Khi các doanh nghiệp áp dụng AI, kiến trúc cloud-native và tự động hóa quy mô lớn, danh tính không còn chỉ là một chức năng bảo mật backend. Nó đang trở thành lớp kiểm soát xác định cách hệ thống tin tưởng, ủy quyền và quan sát cả con người và máy móc. Sự thay đổi này được thúc đẩy bởi hai thay đổi lớn. Thứ nhất, các hệ thống doanh nghiệp đã trở nên phân tán cao trên các nền tảng điện toán đám mây, API và dịch vụ. Thứ hai, phát triển hỗ trợ bởi AI và tự động hóa đang đẩy nhanh tốc độ xây dựng và triển khai hệ thống. Cùng nhau, những thay đổi này đang định nghĩa lại cách thức triển khai niềm tin và kiểm soát trong môi trường hiện đại. Khi đầu ra do AI tạo ra tương tác với cơ sở hạ tầng, API và quy trình làm việc tự động, thách thức không chỉ còn là liệu hệ thống có hoạt động hay không, mà là liệu chúng có thể được tin cậy, kiểm soát và kiểm toán một cách đáng tin cậy. Rishav Bhandari đã làm việc trên các hệ thống xác thực doanh nghiệp, cung cấp đám mây và hệ thống tự động hóa quy mô lớn. Kinh nghiệm của ông trải dài qua các hệ thống IAM cấp doanh nghiệp, kỹ thuật đám mây và cung cấp DevOps. Từ quan điểm của ông, danh tính không chỉ còn là về đăng nhập và truy cập. Nó đang trở thành nền tảng cho sự tin cậy, kiểm soát và trách nhiệm giải trình trong các hệ thống doanh nghiệp hiện đại. Các tổ chức thành công sẽ không phải là những tổ chức áp dụng AI nhanh nhất, mà là những tổ chức xây dựng các lớp kiểm soát mạnh mẽ hơn xung quanh nó.
Vui lòng cho chúng tôi biết về bản thân bạn và hành trình nghề nghiệp của bạn.
Tôi đã dành hơn tám năm tại Infosys làm việc trên các hệ thống doanh nghiệp trong các lĩnh vực khác nhau. Tôi bắt đầu với quản lý danh tính và truy cập tại Vodafone, xử lý hàng triệu xác thực người dùng ở quy mô lớn. Từ đó, tôi chuyển sang cung cấp đám mây và chuyển đổi kỹ thuật số và gần đây hơn, vào các thực hành tự động hóa và phát triển hỗ trợ bởi AI. Điều tôi nhận ra là danh tính, bảo mật đám mây và quản trị AI đều đang hội tụ. Bạn không thể nói về bảo mật đám mây mà không nói về danh tính. Bạn không thể nói về quản trị AI mà không hiểu cả hai. Sự hội tụ đó là điều làm cho thời điểm này trở nên thú vị đối với công nghệ doanh nghiệp.
Bạn đã làm việc trên danh tính, cung cấp đám mây và tự động hóa. Sự kết hợp đó đã định hình suy nghĩ của bạn về kiến trúc doanh nghiệp như thế nào?
Nó buộc tôi phải nhìn nhận ba điều này như cùng một cuộc trò chuyện. Đầu sự nghiệp, tôi nghĩ về danh tính như cơ sở hạ tầng bạn thiết lập và duy trì. Đám mây chỉ là về nơi máy chủ của bạn tồn tại. Tự động hóa là về việc làm mọi thứ nhanh hơn. Điều tôi nhận ra là tất cả đều liên quan đến niềm tin và kiểm soát. Làm thế nào để bạn tin rằng một người dùng là người họ tuyên bố? Làm thế nào để bạn tin rằng một tài nguyên đám mây là hợp pháp? Làm thế nào để bạn tin rằng một hành động tự động được ủy quyền? Đó là những câu hỏi về danh tính được trình bày khác nhau. Khi bạn nhìn nó theo cách đó, kiến trúc của bạn thay đổi về cơ bản.
Tại sao danh tính đã trở thành một lớp kiểm soát trung tâm thay vì chỉ là một chức năng bảo mật backend?
Hai điều đã xảy ra. Thứ nhất, các hệ thống trở nên phân tán. Khi mọi thứ đều ở trong một trung tâm dữ liệu, bảo mật mạng là ranh giới của bạn. Bây giờ với đám mây, API và các dịch vụ trên các mạng bạn không kiểm soát, ranh giới mạng không hoạt động. Danh tính trở thành ranh giới chính của bạn. Thứ hai, phạm vi danh tính mở rộng đáng kể. Nó không chỉ còn là người dùng. Đó là các dịch vụ nói chuyện với nhau, API, công việc theo lịch trình, cơ sở hạ tầng như mã và các hệ thống AI. Tất cả đều cần xác thực và ủy quyền. Do sự mở rộng đó, danh tính đã chuyển từ một mối quan tâm backend sang một mối quan tâm kiến trúc định hình cách bạn thiết kế và vận hành hệ thống.
Danh tính đang thay đổi như thế nào khi các tổ chức áp dụng AI và tự động hóa ở quy mô lớn?
Danh tính máy đang trở nên quan trọng như danh tính con người. Các dịch vụ, hàm Lambda và hệ thống AI đều cần danh tính. Thách thức là quy mô. Bạn có thể có hàng trăm nhân viên nhưng hàng nghìn dịch vụ và AI Agent. Quản lý danh tính ở quy mô đó đòi hỏi một cách tiếp cận hoàn toàn khác. Thu hồi cũng khác. Khi một con người rời đi, bạn thu hồi quyền truy cập. Khi một dịch vụ gặp sự cố, bạn cần thu hồi quyền truy cập trong vài giây, không phải vài ngày. Và trách nhiệm giải trình thì phức tạp. Với các hệ thống AI, bạn cần hiểu liệu hệ thống có làm những gì nó nên làm hay ai đó đã cấu hình sai hoặc lạm dụng nó. Điều đó đòi hỏi các dấu vết kiểm toán và quản trị tốt hơn.
Những rủi ro lớn nhất là gì khi kết nối AI, dịch vụ đám mây và kiểm soát truy cập mà không có quản trị mạnh mẽ?
Rủi ro lớn nhất là điểm mù. Ai đó triển khai một hệ thống AI để đưa ra quyết định, nhưng không ai hiểu các tác động bảo mật. Hệ thống nhận được quyền rộng vì việc thu hẹp chúng có vẻ phức tạp. Sau đó, có điều gì đó không ổn. Tôi đã thấy các hệ thống tự động hóa có quyền truy cập vào cơ sở dữ liệu sản xuất có thể gây ra thiệt hại thảm khốc nếu bị xâm phạm. Thất bại về tuân thủ là một rủi ro khác. Nếu bạn không thể kiểm toán những gì hệ thống AI đã làm hoặc theo dõi các quyết định, bạn không tuân thủ. Cũng có sự phụ thuộc vào nhà cung cấp và sự tự tin sai lầm, nơi bạn nghĩ rằng bạn an toàn, nhưng hệ thống của bạn không được thiết kế cho AI ở quy mô lớn.
Zero Trust có nghĩa là gì trong thực tế với các hệ thống AI và quy trình làm việc tự động?
Zero Trust có nghĩa là không tin tưởng bất cứ điều gì theo mặc định, bất kể nó đến từ đâu. Đối với con người, nó có nghĩa là xác minh danh tính mỗi lần. Đối với máy móc, nó có nghĩa là thông tin xác thực có thời hạn ngắn hết hạn nhanh chóng, do đó xâm phạm bị giới hạn về thời gian. Đối với các hệ thống AI, nó có nghĩa là cân nhắc về quyền hạn. Truy cập cụ thể vào tài nguyên cụ thể cho các hành động cụ thể, với khả năng thu hồi nếu hệ thống làm điều gì đó bất ngờ. Zero Trust cũng có nghĩa là khả năng quan sát. Bạn không thể thực thi nó nếu bạn không thể thấy điều gì đang xảy ra. Thách thức với AI là xác định hành vi bất ngờ trông như thế nào.
Các doanh nghiệp thường hiểu sai về danh tính, bảo mật đám mây và quản trị ở đâu?
Họ ưu tiên tốc độ hơn kiểm soát. Họ cấp quyền rộng để di chuyển nhanh. Họ triển khai AI với quyền truy cập vào mọi thứ vì việc thu hẹp có vẻ phức tạp. Họ coi danh tính là một ý nghĩ sau, thiết kế kiến trúc đám mây mà không suy nghĩ về nó, sau đó cố gắng gắn vào. Một sai lầm khác là giả định nhà cung cấp đám mây xử lý bảo mật. Các nhà cung cấp cung cấp cho bạn công cụ, nhưng bạn phải sử dụng chúng đúng cách. Các tổ chức cũng không đầu tư vào khả năng quan sát cho đến khi có vấn đề xảy ra. Họ hiểu lưu giữ nhật ký, quản lý bí mật và dấu vết kiểm toán chỉ sau khi có điều gì đó thất bại. Mặt con người cũng quan trọng. Quản trị không chỉ là kỹ thuật. Nó là về quy trình và quy trình làm việc.
Các tổ chức nên cân bằng bảo mật, tốc độ hoạt động và trải nghiệm người dùng như thế nào?
Hiểu biết chính là ma sát đến từ thiết kế xấu, không phải bảo mật. Một hệ thống an toàn được thiết kế tốt làm cho việc làm đúng là con đường ít cản trở nhất. Nếu nhật ký kiểm toán đau đớn, các nhóm tránh chúng. Nếu quyền hạn mất nhiều ngày, các nhóm yêu cầu quyền truy cập rộng. Nếu thu hồi phức tạp, các nhóm bỏ qua nó. Đầu tư vào tự động hóa. Tự động hóa cung cấp, yêu cầu quyền hạn và ghi nhật ký kiểm toán. Liên quan các nhóm sớm trong việc thiết kế chiến lược của bạn. Hiểu các ràng buộc và nhu cầu của họ. Minh bạch về lý do tại sao bạn yêu cầu các kiểm soát nhất định. Các nhóm sẵn sàng tuân thủ hơn khi họ hiểu lý do tại sao.
Các nhà lãnh đạo có thể thực hiện những bước thực tế nào ngay hôm nay để cải thiện kiểm soát trên các môi trường đám mây hỗ trợ AI?
Thứ nhất, kiểm kê những gì bạn có. Biết những hệ thống AI nào tồn tại, chúng có quyền truy cập gì và chúng làm gì. Bắt đầu với zero trust một cách thực dụng. Đừng triển khai zero trust hoàn hảo ở mọi nơi cùng một lúc. Bắt đầu với các hệ thống quan trọng. Đầu tư vào khả năng quan sát thông qua ghi nhật ký, số liệu và cảnh báo. Triển khai các dấu vết kiểm toán mạnh mẽ để bạn có thể theo dõi điều gì đã xảy ra và tại sao. Quản lý bí mật một cách an toàn và xoay chúng thường xuyên. Liên quan các nhóm bảo mật và tuân thủ sớm trong các sáng kiến AI. Đừng hỏi liệu có điều gì đó an toàn sau khi triển khai. Cuối cùng, giáo dục các nhóm của bạn liên tục. Bảo mật và quản trị không phải là thiết lập và quên đi.
Bạn nhìn nhận danh tính, bảo mật đám mây và quản trị AI phát triển như thế nào?
Danh tính và quản trị sẽ trở nên tự động và thông minh hơn. Học máy sẽ phát hiện hành vi bất thường và hiểu những gì bình thường trông như thế nào. Sẽ có nhiều tập trung hơn vào khả năng quan sát và hiểu hành vi hệ thống AI, hiện tại vẫn còn là một hộp đen. Các quy định xung quanh AI sẽ tăng lên. Khi AI đưa ra các quyết định quan trọng, cơ quan quản lý sẽ yêu cầu quản trị và trách nhiệm giải trình tốt hơn. Các tổ chức có quản trị tốt bây giờ sẽ đi trước. Cũng sẽ có nhiều tập trung hơn vào danh tính di động, không bị khóa vào một nhà cung cấp đám mây. Những gì các tổ chức nên chuẩn bị ngay bây giờ là nhận ra rằng danh tính và quản trị không chỉ là các vấn đề bảo mật. Chúng là các vấn đề kinh doanh. Chúng ảnh hưởng đến tốc độ, độ tin cậy và tuân thủ. Các tổ chức chiến thắng sẽ xây dựng các lớp kiểm soát mạnh mẽ xung quanh AI và tự động hóa, không phải những tổ chức di chuyển nhanh nhất mà không có những kiểm soát đó.
