जैसे-जैसे उद्यम AI, क्लाउड-नेटिव आर्किटेक्चर और बड़े पैमाने पर ऑटोमेशन को अपना रहे हैं, पहचान अब केवल एक बैकएंड सुरक्षा फ़ंक्शन नहीं रह गई है। यह एक नियंत्रण परत बनती जा रही है जो यह निर्धारित करती है कि सिस्टम मनुष्यों और मशीनों दोनों पर कैसे भरोसा करते हैं, अधिकृत करते हैं और निगरानी करते हैं। यह बदलाव दो प्रमुख परिवर्तनों से प्रेरित हो रहा है। सबसे पहले, एंटरप्राइज सिस्टम क्लाउड प्लेटफॉर्म, API और सेवाओं में अत्यधिक वितरित हो गए हैं। दूसरा, AI-सहायता प्राप्त विकास और ऑटोमेशन उस गति को तेज कर रहे हैं जिससे सिस्टम बनाए और तैनात किए जाते हैं। साथ मिलकर, ये परिवर्तन आधुनिक वातावरण में विश्वास और नियंत्रण को कैसे लागू किया जाना चाहिए, इसे फिर से परिभाषित कर रहे हैं। जब AI-जनित आउटपुट इन्फ्रास्ट्रक्चर, API और स्वचालित वर्कफ़्लो के साथ इंटरैक्ट करते हैं, तो चुनौती अब केवल यह नहीं है कि सिस्टम काम करते हैं या नहीं, बल्कि यह है कि उन पर भरोसा किया जा सकता है, नियंत्रित किया जा सकता है और विश्वसनीय रूप से ऑडिट किया जा सकता है। ऋषभ भंडारी ने एंटरप्राइज प्रमाणीकरण, क्लाउड डिलीवरी और बड़े पैमाने पर ऑटोमेशन सिस्टम में काम किया है। उनका अनुभव एंटरप्राइज-स्केल IAM सिस्टम, क्लाउड इंजीनियरिंग और DevOps डिलीवरी तक फैला हुआ है। उनके दृष्टिकोण से, पहचान अब केवल लॉगिन और एक्सेस के बारे में नहीं है। यह आधुनिक एंटरप्राइज सिस्टम में विश्वास, नियंत्रण और जवाबदेही की नींव बनती जा रही है। जो संगठन सफल होंगे वे वो नहीं होंगे जो AI को सबसे तेजी से अपनाते हैं, बल्कि वे होंगे जो इसके आसपास मजबूत नियंत्रण परतें बनाते हैं।
कृपया हमें अपने बारे में और अपनी पेशेवर यात्रा के बारे में बताएं।
मैंने इन्फोसिस में विभिन्न डोमेन में एंटरप्राइज सिस्टम पर काम करते हुए आठ साल से अधिक समय बिताया है। मैंने वोडाफोन में पहचान और एक्सेस प्रबंधन के साथ शुरुआत की, जहां बड़े पैमाने पर लाखों उपयोगकर्ता प्रमाणीकरण को संभाला। वहां से, मैं क्लाउड डिलीवरी और डिजिटल परिवर्तन में चला गया और हाल ही में, ऑटोमेशन और AI-सहायता प्राप्त विकास प्रथाओं में। जो मुझे एहसास हुआ है वह यह है कि पहचान, क्लाउड सुरक्षा और AI गवर्नेंस सभी एक साथ आ रहे हैं। आप पहचान के बारे में बात किए बिना क्लाउड सुरक्षा के बारे में बात नहीं कर सकते। आप दोनों को समझे बिना AI गवर्नेंस के बारे में बात नहीं कर सकते। यह अभिसरण ही एंटरप्राइज प्रौद्योगिकी के लिए इस क्षण को दिलचस्प बनाता है।
आपने पहचान, क्लाउड डिलीवरी और ऑटोमेशन में काम किया है। उस संयोजन ने एंटरप्राइज आर्किटेक्चर के बारे में आपकी सोच को कैसे आकार दिया है?
इसने मुझे इन तीनों चीजों को एक ही बातचीत के रूप में देखने के लिए मजबूर किया। अपने करियर की शुरुआत में, मैं पहचान को एक बुनियादी ढांचे के रूप में सोचता था जिसे आप स्थापित और बनाए रखते हैं। क्लाउड केवल इस बारे में था कि आपके सर्वर कहां रहते हैं। ऑटोमेशन चीजों को तेजी से करने के बारे में था। जो मुझे एहसास हुआ वह यह है कि ये सब विश्वास और नियंत्रण के बारे में हैं। आप कैसे भरोसा करते हैं कि एक उपयोगकर्ता वही है जो वे होने का दावा करते हैं? आप कैसे भरोसा करते हैं कि एक क्लाउड संसाधन वैध है? आप कैसे भरोसा करते हैं कि एक स्वचालित कार्रवाई अधिकृत है? ये अलग-अलग तरीके से प्रस्तुत पहचान के प्रश्न हैं। जब आप इसे इस तरह देखते हैं, तो आपका आर्किटेक्चर मौलिक रूप से बदल जाता है।
पहचान केवल एक बैकएंड सुरक्षा फ़ंक्शन के बजाय एक केंद्रीय नियंत्रण परत क्यों बन गई है?
दो चीजें हुईं। सबसे पहले, सिस्टम वितरित हो गए। जब सब कुछ एक डेटा सेंटर में था, तो नेटवर्क सुरक्षा आपकी सीमा थी। अब क्लाउड, API और उन नेटवर्क में सेवाओं के साथ जिन्हें आप नियंत्रित नहीं करते हैं, नेटवर्क सीमा काम नहीं करती। पहचान आपकी प्राथमिक सीमा बन जाती है। दूसरा, पहचान का दायरा नाटकीय रूप से विस्तृत हुआ। यह अब केवल उपयोगकर्ताओं के बारे में नहीं है। यह एक-दूसरे से बात करने वाली सेवाएं, API, निर्धारित कार्य, infrastructure-as-code और AI सिस्टम के बारे में है। सभी को प्रमाणीकरण और अधिकृतता की आवश्यकता है। उस विस्तार के कारण, पहचान एक बैकएंड चिंता से एक वास्तुशिल्प चिंता में स्थानांतरित हो गई जो आपके सिस्टम को डिजाइन और संचालित करने के तरीके को आकार देती है।
संगठन AI और ऑटोमेशन को बड़े पैमाने पर अपनाने के साथ पहचान कैसे बदल रही है?
मशीन पहचान मानव पहचान जितनी ही महत्वपूर्ण होती जा रही है। सेवाओं, Lambda फ़ंक्शन और AI सिस्टम सभी को पहचान की आवश्यकता होती है। चुनौती पैमाना है। आपके पास सैकड़ों कर्मचारी हो सकते हैं लेकिन हजारों सेवाएं और एजेंट। उस पैमाने पर पहचान का प्रबंधन करने के लिए एक पूरी तरह से अलग दृष्टिकोण की आवश्यकता होती है। निरस्तीकरण भी अलग है। जब एक मानव चला जाता है, तो आप एक्सेस रद्द कर देते हैं। जब एक सेवा गलत हो जाती है, तो आपको दिनों में नहीं, सेकंड में एक्सेस रद्द करने की आवश्यकता होती है। और जवाबदेही जटिल है। AI सिस्टम के साथ, आपको यह समझने की आवश्यकता है कि सिस्टम ने वही किया जो उसे करना चाहिए था या किसी ने इसे गलत कॉन्फ़िगर किया या दुरुपयोग किया। इसके लिए बेहतर ऑडिट ट्रेल और गवर्नेंस की आवश्यकता होती है।
मजबूत गवर्नेंस के बिना AI, क्लाउड सेवाओं और एक्सेस नियंत्रण को जोड़ते समय सबसे बड़े जोखिम क्या हैं?
सबसे बड़ा जोखिम ब्लाइंड स्पॉट हैं। कोई निर्णय लेने के लिए एक AI सिस्टम तैनात करता है, लेकिन कोई भी सुरक्षा निहितार्थों को नहीं समझता। सिस्टम को व्यापक अनुमतियां मिलती हैं क्योंकि उन्हें सीमित करना जटिल लग रहा था। फिर कुछ गलत हो जाता है। मैंने प्रोडक्शन डेटाबेस तक पहुंच वाले ऑटोमेशन सिस्टम देखे हैं जो समझौता होने पर विनाशकारी नुकसान पहुंचा सकते हैं। अनुपालन विफलताएं एक और जोखिम हैं। यदि आप ऑडिट नहीं कर सकते कि एक AI सिस्टम ने क्या किया या निर्णयों का पता नहीं लगा सकते, तो आप अनुपालन में नहीं हैं। वेंडर लॉक-इन और झूठा विश्वास भी है, जहां आप सोचते हैं कि आप सुरक्षित हैं, लेकिन आपके सिस्टम बड़े पैमाने पर AI के लिए डिज़ाइन नहीं किए गए थे।
AI सिस्टम और स्वचालित वर्कफ़्लो के साथ व्यवहार में Zero Trust का क्या मतलब है?
Zero Trust का मतलब है डिफ़ॉल्ट रूप से कुछ भी भरोसा न करना, चाहे वह कहीं से भी आए। मनुष्यों के लिए, इसका मतलब है हर बार पहचान सत्यापित करना। मशीनों के लिए, इसका मतलब है अल्पकालिक क्रेडेंशियल जो जल्दी समाप्त हो जाते हैं, इसलिए समझौता समय-सीमित है। AI सिस्टम के लिए, इसका मतलब है अनुमतियों के बारे में विचारशील होना। विशिष्ट कार्यों के लिए विशिष्ट संसाधनों तक विशिष्ट पहुंच, यदि सिस्टम कुछ अप्रत्याशित करता है तो रद्द करने की क्षमता के साथ। Zero Trust का मतलब अवलोकनीयता भी है। यदि आप नहीं देख सकते कि क्या हो रहा है तो आप इसे लागू नहीं कर सकते। AI के साथ चुनौती यह परिभाषित करना है कि अप्रत्याशित व्यवहार कैसा दिखता है।
उद्यम आमतौर पर पहचान, क्लाउड सुरक्षा और गवर्नेंस में कहां गलत हो जाते हैं?
वे नियंत्रण पर गति को प्राथमिकता देते हैं। वे तेजी से आगे बढ़ने के लिए व्यापक अनुमतियां देते हैं। वे हर चीज़ तक पहुंच के साथ AI तैनात करते हैं क्योंकि सीमित करना जटिल लग रहा था। वे पहचान को एक विचारोपरांत मानते हैं, इसके बारे में सोचे बिना क्लाउड आर्किटेक्चर डिजाइन करते हैं, फिर इसे जोड़ने की कोशिश करते हैं। एक और गलती यह मान लेना है कि क्लाउड प्रदाता सुरक्षा को संभालता है। प्रदाता आपको उपकरण देते हैं, लेकिन आपको उन्हें सही तरीके से उपयोग करना होगा। संगठन समस्याएं होने तक अवलोकनीयता में निवेश नहीं करते हैं। वे लॉग प्रतिधारण, सीक्रेट्स प्रबंधन और ऑडिट ट्रेल्स को केवल कुछ विफल होने के बाद ही समझते हैं। मानवीय पक्ष भी मायने रखता है। गवर्नेंस केवल तकनीकी नहीं है। यह प्रक्रियाओं और वर्कफ़्लो के बारे में है।
संगठनों को सुरक्षा, परिचालन गति और उपयोगकर्ता अनुभव को कैसे संतुलित करना चाहिए?
मुख्य अंतर्दृष्टि यह है कि घर्षण खराब डिज़ाइन से आता है, सुरक्षा से नहीं। एक अच्छी तरह से डिज़ाइन किया गया सुरक्षित सिस्टम सही काम करने को न्यूनतम प्रतिरोध का मार्ग बनाता है। यदि ऑडिट लॉग दर्दनाक हैं, तो टीमें उनसे बचती हैं। यदि अनुमतियों में दिन लगते हैं, तो टीमें व्यापक पहुंच का अनुरोध करती हैं। यदि निरस्तीकरण जटिल है, तो टीमें इसे छोड़ देती हैं। ऑटोमेशन में निवेश करें। प्रोविजनिंग, अनुमति अनुरोध और ऑडिट लॉगिंग को स्वचालित करें। अपनी रणनीति डिजाइन करने में टीमों को जल्दी शामिल करें। उनकी बाधाओं और आवश्यकताओं को समझें। आप कुछ नियंत्रणों के लिए क्यों पूछ रहे हैं, इसके बारे में पारदर्शी रहें। जब टीमें क्यों समझती हैं तो वे अनुपालन करने के लिए अधिक इच्छुक होती हैं।
नेता आज AI-सक्षम क्लाउड वातावरण में नियंत्रण में सुधार के लिए क्या व्यावहारिक कदम उठा सकते हैं?
सबसे पहले, आपके पास क्या है इसकी सूची बनाएं। जानें कि कौन से AI सिस्टम मौजूद हैं, उनके पास क्या पहुंच है और वे क्या करते हैं। व्यावहारिक रूप से zero trust से शुरुआत करें। एक बार में हर जगह परफेक्ट zero trust लागू न करें। महत्वपूर्ण सिस्टम से शुरू करें। लॉगिंग, मेट्रिक्स और अलर्टिंग के माध्यम से अवलोकनीयता में निवेश करें। मजबूत ऑडिट ट्रेल्स लागू करें ताकि आप यह ट्रेस कर सकें कि क्या हुआ और क्यों। सीक्रेट्स को सुरक्षित रूप से प्रबंधित करें और उन्हें नियमित रूप से रोटेट करें। AI पहलों में सुरक्षा और अनुपालन टीमों को जल्दी शामिल करें। तैनाती के बाद यह न पूछें कि क्या कुछ सुरक्षित है। अंत में, अपनी टीमों को लगातार शिक्षित करें। सुरक्षा और गवर्नेंस सेट-एंड-फॉरगेट नहीं हैं।
आप पहचान, क्लाउड सुरक्षा और AI गवर्नेंस को कैसे विकसित होते देखते हैं?
पहचान और गवर्नेंस अधिक स्वचालित और बुद्धिमान हो जाएंगे। मशीन लर्निंग असामान्य व्यवहार का पता लगाएगी और समझेगी कि सामान्य कैसा दिखता है। अवलोकनीयता और AI सिस्टम व्यवहार को समझने पर अधिक ध्यान दिया जाएगा, जो अभी एक ब्लैक बॉक्स बना हुआ है। AI के आसपास नियम बढ़ेंगे। जैसे-जैसे AI महत्वपूर्ण निर्णय लेता है, नियामक बेहतर गवर्नेंस और जवाबदेही की मांग करेंगे। अभी अच्छे गवर्नेंस वाले संगठन आगे होंगे। पोर्टेबल पहचान पर भी अधिक ध्यान दिया जाएगा, जो एक क्लाउड प्रदाता में लॉक नहीं है। संगठनों को अभी जिसके लिए तैयार रहना चाहिए वह यह पहचानना है कि पहचान और गवर्नेंस केवल सुरक्षा समस्याएं नहीं हैं। वे व्यवसाय समस्याएं हैं। वे गति, विश्वसनीयता और अनुपालन को प्रभावित करते हैं। जो संगठन जीतेंगे वे AI और ऑटोमेशन के आसपास मजबूत नियंत्रण परतें बनाएंगे, न कि वे जो उन नियंत्रणों के बिना सबसे तेज चलते हैं।
