Un'identità di macchina è qualsiasi entità non umana - software, agente di intelligenza artificiale, microservizio o sistema automatizzato - che interagisce con le risorse digitali, prende decisioni o inizia azioni da solo. Mentre le tradizionali identità di macchina erano limitate a chiavi API o account di servizio, le moderne identità di macchina si sono evolute in attori molto più complessi: agenti di intelligenza artificiale capaci di ragionare, iniziare flussi di lavoro e persino agire. degli esseri umani o di altri sistemi. on behalf Queste identità di macchina non sono solo una tendenza in crescita – stanno per diventare Mentre la maggior parte delle applicazioni è storicamente incentrata sulle identità umane – pensiamo a moduli di accesso, password e sessioni utente – questa realtà è destinata a cambiare. outnumber human users in every system we build In questo articolo, ci immergiamo più in profondità nelle identità di macchina - che cosa sono, perché contano e come costruire un controllo dell'accesso che segue con loro. Alcuni background: l'ascesa delle identità di macchina Quando si considera quanti agenti di intelligenza artificiale sono incorporati nel software o quanto spesso gli strumenti di intelligenza artificiale esterna consumano API, diventa chiaro che le identità di macchina domineranno presto le nostre applicazioni. Ogni prodotto che stai costruendo – sia che sia nativo dell’IA o meno – avrà inevitabilmente le identità di macchina che interagiscono con esso.Queste identità non seguiranno semplicemente passivamente percorsi predefiniti. Ciò solleva una domanda critica: Se no, è il momento di ripensare a come gestire l'identità e l'accesso, perché separare gli esseri umani dalle macchine nel tuo modello di identità non è più sostenibile. Are your systems ready for this? Abbiamo esaminato alcune di queste implicazioni nel nostro recente articolo su , dove abbiamo smantellato come l'IA sta svuotando le linee tra utenti, bot e servizi. Le sfide dell'IA generativa nella gestione dell'identità e dell'accesso (IAM) Le sfide dell'IA generativa nella gestione dell'identità e dell'accesso (IAM) Questa volta vogliamo parlare dell’identità delle macchine stesse. Che cos’è un’identità di macchina? Per anni, il termine significava qualcosa di semplice – una chiave API, un segreto del cliente o un account di servizio utilizzato da un sistema backend per autenticarsi.Queste identità erano statiche, prevedibili e relativamente facili da gestire. Identificazione macchina That definition no longer fits. Con l'ascesa degli agenti di intelligenza artificiale, le identità delle macchine si sono evolute ben al di là delle credenziali statiche.Le identità delle macchine di oggi includono LLM, pipeline RAG, agenti autonomi e innumerevoli altri sistemi in grado di e . decision-making autonomous action Questi non sono solo servizi passivi in attesa di input – sono partecipanti attivi, generando nuovi flussi di lavoro, accedendo a risorse e persino generando spontaneamente nuove richieste. Considera uno scenario in cui un agente di intelligenza artificiale incorporato nel tuo prodotto deve raccogliere dati, elaborarli e chiamare API esterne per completare un compito. , attivando una cascata di azioni di macchina in background. it might act In nome di a human user Ogni passo comporta decisioni di identità complesse: Chi effettivamente fa questa richiesta? Quali autorizzazioni si applicano? Dove finisce l’uomo e dove inizia la macchina? Questo è il motivo per cui le identità di macchina non possono più essere trattate come semplici attori backend. nel modello di identità del tuo sistema, in grado di eseguire - e richiedere - lo stesso livello di accesso, contesto e responsabilità di qualsiasi utente umano. first-class citizens La domanda non è più dovrai gestire le identità di macchina in questo modo, ma Potete adattare i vostri sistemi per gestire questa crescente realtà. Se Quanto velocemente Le identità delle macchine che superano gli esseri umani cambiano tutto Potrebbe sembrare drammatico, ma siamo già al punto di svolta in cui le identità delle macchine si moltiplicano più velocemente di quanto gli utenti umani potessero mai. Ogni agente AI incorporato in un'applicazione, ogni servizio esterno che chiama l'API, ogni azione automatizzata del sistema che innesca le azioni - ognuno rappresenta un'identità di macchina. A single human user might generate dozens of machine identity actions without even realizing it. Il loro assistente personale di intelligenza artificiale attiva una query, che chiama un altro servizio di intelligenza artificiale, che spina agenti aggiuntivi - tutto in cascata in una catena di interazioni macchina-macchina. . machine identities dominate your traffic and access control flows E non si tratta solo dei vostri sistemi interni. Anche se il vostro prodotto non è AI-nativo, le probabilità sono agenti esterni AI sono scraping dati, attivazione di API o analisi delle risposte. gli utenti ora, che lo intendessero o meno. already interacting with it sono Le implicazioni per il controllo di accesso e la sicurezza sono enormi: I presupposti statici sul volume di identità si rompono. I modelli tradizionali che distinguono nettamente tra utenti e servizi creano punti ciechi. Auditare chi ha fatto ciò che diventa quasi impossibile se il sistema non può tracciare le azioni attraverso strati di agenti di intelligenza artificiale. . Your application is already being used by more machines than humans—you just may not be tracking it yet Ecco perché il prossimo passo logico è quello di ripensare il nostro approccio alla gestione dell’identità, perché l’attuale modello split semplicemente non si scalerà in questa nuova realtà. I gasdotti separati falliranno La maggior parte delle applicazioni oggi gestisce ancora due pipeline di identità distinte: una per gli esseri umani, una per le macchine. . Humans get OAuth flows, sessions, MFA, and access tokens Le macchine sono di solito nascosto in una valle. a static API key or a long-lived secret Gli esseri umani sono dinamici, imprevedibili e inclini agli errori, mentre le macchine si presumono statiche, prevedibili e strettamente disciplinate. , specialmente con l'ascesa di agenti guidati da AI che agiscono in modo autonomo. That assumption doesn’t hold up anymore Gli agenti AI non eseguono solo compiti ristretti e pre-programmati, ma possono: La ragione basata sul contesto Iniziare nuove richieste a metà esecuzione Azioni in catena che non sono state esplicitamente progettate in anticipo Delegare compiti ad altri agenti o servizi Trattare questi agenti come conti di servizio statico crea gravi rischi: Punti ciechi: le azioni della macchina si verificano al di fuori della logica di controllo di accesso esistente. La frammentazione delle politiche: gli sviluppatori devono mantenere e ragionare su due diversi modelli di accesso. Auditing failures: si perde la capacità di tracciare l'origine di una richiesta attraverso strati di attività guidate dall'IA. Privilege creep: le identità di macchina sono spesso sovra-permessi perché è "più facile" che rifattoriare il modello. Peggio ancora, questa complessità scala male. man mano che il numero di agenti di intelligenza artificiale cresce, lo stesso vale per il costo di gestire - e proteggere - due modelli di identità separati. Abbiamo coperto una versione di questa sfida in , dove abbiamo esplorato come queste linee sfocate rompano il controllo d'accesso tradizionale. le identità di macchina non possono più vivere in una pipeline silo. Sono troppo dinamiche, troppo potenti e troppo intrecciate con i flussi di lavoro umani. La nostra profonda immersione nell'impatto di Generative AI su IAM La nostra profonda immersione nell'impatto di Generative AI su IAM La soluzione ? - uno che tratta le identità delle macchine come cittadini di prima classe, soggetti alla stessa rigore, regole e responsabilità degli esseri umani. A unified identity model Gestione unificata delle identità Il cammino è chiaro: Invece, portali nello stesso canale di identità degli utenti umani, soggetti alle stesse politiche, controlli e audit. stop treating machine identities as second-class citizens Gestione unificata delle identità significa: Applicare gli stessi quadri di autenticazione e autorizzazione sia agli esseri umani che alle macchine Tracciare chi o cosa ha avviato ogni azione, anche quando le richieste cascano attraverso più agenti AI Progettare politiche che ragionino sull'intenzione, le relazioni e la delegazione, non solo le credenziali statiche C'è molto da guadagnare da questo - Questo approccio unificato semplifica l'intero modello di identità, eliminando la necessità di sfruttare sistemi separati e riducendo la complessità sia per gli sviluppatori che per i team di sicurezza. Rafforza la responsabilità consentendo di tracciare anche le catene più complesse di azioni guidate da macchine alla loro fonte originale, comprendendo ha agito di di umani. Quale In nome Quale E soprattutto, Mentre le identità di macchina inevitabilmente crescono ed evolvono, il tuo modello di accesso rimane resiliente, in grado di gestire il volume e la complessità senza rompere o creare nuovi punti ciechi. it scales Questo è esattamente il tipo di cambiamento che abbiamo discusso nel nostro , dove abbiamo esplorato come i sistemi moderni devono gestire agenti di intelligenza artificiale, memoria, strumenti esterni e interazioni dinamiche - . guide to AI Security Posture Management (AISPM) all within a unified framework Unificare il tuo modello di identità non significa che le macchine e gli umani perdano le loro differenze. Gli agenti di intelligenza artificiale possono agire in modo diverso dagli esseri umani, ma la necessità di verificare le loro azioni, tenere traccia delle loro autorizzazioni e controllare il loro comportamento è altrettanto reale, se non più. recognizing that both deserve equally robust access control Perché nel mondo stiamo entrando rapidamente, La domanda è se il tuo modello di accesso è pronto per questo cambiamento. machine identities won’t just participate in your systems—they’ll dominate them L’intento umano come fonte dell’azione della macchina Al centro di questa sfida c’è un semplice fatto: Che si tratti di un assistente di intelligenza artificiale che raccoglie i dati, di un agente automatizzato che attiva un flusso di lavoro o di un servizio di terze parti che interagisce con la tua API - da qualche parte, un set umano che agisce in movimento. machine actions almost always originate from human intent Il problema è che i modelli tradizionali di controllo di accesso Una volta che un'identità di macchina prende il controllo, la connessione con l'uomo si perde nella traduzione.Le richieste appaiono isolate, rendendo quasi impossibile rintracciare una decisione alla persona che l'ha autorizzata, o addirittura sapere se c'è L’autorizzazione umana in primo luogo. rarely capture that nuance è È qui che il concetto di I sistemi devono riconoscere non solo Eseguire un’azione, ma e Ogni agente di intelligenza artificiale che opera all’interno della tua app – o che consuma i tuoi servizi esternamente – dovrebbe portare avanti questo contesto.Solo allora puoi applicare politiche che riflettono correttamente l’intenzione dell’uomo, non solo il comportamento della macchina. "on behalf of" relationships Chi è Perché per a chi Chi è Perché a chi Abbiamo esaminato questo in profondità nel nostro recente articolo su Gli agenti AI che agiscono in modo autonomo devono ereditare - e essere limitati - i diritti di accesso degli esseri umani che rappresentano. Qualsiasi cosa meno apre la porta all'esposizione non intenzionale dei dati, all'overreach, o peggio, agli agenti AI che prendono decisioni che nessun essere umano ha mai autorizzato. Gestione delle autorizzazioni AI e controllo dell'accesso con Retrieval-Augmented Generation (RAG) e ReBAC Gestione delle autorizzazioni AI e controllo dell'accesso con Retrieval-Augmented Generation (RAG) e ReBAC Il mantenimento di questa catena di responsabilità assicura che le identità di macchina Mentre gli agenti di intelligenza artificiale diventano più capaci e complessi, questa connessione mantiene il tuo sistema sicuro, audibile e allineato alle aspettative dei tuoi utenti. don’t just act—they act within the scope of human intent Le capacità di AI costringono a ripensare i modelli di accesso Ciò che rende le identità delle macchine basate su AI così impegnative non è solo il loro volume, ma il loro comportamento. A differenza dei servizi tradizionali che seguono attività predefinite e predefinite, gli agenti AI sono Possono generare nuove azioni a metà processo, catena più richieste, delegare compiti ad altri agenti e persino identificare risorse aggiuntive che "necessitano" per completare un obiettivo - tutto senza istruzioni esplicite, passo dopo passo da un sviluppatore. dynamic by design Questo livello di autonomia rompe i tradizionali modelli di controllo degli accessi basati sui ruoli (RBAC).RBAC è stato costruito per ambienti statici in cui le autorizzazioni sono legate a ruoli ben definiti e raramente cambiano in tempo reale. Le loro azioni dipendono dal contesto, dai dati e dalla natura evolutiva del compito in atto. don’t fit neatly into predefined roles Per gestire questa complessità, i sistemi devono andare oltre i ruoli statici e abbracciare A differenza di RBAC, ReBAC valuta l'accesso sulla base di - l'agente AI, i dati che sta cercando di accedere, l'uomo che rappresenta e persino il contesto della richiesta. Un’identità è consentita; si tratta di , e . Relationship-Based Access Control (ReBAC) the relationships between entities Che cosa Perché the identity is acting, In nome di chi In quali condizioni Questo cambiamento è critico poiché gli agenti AI operano sempre più Senza politiche relazionali e consapevoli del contesto, gli agenti di intelligenza artificiale rischiano di eccedere, accedere a risorse che non dovrebbero, o inavvertitamente attivare azioni in cascata che sono difficili - se non impossibili - da controllare. autonomously Nel nostro , abbiamo esplorato come i sistemi moderni devono adattarsi a queste dinamiche guidate dall'IA implementando ReBAC è uno dei modi più efficaci per catturare le relazioni sfumate che l’IA introduce e garantire l’accesso. quando si allinea sia con l’intenzione politica che con quella umana. deep dive into dynamic AI access control real-time, event-driven policy checks solo Modelli pratici di implementazione Tradurre questi concetti in pratica significa ripensare a come il tuo sistema gestisce i controlli di identità, la delegazione e l'audit, specialmente poiché gli agenti AI assumono ruoli sempre più complessi. Un potente modello è il , che cattura esplicitamente la delegazione e le relazioni "in nome" nella tua logica di controllo di accesso. è autorizzata, questo metodo valuta e . check_agent() approach Un agente Per chi agisce l’agente Qual è il contesto Per esempio, invece di un tradizionale Controllo di accesso come: Permit.io permit.check(identity, action, resource) Si cambia a: permit.check( { key: agent_identity, attributes: {"on_behalf": [user_identity]} }, action, resource ) Ciò assicura che le decisioni di accesso tengano conto sia delle autorizzazioni dell'agente AI che dell'uomo che rappresenta, applicando i limiti di delegazione e prevenendo le catene di accesso non autorizzate. supporta questo modello in modo nativo, consentendo alle applicazioni di applicare Inoltre, strumenti come (Open Policy Administration Layer) aiuta a sincronizzare le politiche e a raccogliere dati dinamici, come relazioni correnti o punteggi di rischio, in modo che ogni controllo rifletta . Permit.io fine-grained, relationship-aware policies Opale Il contesto in tempo reale Opale Per scenari che coinvolgono agenti AI che operano con diversi livelli di fiducia o profili di rischio, è anche possibile incorporare come Invece di trattare tutte le identità di macchina in modo uguale, ArcJet le valuta in base ai segnali comportamentali, consentendo al sistema di applicare politiche più rigorose agli attori di bassa fiducia e più flessibili agli agenti verificati. identity ranking systems ArcJet Questi modelli pratici non solo migliorano la sicurezza, ma rendono il sistema più sicuro Ogni azione di AI porta la sua origine, il suo contesto e il suo ragionamento, permettendoti di tracciare l'intera catena di decisioni se qualcosa va storto. more auditable Come abbiamo esplorato in precedenza, questi modelli diventano particolarmente potenti quando vengono applicati a complessi flussi di lavoro AI in cui gli agenti interagiscono con strumenti esterni, archivi di memoria e risorse sensibili. Preparazione per la Machine Identity Majority Le identità di macchina non stanno arrivando – sono già qui. Agenti di intelligenza artificiale, servizi automatizzati e flussi di lavoro autonomi non sono più processi di background – sono partecipanti attivi nella tua applicazione, prendendo decisioni, attivando azioni e consumando risorse. vastly outnumber human users Il vecchio modo di gestire l’identità – dividere gli esseri umani e le macchine in canali statici separati – semplicemente non crescerà in questa nuova realtà. e garantire . first-class citizens every action—human or machine—can be traced, authorized, and audited La buona notizia? Gli strumenti e i framework per fare questo esistono già. - Implementazione o di adottare , puoi iniziare a costruire sistemi oggi che sono pronti per la maggioranza dell'identità della macchina. ReBAC on-behalf-of delegation patterns real-time dynamic access control Se sei interessato a immergersi più in profondità in questo cambiamento, guarda la nostra serie completa sulle sfide di identità AI: Le sfide dell'IA generativa nella gestione dell'identità e dell'accesso (IAM) Dove possono andare? gestire le autorizzazioni AI The When – Dynamic AI Access Control per un timeline in cambiamento Le sfide dell'IA generativa nella gestione dell'identità e dell'accesso (IAM) Dove possono andare? gestire le autorizzazioni AI The When – Dynamic AI Access Control per un timeline in cambiamento Perché la domanda non è più Le identità di macchina domineranno i vostri sistemi - è se il vostro modello di accesso è pronto per loro quando lo fanno. Se Se avete domande, assicuratevi di unirvi al nostro , dove migliaia di sviluppatori stanno costruendo e implementando l'autorizzazione. Slack Comunità Slack Comunità
