In passato, i modelli di sicurezza tradizionali presupponevano perimetri chiari e dati centralizzati, ma il panorama attuale è molto più complesso. I carichi di lavoro di dati e AI ora operano su cloud, on premise e ambienti edge, creando nuove superfici di attacco per le minacce alla sicurezza informatica.
Zero trust è da anni un approccio fondamentale alla sicurezza informatica e sta diventando sempre più importante per un livello di sicurezza resiliente e a prova di futuro. Quindi, come possono le organizzazioni continuare a implementarlo nella nuova generazione di tecnologie aziendali?
Cos'è Zero Trust nell'era dell'IA?
Zero trust è un approccio di sicurezza comprovato che presuppone che nessun utente o dispositivo sia automaticamente affidabile, nemmeno all'interno della tua rete. Mentre la sicurezza basata sul perimetro presuppone che utenti e dispositivi siano sicuri una volta all'interno della rete, zero trust considera tutte le richieste di accesso potenzialmente rischiose e devono quindi essere continuamente convalidate. Nella pratica, ciò significa che anche se un utente è connesso al Wi-Fi della propria azienda, avrà comunque bisogno dell'autenticazione multi-fattore per ogni richiesta di accesso, e anche in quel caso può accedere solo a sistemi specifici e necessari.
Lo slogan più comunemente associato all'architettura zero-trust è "fidarsi mai, verificare sempre", e, sebbene ciò si applichi ancora nell'era dell'AI, l'ambito di ciò che include si è esteso oltre utenti, dispositivi e reti per includere anche modelli, pipeline e ambienti. Ora, lo zero trust deve estendersi all'intero ciclo di vita dell'AI, dall'accesso e utilizzo di dati e modelli ai flussi di inferenza e ai carichi di lavoro interambientali.
Applicare il principio zero trust alle piattaforme di dati e AI
Verificare tutti gli accessi ai dati e applicare la governance durante tutto il ciclo di vita dell’AI
Le aziende devono implementare controlli di accesso basati sull'identità e sensibili al contesto in tutti i loro dati. Ogni volta che si accede ai dati, è fondamentale che queste interazioni siano correttamente autenticate, autorizzate e verificabili per garantire sicurezza e affidabilità.
Questo diventa ancora più importante poiché i sistemi AI dipendono dal 100% dei dati aziendali per generare risultati accurati e affidabili. Senza una governance coerente, lacune nel controllo degli accessi possono portare a modelli distorti, perdite di dati o rischi normativi. L'opportunità è quella di applicare questi controlli in modo uniforme negli ambienti ibridi e multi-cloud.
Il modello zero trust è fondamentale anche per rafforzare la propria strategia di sicurezza. Quando implementato con una corretta governance, zero trust consente una condivisione efficace dei dati all'interno dell'organizzazione. Questo approccio è doppiamente vantaggioso: mantiene i dati al sicuro garantendo al contempo che chi ne ha bisogno possa accedervi. Le organizzazioni hanno bisogno di una piattaforma che offra un approccio coerente, simile al cloud, alla sicurezza e alla governance su tutti i dati, ovunque si trovi.
Modelli sicuri e inferenza come asset di prima classe
Pensa ai modelli come informazioni sensibili. Le richieste inserite dai dipendenti spesso contengono contesto aziendale proprietario, e gli output generati dai modelli possono esporre informazioni e decisioni confidenziali o classificate. Di fatto, i modelli diventano sia consumatori che produttori di dati sensibili.
Ecco perché i principi zero trust devono andare oltre i dati includendo modelli, prompt e endpoint di inferenza. Mantenere gli asset di AI all'interno dei confini aziendali affidabili è fondamentale. Ciò significa applicare controlli di accesso granulari, in modo che solo gli utenti e i sistemi autorizzati possano interagire con modelli o set di dati specifici. Richiede anche versioning e lineage, garantendo che le organizzazioni possano monitorare come sono stati addestrati i modelli, quali dati sono stati utilizzati e come vengono generati i risultati, essenziale per il controllo e la conformità.
Operare in modo coerente in ambienti ibridi e multi-cloud
La frammentazione in qualsiasi parte dell'azienda comporta rischi, e le strategie zero-trust non fanno eccezione. Poiché agenti e modelli creano nuove superfici di attacco, le organizzazioni devono essere più consapevoli dei punti ciechi causati da politiche di sicurezza e di governance applicate in modo incoerente, che possono essere sfruttate e portare a problemi operativi. Il livello di forza della sicurezza è pari a quello del suo punto più debole.
Per essere efficace, zero trust deve essere uniforme e portatile. I controlli di accesso, le politiche di governance e gli standard di monitoraggio devono seguire i dati, i modelli e i carichi di lavoro per garantire che ogni interazione sia coerentemente governata, sia in un ambiente cloud pubblico sia all'interno di un data center.
Le organizzazioni hanno bisogno di un approccio unificato che elimini le lacune nelle politiche e offra un'esperienza coerente, simile al cloud, su tutti i dati ovunque. Quando sicurezza e governance vengono applicate allo stesso modo ovunque, i team riducono la complessità e possono muoversi più velocemente con fiducia. Il risultato è una minore frammentazione e una base più solida per scalare l'AI in tutta l'azienda, senza sacrificare il controllo o la fiducia.
Il futuro di Zero Trust
Un approccio a piattaforma unificata rende possibile costruire una piattaforma che unifica dati, analisi e AI da zero. In un unico quadro coerente, le organizzazioni possono eliminare la frammentazione, ridurre i rischi e applicare i principi zero trust in modo uniforme in ambienti cloud, on premise e ibridi. Con la piattaforma adeguata, le organizzazioni possono portare con sicurezza l'IA ai propri dati ovunque si trovino, sbloccando valore, mantenendo al contempo il controllo sulla conformità e l'affidabilità che le aziende moderne richiedono.
Scopri di più sull'approccio di Cloudera alla sicurezza e alla conformità qui.
