W przeszłości tradycyjne modele bezpieczeństwa opierały się na jasno określonych granicach i scentralizowanych danych, jednak dzisiejszy kontekst jest znacznie bardziej złożony. Obciążenia związane z danymi i sztuczną inteligencją funkcjonują obecnie zarówno w chmurze, jak i w środowiskach lokalnych oraz brzegowych, co stwarza nowe punkty podatności na zagrożenia cyberbezpieczeństwa.
Model zero trust od lat stanowi podstawowe podejście do cyberbezpieczeństwa i staje się coraz ważniejszy dla zapewnienia przyszłościowego i odpornego systemu zabezpieczeń. Jak więc organizacje mogą kontynuować wdrażanie tej technologii w ramach nowej generacji rozwiązań dla przedsiębiorstw?
Model zero trust to sprawdzone podejście do bezpieczeństwa, w którym nie zakłada się automatycznego zaufania do żadnego użytkownika ani urządzenia, nawet w obrębie własnej sieci. Podczas gdy zabezpieczenia oparte na ochronie obwodowej zakładają, że użytkownicy i urządzenia znajdujące się wewnątrz sieci posiadają status zaufanych, w przypadku modelu zero-trust wszystkie żądania dostępu traktuje się jako potencjalnie ryzykowne i w związku z tym wymagają one ciągłej weryfikacji. W praktyce oznacza to, że nawet jeśli użytkownik jest podłączony do firmowej sieci Wi-Fi, nadal musi przejść uwierzytelnianie wieloskładnikowe przy każdym żądaniu dostępu, a nawet wtedy ma dostęp tylko do określonych, niezbędnych systemów.
Hasło najczęściej kojarzone z architekturą zero-trust brzmi „nigdy nie ufaj, zawsze weryfikuj” i choć nadal ma ono zastosowanie w erze sztucznej inteligencji, jego zakres rozszerzył się poza użytkowników, urządzenia i sieci, obejmując również modele, potoki przetwarzania danych i środowiska. Model zero-trust musi obecnie obejmować cały cykl życia sztucznej inteligencji – od dostępu do danych i modeli oraz ich wykorzystania, po procesy wnioskowania i obciążenia w różnych środowiskach.
Przedsiębiorstwa powinny wdrożyć kontrole dostępu oparte na tożsamości z uwzględnieniem kontekstu w odniesieniu do wszystkich swoich danych. Przy każdym dostępie do danych istotne jest, aby interakcje były odpowiednio uwierzytelniane, autoryzowane i podlegały kontroli, co pozwala zapewnić bezpieczeństwo i wiarygodność.
Ma to jeszcze większe znaczenie, ponieważ systemy sztucznej inteligencji potrzebują dostępu do wszystkich danych przedsiębiorstwa, aby dostarczać dokładne i wiarygodne rezultaty. Bez spójnego systemu zarządzania i nadzoru luki w kontroli dostępu mogą prowadzić do stronniczości modeli, wycieku danych lub ryzyka naruszenia przepisów. Możliwość polega na spójnym stosowaniu tych mechanizmów kontroli w środowiskach hybrydowych i wielochmurowych.
Model zero trust ma również kluczowe znaczenie dla wzmocnienia bezpieczeństwa. W połączeniu z odpowiednim systemem zarządzania model zero trust umożliwia skuteczne udostępnianie danych w całej organizacji. Takie podejście jest korzystne dla każdej ze stron – zapewnia bezpieczeństwo danych, a jednocześnie gwarantuje dostęp do nich tym osobom, które ich potrzebują. Organizacje potrzebują platformy, która zapewnia spójne podejście oparte na chmurze do bezpieczeństwa, zarządzania i nadzoru nad wszystkimi danymi, niezależnie od tego, gdzie się znajdują.
Modele należy traktować jako informacje wrażliwe. Wprowadzane przez pracowników polecenia często zawierają poufne informacje biznesowe, a wyniki generowane przez modele mogą ujawniać poufne lub niejawne dane oraz decyzje. W praktyce modele stają się zarówno odbiorcami, jak i twórcami danych wrażliwych.
Dlatego zasady modelu zero trust muszą wykraczać poza dane i obejmować również modele, komunikaty oraz punkty końcowe wnioskowania. Utrzymywanie zasobów AI w ramach zaufanych granic przedsiębiorstwa ma kluczowe znaczenie. Oznacza to wprowadzenie szczegółowych mechanizmów kontroli dostępu, dzięki czemu tylko uprawnieni użytkownicy i systemy będą mogły korzystać z określonych modeli lub zbiorów danych. Wymaga to również stosowania kontroli wersji i śledzenia pochodzenia, co pozwala organizacjom monitorować, w jaki sposób modele zostały wytrenowane, jakie dane wykorzystano oraz w jaki sposób generowane są wyniki – jest to niezbędne dla zapewnienia możliwości audytu i zgodności z przepisami.
Fragmentacja w dowolnej części przedsiębiorstwa niesie ze sobą ryzyko, a strategie zero-trust nie są tu wyjątkiem. W sytuacji, gdy agenci i modele tworzą nowe powierzchnie ataku, organizacje muszą zwracać większą uwagę na słabe punkty wynikające z niekonsekwentnego wdrażania zasad bezpieczeństwa i zarządzania, które mogą zostać wykorzystane i doprowadzić do problemów operacyjnych. Zabezpieczenia są tak skuteczne, jak ich najsłabsze ogniwo.
Aby model zero trust był skuteczny, musi być spójny i przenośny. Kontrola dostępu, zasady zarządzania i nadzoru oraz standardy monitorowania powinny być dostosowane do danych, modeli i obciążeń, aby zapewnić spójne zarządzanie każdą interakcją, niezależnie od tego, czy ma ona miejsce w chmurze publicznej, czy w samym sercu centrum danych.
Organizacje potrzebują spójnego podejścia, które eliminuje luki w zasadach i zapewnia spójną obsługę przypominającą korzystanie z chmury w odniesieniu do danych w dowolnym miejscu. Gdy zasady bezpieczeństwa oraz zarządzania i nadzoru są stosowane wszędzie w ten sam sposób, zmniejsza się złożoność działań, a zespoły mogą działać szybciej i z większą pewnością siebie. Skutkuje to mniejszą fragmentacją i trwalszymi podstawami do wdrażania sztucznej inteligencji w całym przedsiębiorstwie, bez utraty kontroli czy zaufania.
Podejście oparte na ujednoliconej platformie pozwala stworzyć platformę, która od samego początku łączy dane, analitykę i sztuczną inteligencję. Dzięki jednolitym, spójnym ramom organizacje mogą wyeliminować fragmentację, ograniczyć ryzyko oraz konsekwentnie stosować zasady modelu zero trust w środowiskach chmurowych, lokalnych i hybrydowych. Dzięki odpowiedniej platformie organizacje mogą bez obaw wdrażać sztuczną inteligencję we wszystkich obszarach swoich danych, czerpiąc z nich korzyści przy jednoczesnym zachowaniu kontroli nad zgodnością z przepisami i niezawodnością, których wymagają współczesne przedsiębiorstwa.
Dowiedz się więcej o podejściu Cloudera do bezpieczeństwa i zgodności z przepisami tutaj.
This may have been caused by one of the following: