最大的风险是盲点。有人部署AI系统来做决策,但没人理解安全影响。系统获得了广泛的权限,因为缩小它们似乎很复杂。然后出了问题。我见过可以访问生产数据库的自动化系统,如果被入侵可能造成灾难性损害。合规失败是另一个风险。如果您无法审计AI系统做了什么或追踪决策,您就不合规。还有供应商锁定和虚假信心,您认为自己是安全的,但您的系统并非为大规模AI设计。
在AI系统和自动化工作流程中,零信任在实践中意味着什么?
零信任意味着默认不信任任何东西,无论它来自哪里。对于人类,这意味着每次都验证身份。对于机器,这意味着快速过期的短期凭证,因此入侵的时间有限。对于AI系统,这意味着对权限要谨慎。对特定资源的特定操作进行特定访问,并能够在系统做出意外行为时撤销。零信任还意味着可观察性。如果您看不到正在发生什么,就无法执行它。AI的挑战在于定义什么是意外行为。
企业通常在身份识别、云安全和治理方面哪里做错了?
他们优先考虑速度而非控制。他们授予广泛权限以快速行动。他们部署可以访问一切的AI,因为缩小范围似乎很复杂。他们将身份识别视为事后考虑,在设计云架构时不考虑它,然后试图将其附加上去。另一个错误是假设云提供商处理安全。提供商给您工具,但您必须正确使用它们。组织也不会在问题发生之前投资于可观察性。他们只有在出现故障后才理解日志保留、机密管理和审计跟踪。人的方面也很重要。治理不仅仅是技术问题。它关乎流程和工作流程。
组织应该如何平衡安全性、操作速度和用户体验?
关键见解是摩擦来自糟糕的设计,而不是安全性。设计良好的安全系统使做正确的事情成为阻力最小的路径。如果审计日志很痛苦,团队就会避免它们。如果权限需要几天时间,团队就会请求广泛访问。如果撤销很复杂,团队就会跳过它。投资于自动化。自动化配置、权限请求和审计日志记录。在设计策略时让团队尽早参与。了解他们的限制和需求。对为什么要求某些控制保持透明。当团队理解原因时,他们更愿意遵守。
领导者今天可以采取哪些实际步骤来改善AI驱动的云环境中的控制?
首先,盘点您拥有的东西。了解存在哪些AI系统、它们有什么访问权限以及它们做什么。务实地从零信任开始。不要一次在所有地方实施完美的零信任。从关键系统开始。通过日志记录、指标和警报投资于可观察性。实施强大的审计跟踪,以便您可以追踪发生了什么以及为什么。安全地管理机密并定期轮换它们。在AI计划中让安全和合规团队尽早参与。不要在部署后才询问某件事是否安全。最后,持续教育您的团队。安全和治理不是设置后就忘记的事情。
您如何看待身份识别、云安全和AI治理的演变?
身份识别和治理将变得更加自动化和智能化。机器学习将检测异常行为并理解正常情况是什么样的。将更加关注可观察性和理解AI系统行为,这目前仍然是一个黑箱。围绕AI的法规将会增加。随着AI做出重要决策,监管机构将要求更好的治理和问责制。现在拥有良好治理的组织将处于领先地位。还将更加关注可移植身份,而不是锁定在一个云提供商。组织现在应该准备的是认识到身份识别和治理不仅仅是安全问题。它们是业务问题。它们影响速度、可靠性和合规性。获胜的组织将在AI和自动化周围建立强大的控制层,而不是那些在没有这些控制的情况下行动最快的组织。
