Reimaginando a confiança zero no acesso evolutivo a aplicativos com a GenAI

Acesso tradicional a aplicativos:

Tradicionalmente, os aplicativos, sejam eles serviços SaaS ou aplicativos corporativos, são acessados por meio de APIs, como APIs RESTful e gRPC. Até mesmo o acesso baseado em navegador a esses aplicativos aproveita as APIs por meio de JavaScript. Normalmente, para cada recurso que o aplicativo expõe, há um endpoint de API correspondente com métodos HTTP para executar várias operações no recurso. Para ilustrar, vamos considerar um aplicativo simples de RH SaaS. Esse aplicativo gerencia vários recursos, como funcionários, departamentos e folha de pagamento. Aqui estão alguns dos principais recursos e seus respectivos endpoints de API:

• Funcionários: GET /api/employees – Recupera uma lista de todos os funcionários; POST /api/employees – Adiciona um novo funcionário; GET /api/employees/{id} – Recupera detalhes de um funcionário específico; PUT /api/employees/{id} – Atualiza detalhes de um funcionário específico; DELETE /api/employees/{id} – Remove um funcionário específico
• Departamentos: GET /api/departments – Recupera uma lista de todos os departamentos; POST /api/departments – Adiciona um novo departamento; GET /api/departments/{id} – Recupera detalhes de um departamento específico; PUT /api/departments/{id} – Atualiza detalhes de um departamento específico; DELETE /api/departments/{id} – Remove um departamento específico.
• Folha de pagamento: GET /api/payrolls – Recupera uma lista de todos os registros de folha de pagamento; POST /api/payrolls – Cria um novo registro de folha de pagamento; GET /api/payrolls/{id} – Recupera detalhes de um registro de folha de pagamento específico; PUT /api/payrolls/{id} – Atualiza detalhes de um registro de folha de pagamento específico; DELETE /api/payrolls/{id} – Remove um registro de folha de pagamento específico.

Neste exemplo, há três endpoints de API – funcionários, departamentos e folhas de pagamento.

Segurança Zero Trust

A segurança de confiança zero que utiliza as tecnologias SASE/SSE e service mesh opera com regras, em que cada regra fornece acesso específico ao contexto aos endpoints e métodos da API. O contexto inclui declarações JWT de usuários que acessam os recursos; contexto de rede a partir do qual o usuário está acessando os recursos do aplicativo; postura do dispositivo do endpoint a partir do qual o usuário está acessando os recursos do aplicativo; localizações geográficas do usuário; dias de acesso; horários de acesso; e outros fatores relevantes. Aqui estão alguns exemplos de regras que ilustram a Segurança Zero Trust para o aplicativo de RH:

1. Regra: Acesso aos dados dos funcionários – Os gerentes de RH que acessam a rede corporativa em dispositivos compatíveis podem recuperar listas de funcionários (GET: /api/employees) e detalhes de funcionários específicos (GET: /api/employees/{id}).
2. Regra: Gerenciamento de departamentos – Os administradores que acessam de qualquer rede em dispositivos compatíveis dentro do país nos dias úteis entre 9h e 18h podem adicionar (POST: /api/departments), atualizar (PUT: /api/departments/{id}) ou remover (DELETE: /api/departments/{id}) detalhes de departamentos.
3. Regra: Criação de registros de folha de pagamento – Os especialistas em folha de pagamento que acessam a VPN corporativa em dispositivos compatíveis dentro das instalações do escritório podem criar (POST: /api/payrolls), atualizar (PUT: /api/payrolls/{id}), recuperar detalhes de (GET: /api/payrolls/{id}) ou remover (DELETE: /api/payrolls/{id}) registros específicos de folha de pagamento.

Essas regras garantem que o acesso aos recursos seja concedido com base em uma combinação de identidade do usuário, contexto da rede, conformidade do dispositivo, local e restrições de tempo, concretizando os princípios da segurança Zero Trust.

Importância dos pontos de extremidade e métodos da API

Como o senhor vê, a granularidade dos endpoints de API permite controles de acesso granulares. Os pontos de extremidade da API refletem os recursos dos aplicativos, permitindo o gerenciamento preciso do acesso. Alguns aplicativos podem não usar endpoints de URL para cada recurso; em vez disso, podem usar cabeçalhos de solicitação HTTP para indicar o recurso que está sendo acessado e, em alguns casos, o próprio recurso é explicitamente mencionado como parte do corpo JSON da API. Em ambos os casos, as APIs servem como interfaces para os recursos e desempenham um papel fundamental na segurança. Elas permitem que entidades de segurança intermediárias, como proxies reversos, gateways de segurança de API e CASB/ZTNA de sistemas SASE/SSE, extraiam o recurso que está sendo gerenciado dos elementos do protocolo HTTP. Em seguida, esses sistemas aplicam regras específicas do contexto para determinar se a sessão HTTP deve continuar. Esse processo garante que cada solicitação seja avaliada em tempo real com base no contexto atual, reduzindo efetivamente os riscos e protegendo os dados confidenciais.

A GenAI está mudando a forma como os aplicativos são acessados

Os aplicativos SaaS e empresariais estão evoluindo para aceitar entradas de linguagem natural para o gerenciamento de recursos. Isso significa ter um único endpoint de API que possa interpretar e processar texto natural, áudio ou imagens para realizar operações em recursos. Por exemplo, um aplicativo de RH pode ter um endpoint de API no qual os usuários podem inserir sua intenção em linguagem natural. O aplicativo interpretaria essa intenção, executaria as operações necessárias internamente e retornaria os resultados. Se houver necessidade de mais clareza ou de mais informações, o sistema poderá solicitar mais informações ao usuário. Aqui estão alguns exemplos de prompts naturais que ilustram como várias operações podem ser realizadas:

• Natural Prompt: “Mostre-me a lista de todos os funcionários”
• Natural Prompt: “Give me the details of employee ID 123” 2. Department Management
• Natural Prompt: “Adicionar um novo departamento chamado ‘Marketing'”
• Natural Prompt: “Atualize o nome do departamento ID 456 para ‘Vendas'”
• Prompt natural: “Remover o departamento com ID 789” 3. Criação de registro de folha de pagamento:
• Natural Prompt: “Crie um registro de folha de pagamento para o funcionário ID 123”
• Natural Prompt: “Atualize o registro de folha de pagamento ID 456 com novos detalhes”
• Natural Prompt: “Mostre-me o registro da folha de pagamento para o ID 789”
• Prompt natural: “Delete the payroll record ID 101112”

Esses exemplos mostram que os prompts de linguagem natural podem substituir a necessidade de chamar diretamente as APIs em nível de recurso.

Evolução dos aplicativos

Antes de falar sobre os desafios de segurança, vamos ver algumas das formas como os aplicativos estão evoluindo.

Aplicativos tradicionais com suas próprias interfaces GenAI

Os aplicativos tradicionais com acesso baseado em linguagem natural estão transformando a forma como os usuários interagem com o software. Os aplicativos corporativos e de SaaS existentes ainda oferecem acesso tradicional à API em nível de recurso; no entanto, agora eles são aprimorados para oferecer suporte ao acesso baseado em IA generativa. Essa abordagem permite que os usuários gerenciem recursos por meio de prompts de linguagem natural, tornando as interações mais intuitivas e fáceis de usar. Esses aplicativos geralmente incluem suas próprias interfaces gráficas de usuário (GUIs) para bate-papo, o que permite que um grande contexto de memória relacione vários prompts relacionados. Isso significa que o software pode entender e lembrar o fluxo da conversa, fornecendo respostas mais precisas e relevantes às consultas do usuário. Ao integrar o processamento de linguagem natural, esses aplicativos podem decompor operações complexas em comandos simples de conversação. Por exemplo, em vez de inserir dados manualmente ou usar chamadas de API complexas, os usuários podem simplesmente dizer: “Criar um registro de folha de pagamento para o funcionário ID 123”, e o sistema entenderá e executará a solicitação sem problemas.

Os aplicativos tradicionais são ampliados com soluções de fornecedores estabelecidos de IA geradora

Em avanços recentes, os provedores de serviços de IA generativa, como o ChatGPT, estão aprimorando os aplicativos tradicionais ao incorporar recursos como chamadas de função e plugins. Essas atualizações permitem que os aplicativos existentes interajam perfeitamente com o ChatGPT e interfaces semelhantes. Essencialmente, os provedores de serviços GenAI capturam as solicitações do usuário por meio de suas interfaces, interpretam a intenção subjacente e identificam os plug-ins apropriados para atender a essas solicitações gerando e executando chamadas de API RESTful ou por meio de novas solicitações para sistemas de back-end. O resultado é então comunicado de volta ao usuário em linguagem natural, tornando o processo intuitivo e fácil de usar. Por exemplo, em vez de navegar por várias interfaces para realizar operações, os usuários podem permanecer no ambiente do ChatGPT e executar comandos por meio de uma interface de conversação simples. O ChatGPT, que já suporta mais de 800 plugins, permite que vários fornecedores de aplicativos SaaS registrem seus serviços como plugins. Essa integração significa que os usuários não precisam alternar entre guias ou sair da interface do ChatGPT para executar tarefas cobertas por esses plug-ins.

Agentes de IA e fluxos de trabalho agênticos

À medida que os aplicativos continuam a evoluir, os AI Agents com fluxos de trabalho agênticos estão surgindo como outra tendência transformadora. Esses agentes de IA são projetados para operar de forma autônoma, gerenciando tarefas e fluxos de trabalho em nome dos usuários com intervenção mínima. Ao aproveitar algoritmos avançados de aprendizado de máquina e modelos sofisticados de IA, esses agentes podem executar uma ampla variedade de tarefas, o que os torna indispensáveis nos ecossistemas de aplicativos modernos. Os agentes de IA se integram perfeitamente aos aplicativos existentes, aprimorando seus recursos por meio da automação de tarefas de rotina e da otimização de fluxos de trabalho. Por exemplo, em um aplicativo de atendimento ao cliente, um AI Agent pode lidar de forma autônoma com consultas comuns, processar solicitações e até mesmo escalar problemas complexos para agentes humanos quando necessário. Isso não apenas melhora a eficiência, mas também garante uma experiência de usuário consistente e de alta qualidade. Esses agentes são equipados com a capacidade de aprender com as interações, melhorando continuamente seu desempenho e adaptando-se às preferências do usuário. Isso significa que, com o tempo, os agentes de IA podem prever as necessidades do usuário e gerenciar as tarefas de forma proativa, simplificando ainda mais as operações e reduzindo a carga cognitiva dos usuários. Eles podem interagir com vários sistemas e aplicativos, criando um ambiente coeso e integrado em que os dados e as ações fluem sem problemas. Uma das principais vantagens dos agentes de IA é sua capacidade de operar dentro de restrições e objetivos definidos, geralmente chamados de fluxos de trabalho agênticos. Isso permite que eles executem tarefas de maneira orientada a metas, garantindo que as ações estejam alinhadas às prioridades definidas pelo usuário e aos objetivos organizacionais. Por exemplo, um agente de IA em uma ferramenta de gerenciamento de projetos pode atribuir tarefas de forma autônoma, acompanhar o progresso e fornecer atualizações com base nas metas e nos cronogramas do projeto. Os agentes de IA podem ajudar na coordenação e na comunicação entre diferentes aplicativos e serviços. Eles funcionam como intermediários que interpretam as solicitações de linguagem natural e as traduzem em ações executáveis em vários sistemas. Os agentes de IA usam modelos de raciocínio para criar planos que consistem em várias tarefas com base na intenção do usuário e, em seguida, executam essas tarefas comunicando-se com diferentes plug-ins e aplicativos. Esse recurso é particularmente vantajoso em ambientes em que os usuários precisam interagir com várias ferramentas e plataformas.

As implementações convencionais de segurança Zero Trust são inadequadas

Conforme descrito na seção “Segurança Zero Trust”, as implementações convencionais de segurança de rede zero trust pressupõem que todo o acesso aos aplicativos é feito por meio de APIs específicas de recursos e ações HTTP convencionais. As soluções CASB e ZTNA existentes se enquadram nessas implementações convencionais de segurança zero trust. Com o advento da GenAI e suas interações baseadas em linguagem natural, as implementações de segurança precisam evoluir. As APIs tradicionais e os corpos JSON/XML estão sendo complementados com entradas e saídas de linguagem natural, exigindo uma análise mais profunda para discernir a intenção e os resultados do usuário. As regras de segurança não podem mais depender apenas de endpoints de API e elementos de corpo específicos; agora, elas devem ser desenvolvidas com uma compreensão da intenção do usuário para aplicar controles de acesso granulares específicos de conteúdo e contexto. Por exemplo, imagine um usuário interagindo com um aplicativo de folha de pagamento via ChatGPT ou com sua própria interface de bate-papo. Em vez de uma chamada direta à API com parâmetros fixos, o usuário pode dizer: “Mostre-me os registros da folha de pagamento do último trimestre”. O sistema de segurança deve interpretar essa solicitação de linguagem natural e garantir que a solicitação e a resposta estejam de acordo com as políticas de segurança da empresa. Isso requer uma compreensão diferenciada do contexto da solicitação e das restrições de segurança específicas envolvidas. Portanto, a evolução dos modelos de segurança de confiança zero deve incluir mecanismos para analisar e entender as entradas de linguagem natural, garantindo que os controles de acesso permaneçam robustos e contextualmente relevantes na era da GenAI.