Mašinski identitet je bilo koji nečovječni entitet – softver, AI agent, mikroslužba ili automatizirani sustav – koji komunicira s digitalnim resursima, donosi odluke ili pokreće akcije samostalno. Dok su tradicionalni identiteti stroja bili ograničeni na API ključeve ili račune usluga, moderni identiteti stroja evoluirali su u mnogo složenije aktere - AI agenti sposobni razmatrati, pokrenuti radne tokove, pa čak i djelovati Ljudi ili drugi sustavi. on behalf Ti strojni identiteti nisu samo rastući trend - oni su na rubu Dok su se većina aplikacija povijesno usredotočila na ljudske identitete – mislite na obrasce za prijavu, lozinke i korisničke sesije – ta se stvarnost mora promijeniti. outnumber human users in every system we build U ovom članku, duboko ćemo ući u strojne identitete - što su oni, zašto su važni i kako izgraditi kontrolu pristupa koja slijedi s njima. Neke pozadine: Porast strojnih identiteta Kada razmotrimo koliko su AI agenti ugrađeni u softver ili koliko često vanjski AI alati konzumiraju API-je, postaje jasno da će strojni identiteti uskoro dominirati našim aplikacijama. Svaki proizvod koji gradite – bilo da je AI-nativ ili ne – neizbježno će imati strojne identitete koji će s njim komunicirati.Ti identiteti neće samo pasivno slijediti unaprijed postavljene putove. To postavlja kritično pitanje: Ako ne, vrijeme je da ponovno razmislite o tome kako upravljati identitetom i pristupom – jer razdvajanje ljudi od strojeva u vašem modelu identiteta više nije održivo. Are your systems ready for this? Razmotrili smo neke od tih implikacija u našem nedavnom članku o , gdje smo razbili kako AI zamagljuje granice između korisnika, robota i usluga. Izazovi generativne AI u upravljanju identitetom i pristupom (IAM) Izazovi generativne AI u upravljanju identitetom i pristupom (IAM) Ovoga puta želimo razgovarati o samim strojnim identitetima. Što je „mašinski identitet“? Tijekom godina, pojam Značilo je nešto jednostavno – ključ API-ja, tajna klijenta ili račun usluge koji koristi backend sustav za autentifikaciju. Ti su identiteti bili statični, predvidljivi i relativno jednostavni za upravljanje. Mašinski identitet That definition no longer fits. S porastom agenata za umjetnu inteligenciju, identiteti stroja evoluirali su daleko iznad statičkih povjerenja.Današnji identiteti stroja uključuju LLM-ove, RAG plinovode, autonomne agente i bezbroj drugih sustava sposobnih za i . decision-making autonomous action To nisu samo pasivne usluge koje čekaju unos – to su aktivni sudionici, generirajući nove tokove rada, pristupajući resursima, pa čak i spontano generirajući nove zahtjeve. Razmislite o scenariju u kojem bi AI agent ugrađen u vaš proizvod trebao prikupljati podatke, obrađivati ih i pozivati vanjske API-je kako bi dovršio zadatak. , pokrećući kaskadu strojnih akcija u pozadini. it might act U ime a human user Svaki korak uključuje složene odluke o identitetu: Tko stvarno podnosi taj zahtjev? Koje se dozvole primjenjuju? Gdje završava čovjek, a počinje mašina? To je razlog zašto se strojni identiteti više ne mogu tretirati kao jednostavni backend akteri. u modelu identiteta vašeg sustava, koji je sposoban izvršiti – i zahtijevati – istu razinu pristupa, konteksta i odgovornosti kao i svaki ljudski korisnik. first-class citizens Pitanje više nije Morat ćete upravljati identitetima stroja na ovaj način, ali Možete prilagoditi svoje sustave kako biste se nosili s ovom rastućom stvarnošću. Ako Koliko brzo Mašinski identiteti koji nadmašuju brojeve ljudi mijenjaju sve Možda zvuči dramatično, ali već smo na točki kada se strojni identiteti umnožavaju brže nego što bi ljudski korisnici ikada mogli. Svaki AI agent ugrađen u aplikaciju, svaka vanjska usluga koja poziva vaš API, svaki automatizirani sustav koji pokreće akcije – svaki predstavlja identitet stroja. A single human user might generate dozens of machine identity actions without even realizing it. Njihov osobni AI asistent pokreće upit, koji poziva drugu AI uslugu, koja pokreće dodatne agente - sve kaskadirajući niz interakcija između strojeva. . machine identities dominate your traffic and access control flows I ne radi se samo o vašim unutarnjim sustavima.Čak i ako vaš proizvod nije AI-nativ, šanse su vanjski AI agenti — skrapanje podataka, pokretanje API-ja ili analiziranje odgovora. korisnicima sada, bilo da to namjeravate ili ne. already interacting with it su Implikacije za kontrolu pristupa i sigurnost su ogromne: Statičke pretpostavke o volumenu identiteta raspadaju se. Tradicionalni modeli koji oštro razlikuju korisnike i usluge stvaraju slijepe točke. Auditiranje tko je učinio ono što postaje gotovo nemoguće ako sustav ne može pratiti akcije kroz slojeve AI agenata. . Your application is already being used by more machines than humans—you just may not be tracking it yet Zato je sljedeći logičan korak preispitivanje načina na koji pristupamo upravljanju identitetom - jer trenutni model podjele jednostavno se neće proširiti u ovoj novoj stvarnosti. Odvojene plinovode moraju propasti Većina aplikacija danas još uvijek pokreće dva različita identiteta - jedan za ljude, jedan za strojeve. . Humans get OAuth flows, sessions, MFA, and access tokens Mašine su obično podijeljene Zaglavio se u kutiju. a static API key or a long-lived secret Ljudi su dinamični, nepredvidivi i skloni pogreškama, dok se pretpostavlja da su strojevi statični, predvidljivi i čvrsto obuhvaćeni. , osobito s porastom AI-drivenih agenata koji djeluju autonomno. That assumption doesn’t hold up anymore AI agenti ne obavljaju samo uske, unaprijed programirane zadatke. Razlog temeljen na kontekstu Počnite s novim zahtjevima u sredini izvršenja lančane akcije koje nisu bile izričito osmišljene unaprijed Delegiranje zadaća drugim agentima ili službama Tretiranje ovih agenata kao statskih računa usluga stvara ozbiljne rizike: Blind spots: Strojne akcije se odvijaju izvan postojeće logike kontrole pristupa. Fragmentacija politika: Programeri moraju održavati i raspravljati o dva različita modela pristupa. Neuspjeh revizije: gubi se sposobnost praćenja podrijetla zahtjeva kroz slojeve aktivnosti utemeljene na AI-u. Privilege creep: Mašinski identiteti često su prekomjerno dopušteni jer je to "lakše" od preoblikovanja modela. Kako broj AI agenata raste, tako i troškovi upravljanja – i osiguravanja – dva zasebna identiteta. Mi smo pokrili verziju ovog izazova u , gdje smo istražili kako su te zamagljene linije prekinule tradicionalnu kontrolu pristupa. mašinski identiteti više ne mogu živjeti u siloidnoj cijevi. Oni su previše dinamični, previše moćni i previše povezani s ljudskim tokovima rada. Naše duboko uronjenje u utjecaj Generative AI na IAM Naše duboko uronjenje u utjecaj Generative AI na IAM To rješenje ? – onaj koji tretira mašine kao građane prve klase, podložni istoj strogosti, pravilima i odgovornosti kao i ljudi. A unified identity model Jedinstveno upravljanje identitetom Put prema naprijed je jasan: Umjesto toga, dovedite ih u isti identitetni kanal kao i vaše ljudske korisnike, podložne istim pravilima, kontrolama i revizijama. stop treating machine identities as second-class citizens Jedinstveno upravljanje identitetom znači: Primjena istog okvira za autentifikaciju i ovlaštenje na ljude i strojeve Praćenje tko ili što je pokrenulo svaku akciju, čak i kada se zahtjevi kaskadiraju kroz više agenata AI Osmišljavanje politika koje razmatraju namjeru, odnose i delegiranje, a ne samo statičke povjerljivosti Mnogo se može dobiti od toga - Ovaj jedinstveni pristup pojednostavljuje cijeli vaš model identiteta, eliminirajući potrebu za odvojenim sustavima i smanjujući složenost za programere i sigurnosne timove. Jača odgovornost tako što vam omogućuje da pratite čak i najsloženiji lanac strojnih akcija natrag do njihovog izvornog izvora. Tko djeluje O Čovječanstvo . Koji U ime Koji I što je najvažnije, Kako se strojni identiteti neizbježno razvijaju i razvijaju, vaš pristupni model ostaje otporan, sposoban upravljati volumenom i složenosti bez sloma ili stvaranja novih slijepih točaka. it scales To je upravo vrsta promjene o kojoj smo razgovarali u našoj , gdje smo istražili kako moderni sustavi moraju rukovati AI agentima, pamćenjem, vanjskim alatima i dinamičkim interakcijama - . guide to AI Security Posture Management (AISPM) all within a unified framework Ujedinjenje vašeg identiteta ne znači da strojevi i ljudi gube razlike. AI agenti mogu djelovati drugačije od ljudi, ali potreba za provjerom njihovih postupaka, praćenjem njihovih dozvola i revizijom njihovog ponašanja jednako je stvarna, ako ne i više. recognizing that both deserve equally robust access control Jer u svijet brzo ulazimo, Pitanje je je li vaš pristupni model spreman za tu promjenu. machine identities won’t just participate in your systems—they’ll dominate them Ljudska namjera kao izvor mašinskog djelovanja U središtu ovog izazova je jednostavna činjenica: Bilo da je to AI asistent koji prikuplja podatke, automatizirani agent koji pokreće tok posla ili usluga treće strane koja komunicira s vašim API-jem - negdje, ljudski set koji djeluje u pokretu. machine actions almost always originate from human intent Tradicionalni modeli kontrole pristupa Nakon što mašinski identitet preuzme vlast, veza s čovjekom se gubi u prijevodu.Zahtjevi se pojavljuju izolirani, čineći gotovo nemogućim da se odluka vrati osobi koja ju je ovlastila, ili čak znati postoji li Na prvom mjestu je ljudska autorizacija. rarely capture that nuance bio To je mjesto gdje je koncept Moramo biti svjesni da sustav ne mora biti samo U tijeku je akcija, ali i Svaki AI agent koji djeluje unutar vaše aplikacije – ili konzumira vaše usluge izvana – trebao bi prenijeti taj kontekst naprijed. "on behalf of" relationships Tko Zašto za Kome Tko Zašto Kome Razmotrili smo to duboko u našem nedavnom članku o AI agenti koji djeluju autonomno moraju naslijediti – i biti ograničeni – prava pristupa ljudi koje predstavljaju.Sve manje otvara vrata nenamjernom izlaganju podacima, prekomjernom dosegu ili, još gore, AI agentima koji donose odluke koje ljudska bića nikada nisu ovlaštena. upravljanje AI dozvolama i kontrolom pristupa s Retrieval-Augmented Generation (RAG) i ReBAC-om upravljanje AI dozvolama i kontrolom pristupa s Retrieval-Augmented Generation (RAG) i ReBAC-om Održavanje ovog lanca odgovornosti osigurava da strojni identiteti Kako AI agenti postaju sposobniji i složeniji, ova veza održava vaš sustav siguran, auditivan i usklađen s očekivanjima vaših korisnika. don’t just act—they act within the scope of human intent AI sposobnosti prisiljavaju na promišljanje modela pristupa Ono što mašine koje upravljaju AI-om čine tako izazovnim nije samo njihov volumen – to je njihovo ponašanje.Za razliku od tradicionalnih usluga koje slijede predvidive, unaprijed definirane zadatke, AI agenti su Oni mogu generirati nove akcije u sredini procesa, lančati višestruke zahtjeve, delegirati zadatke drugim agentima, pa čak i identificirati dodatne resurse koje su "potrebne" za dovršetak cilja - sve bez eksplicitnih, korak po korak uputa od programera. dynamic by design Ova razina autonomije razbija tradicionalne modele kontrole pristupa zasnovane na ulogama (RBAC).RBAC je izgrađen za statička okruženja u kojima su dozvole vezane uz dobro definirane uloge i rijetko se mijenjaju u realnom vremenu. – njihove akcije ovise o kontekstu, podacima i rastućoj prirodi zadatka. don’t fit neatly into predefined roles Da bi upravljali ovom složenosti, sustavi moraju ići dalje od statičkih uloga i prihvatiti Za razliku od RBAC-a, ReBAC ocjenjuje pristup na temelju - AI agent, podaci kojima pokušava pristupiti, čovjeka koji predstavlja, pa čak i kontekst zahtjeva. identiteta je dopušteno učiniti; to je o i . Relationship-Based Access Control (ReBAC) the relationships between entities Što Zašto the identity is acting, U čije ime U kojim uvjetima Ova promjena je ključna jer AI agenti sve više djeluju Bez odnosa i kontekstno svjesnih politika, agenti AI-a rizikuju prelazak, pristupanje resursima koje ne bi trebali, ili nenamjerno pokretanje kaskadnih akcija koje su teško - ako ne i nemoguće - provjeriti. autonomously U našoj , istražili smo kako se moderni sustavi moraju prilagoditi tim AI-drivenim dinamicima primjenom ReBAC je jedan od najučinkovitijih načina za hvatanje nijansi odnosa koje AI uvodi i osiguravanje pristupa kada se usklađuje s političkim i ljudskim namjerama. deep dive into dynamic AI access control real-time, event-driven policy checks Samo Praktični obrasci provedbe Prevoditi te koncepte u praksu znači ponovno razmisliti o tome kako vaš sustav rješava provjere identiteta, delegiranje i revizije, pogotovo jer AI agenti preuzimaju sve složenije uloge. Jedan od moćnih modela je , što izričito hvata delegaciju i "u ime" odnosa u logici kontrole pristupa. ima dozvolu, ova metoda procjenjuje i . check_agent() approach Jedan agent Tko je taj agent koji djeluje za Koji kontekst se primjenjuje Umjesto tradicionalnog Kontrola pristupa kao što je: Permit.io permit.check(identity, action, resource) Promijenite se na: permit.check( { key: agent_identity, attributes: {"on_behalf": [user_identity]} }, action, resource ) Time se osigurava da odluke o pristupu uzimaju u obzir i dopuštenja AI agenta i čovjeka koji predstavlja, osiguravajući granice delegiranja i sprečavajući neovlaštene lance pristupa. podupire ovaj uzorak nativno, omogućujući aplikacijama da provode Također, takvi alati kao što su (Open Policy Administration Layer) pomaže u sinhronizaciji politika i prikupljanju dinamičkih podataka – kao što su trenutni odnosi ili ocjene rizika – tako da svaka provjera odražava . Permit.io fine-grained, relationship-aware policies Opal Kontekst u stvarnom vremenu Opal Za scenarije koji uključuju AI agente koji rade s različitim razinama povjerenja ili profilima rizika, također možete uključiti kao Umjesto da tretira sve identitete strojeva jednako, ArcJet ih ocjenjuje na temelju signala ponašanja, što omogućuje vašem sustavu da primjenjuje strože politike na aktere s niskim pouzdanjem i fleksibilnije one na provjerene agente. identity ranking systems ArcJet Ovi praktični obrasci ne samo da poboljšavaju sigurnost – oni čine vaš sustav Svaka AI akcija nosi svoje podrijetlo, kontekst i razmatranje, omogućujući vam da pratite cijeli lanac odluka ako nešto pođe po zlu. more auditable Kao što smo ranije istražili, ovi obrasci postaju posebno moćni kada se primjenjuju na složene tokove rada AI-a gdje agenti međusobno djeluju s vanjskim alatima, skladištima memorije i osjetljivim resursima. Priprema za strojni identitet većine Mašinski identiteti ne dolaze – oni su već ovdje. AI agenti, automatizirane usluge i autonomni tokovi rada više nisu pozadini – oni su aktivni sudionici u vašoj aplikaciji, donošenju odluka, pokretanju akcija i potrošnji resursa. vastly outnumber human users Stari način rukovanja identitetom – razdvajanje ljudi i strojeva u zasebne, statičke cijevi – jednostavno se neće proširiti u ovoj novoj stvarnosti. I osigurati . first-class citizens every action—human or machine—can be traced, authorized, and audited Dobra vijest? alat i okvir za to već postoje. Uvođenje ili usvojiti , možete početi graditi sustave danas koji su spremni za većinu identiteta stroja. ReBAC on-behalf-of delegation patterns real-time dynamic access control Ako ste zainteresirani za dublje uronjenje u ovu promjenu, pogledajte našu punu seriju o izazovima AI identiteta: Izazovi generativne AI u upravljanju identitetom i pristupom (IAM) Gdje mogu ići? upravljanje AI dozvolama Kada – dinamička AI kontrola pristupa za promjenjivu vremensku liniju Izazovi generativne AI u upravljanju identitetom i pristupom (IAM) Gdje mogu ići? upravljanje AI dozvolama Kada – dinamička AI kontrola pristupa za promjenjivu vremensku liniju Pitanje više nije identifikacije stroja će dominirati vašim sustavima - to je da li je vaš model pristupa spreman za njih kada to učine. Ako Ako imate bilo kakvih pitanja, budite sigurni da se pridružite našem , gdje tisuće developera grade i provode autorizaciju. Slack zajednica Slack zajednica
