Sākas sacensība par aģentu AI izvietošanu. Visā uzņēmumā sistēmas, kas var plānot, veikt darbības un sadarboties dažādās biznesa lietojumprogrammās, sola nepieredzētu efektivitāti. Taču, steidzoties automatizēt, tiek ignorēts svarīgs komponents: mērogojama drošība. Mēs veidojam digitālo darbinieku darbaspēku, nedodot viņiem drošu veidu, kā pieteikties, piekļūt datiem un veikt savu darbu, neradot katastrofālu risku.
Pamatproblēma ir tāda, ka tradicionālā identitātes un piekļuves pārvaldība (IAM), kas paredzēta cilvēkiem, sabojājas aģenta mērogā. Kontroles, piemēram, statiskas lomas, ilgstošas paroles un vienreizējas apstiprināšanas, ir bezjēdzīgas, ja identitātes, kas nav cilvēki, var par 10 vienu pārsniegt cilvēku identitātes. Lai izmantotu aģenta AI spēku, identitātei ir jāattīstās no vienkārša pieteikšanās vārtsardzes par dinamisku vadības plakni visai jūsu AI darbībai.
“Ātrākais ceļš uz atbildīgu AI ir izvairīties no reāliem datiem. Izmantojiet sintētiskos datus, lai pierādītu vērtību, un pēc tam iegūstiet tiesības pieskarties īstajam.” — Šons Kanungo, galvenais runātājs un inovāciju stratēģis; bestselleru grāmatas The Daring Ones autors
Kāpēc jūsu uz cilvēku orientētā IAM ir sēdoša pīle
Aģentiskais AI neizmanto tikai programmatūru; tas uzvedas kā lietotājs. Tas autentificējas sistēmās, uzņemas lomas un izsauc API. Ja uzskatāt šos aģentus tikai kā lietojumprogrammas funkcijas, jūs izsaucat neredzamu privilēģiju slīdēšanu un neizsekojamas darbības. Viens aģents, kuram ir pārāk liela atļauja, var izfiltrēt datus vai iedarbināt kļūdainus biznesa procesus mašīnas ātrumā, un neviens nav gudrāks, kamēr nav par vēlu.
Mantotā IAM statiskā būtība ir galvenā ievainojamība. Jūs nevarat iepriekš definēt fiksētu lomu aģentam, kura uzdevumi un nepieciešamā piekļuve datiem var mainīties katru dienu. Vienīgais veids, kā nodrošināt precīzus piekļuves lēmumus, ir pārcelt politikas izpildi no vienreizējas piešķiršanas uz nepārtrauktu izpildlaika novērtēšanu.
Pierādiet vērtību pirms ražošanas datiem
Kanungo norādījumi piedāvā praktisku rampu. Sāciet ar sintētiskām vai maskētām datu kopām, lai apstiprinātu aģentu darbplūsmas, tvērumus un aizsargmargas. Kad jūsu politikas, baļķi un stikla celiņi šajā smilšu kastē izturēsies, jūs varat pārliecināti un nepārprotami pārbaudīt aģentus, lai iegūtu reālus datus.
Uz identitāti orientēta AI darbības modeļa izveide
Lai nodrošinātu šo jauno darbaspēku, ir jāmaina domāšanas veids. Katrs AI aģents ir jāuzskata par pirmās klases pilsoni jūsu identitātes ekosistēmā.
Pirmkārt, katram aģentam ir nepieciešama unikāla, pārbaudāma identitāte. Tas nav tikai tehniskais ID; tai jābūt saistītai ar cilvēka īpašnieku, konkrētu uzņēmējdarbības gadījumu un programmatūras materiālu sarakstu (SBOM). Koplietojamo pakalpojumu kontu laikmets ir beidzies; tie ir līdzvērtīgi galvenās atslēgas došanai pūlim bez sejas.
Otrkārt, nomainiet iestatīšanas un aizmirstības lomas ar sesijām balstītām, risku apzinošām atļaujām. Piekļuve ir jāpiešķir tieši laikā, jāietver tiešajam uzdevumam un minimālajai nepieciešamajai datu kopai, pēc tam automātiski jāatsauc, kad darbs ir pabeigts. Iedomājieties to kā aģentam vienas telpas atslēgu vienai sapulcei, nevis visas ēkas galveno atslēgu.
Trīs mērogojama aģenta drošības arhitektūras pīlāri
Kontekstu apzinoša autorizācija pamatā. Autorizācija vairs nevar būt vienkārša jā vai nē pie durvīm. Tai jābūt nepārtrauktai sarunai. Sistēmām ir jānovērtē konteksts reāllaikā. Vai aģenta digitālā poza ir apliecināta? Vai datu pieprasīšana ir tipiska savam mērķim? Vai šī piekļuve notiek parasta darbības loga laikā? Šis dinamiskais novērtējums nodrošina gan drošību, gan ātrumu.
Mērķtiecīga piekļuve datiem no malas. Pēdējā aizsardzības līnija ir pats datu slānis. Iegulstot politikas izpildi tieši datu vaicājumu programmā, varat ieviest rindu un kolonnu līmeņa drošību, pamatojoties uz aģenta deklarēto mērķi. Klientu apkalpošanas aģentam ir automātiski jābloķē vaicājuma izpilde, kas, šķiet, ir paredzēts finanšu analīzei. Mērķa saistīšana nodrošina, ka dati tiek izmantoti, kā paredzēts, nevis tikai piekļūt tiem, izmantojot autorizētu identitāti.
Pēc noklusējuma ir viltoti pierādījumi. Autonomu darbību pasaulē auditējamība nav apspriežama. Katrs piekļuves lēmums, datu vaicājums un API izsaukums ir nemainīgi jāreģistrē, fiksējot kurš, ko, kur un kāpēc. Saistiet žurnālus, lai tie būtu acīmredzami un atkārtoti atskaņojami auditoriem vai incidentu reaģētājiem, sniedzot skaidru stāstījumu par katra aģenta darbībām.
Praktisks ceļvedis, lai sāktu
Sāciet ar identitātes uzskaiti. Katalogizēt visas identitātes un pakalpojumu kontus, kas nav cilvēki. Visticamāk, jūs atradīsit kopīgošanu un pārmērīgu nodrošināšanu. Sāciet izsniegt unikālas identitātes katrai aģenta darba slodzei.
Izmēģinājuma piekļuves platformu tieši laikā. Ieviesiet rīku, kas piešķir īslaicīgus, aptvertus akreditācijas datus konkrētam projektam. Tas pierāda koncepciju un parāda darbības priekšrocības.
Pilnvarot īstermiņa akreditācijas datus. Izdodiet marķierus, kuru derīguma termiņš beidzas minūtēs, nevis mēnešos. Atrodiet un noņemiet statiskās API atslēgas un noslēpumus no koda un konfigurācijas.
Paceliet sintētisko datu smilškaste. Vispirms pārbaudiet aģentu darbplūsmas, tvērumus, uzvednes un politikas sintētiskiem vai maskētiem datiem. Pārejiet uz reāliem datiem tikai pēc vadīklu, žurnālu un izejas politiku izturēšanas.
Veiciet aģenta incidenta galda urbšanu. Praktizējiet atbildes uz nopludinātu akreditācijas datu, tūlītēju injekciju vai rīka eskalāciju. Pierādiet, ka dažu minūšu laikā varat atsaukt piekļuvi, pagriezt akreditācijas datus un izolēt aģentu.
Apakšējā līnija
Ar cilvēku laikmeta identitātes rīkiem nevar pārvaldīt aģentu, mākslīgā intelekta vadītu nākotni. Organizācijas, kas uzvarēs, atzīst identitāti kā AI darbību centrālo nervu sistēmu. Padariet identitāti par vadības plakni, pārvietojiet autorizāciju uz izpildlaiku, sasaistiet datu piekļuvi ar mērķi un pierādiet sintētisko datu vērtību, pirms pieskaraties reālajai lietai. Dariet to, un jūs varēsit paplašināt līdz miljonam aģentu, nemazinot pārkāpuma risku.
Mišela Baknere ir bijusī NASA informācijas sistēmas drošības amatpersona (ISSO).
