Rozhovory
Tarun Thakur, spoluzakladatel a CEO společnosti Veza – Interview Series
Tarun Thakur, spoluzakladatel a CEO společnosti Veza, je bývalý výkonný ředitel společností Data Domain, Veritas a IBM, s desetiletými zkušenostmi v oblasti budování infrastruktury pro podniky. Spoluzakládal Veza, aby řešil rostoucí krizi identity, se zaměřením na poskytování jasnosti a kontroly v komplexních hybridních a cloud-nativních architekturách.
Veza je platforma pro zabezpečení identity, vytvořená pro moderní, multi-cloudové prostředí, která umožňuje organizacím spravovat a vynucovat práva přístupu napříč aplikacemi, cloudovými platformami a systémy dat s nevyrovnatelnou viditelností a přesností. S více než 125 miliony dolarů ve financování – včetně 110 milionů dolarů ze série C vedené Accel s účastí Sequoia Capital, GV a Norwest Venture Partners – Veza slouží předním podnikům, jako jsou Blackstone, Autodesk, SoFi, Wynn Resorts a S&P Global, aby předešly porušením, zmírnily riziko insiderů a zajistily dodržování předpisů.
Máte úspěšně spoluzaložili několik podnikových infrastrukturních společností v průběhu let. Co vás inspirilo k založení Veza a jak vaše předchozí zkušenosti v Datu IO, Data Domain a IBM Research utvořily vaši vizi pro zabezpečení identity?
Každá společnost, kterou jsem založil, řešila základní slepou skvrnu v podnikové infrastruktuře – ochranu dat, odolnost, škálovatelnost. Ale identita byla vždy chybějícím článkem. V Datu IO jsme pomáhali chránit kritická data v cloud-nativních aplikacích, ale neustále jsme narazili na hlubší problém: nevěděli jsme, kdo měl přístup k jakým datům, nebo proč. To je systémové selhání – ne úložiště nebo výpočetní kapacity – ale správa přístupu.
Založil jsem Veza, protože jsem viděl budoucnost, ve které identita bude primární útočnou plochou. A žijeme v té budoucnosti nyní. Průmysl strávil 20 let tím, že se tvářil, jako by IAM byl problémem, který lze označit za vyřešený. Není to tak. Je to kontinuální řídicí rovina. Je to místo, kde se bezpečnost, dodržování předpisů a produktivita semua setkávají. Naší misí je učinit přístup nejen viditelným, ale i akčním.
Pouze se podívejte na akvizici CyberArk společností Palo Alto. Je to nejjasnější signál průmyslu, že identita není funkcí back-office – je to nyní jádro bezpečnostní strategie podniku. Ale i s touto dohodou je trh stále chybí to, co moderní podniky potřebují nejvíce: reálnou viditelnost do toho, co identita může dělat, napříč každou aplikací, systémem a datovým souborem. To je mezera, kterou Veza vyplňuje.
Vstupujeme do nové éry, ve které jsou agenti AI nejsou jen nástroje, ale aktéři – autonomně přistupují k systémům, datům a aplikacím. Jak tato změna vybízí tradiční paradigma identity a správy přístupu (IAM)?
IAM byl navržen pro lidi. Agent AI úplně rozbité tento model. Tyto jsou autonomní entity, které činí rozhodnutí, generují výstup, řetězové pracovní postupy, spouštějí přístup downstream – rychlostí strojů. Přesto většina nástrojů IAM stále klade otázku: “Do které skupiny patří tato identita?” To je směšné.
Paradigmatická změna je tato: přístup již není poskytován ručně – je to vznikající, dynamické a kontextové. Nemůžete ho spravovat statickými rolemi a zastaralými oprávněními. Potřebujete inteligenci přístupu v reálném čase. Potřebujete systémy, které rozumí tomu, co může agent AI dělat napříč každým systémem – ne pouze to, co je “povoleno” dělat teoreticky.
Veza je otevřeně mluvil o rostoucím riziku ne-lidských identit – agentů AI, servisních účtů, botů. Jak rozlišujete mezi legitimní automatizací a rizikovou nadměrnou autorizací v dynamických prostředích, jako je DevOps nebo finance?
To je otázka za 10 miliard dolarů. Většina organizací nemůže ani inventarizovat své ne-lidské identity, natož je spravovat. Veza otočí model: nezačínáme s identitou – začínáme s akcí. Kdo nebo co může číst tento S3 bucket? Kdo může mazat řádky v tomto produkčním databázi?
V DevOps nebo financích je automatizace nezbytná. Ale tak je i omezení. Potřebujete jemnou viditelnost do toho, co tyto identity mohou dělat právě teď, ne to, co some IAM lístek řekl před šesti měsíci. A potřebujete být schopni to okamžitě ukončit, když se tento přístup stane toxickým. To je superpower Veza.
Jako podniky integrují AI do kritických pracovních postupů, reálné vynucování přístupu s minimálními právy se stává nezbytným. Můžete nás provést, jak Veza umožňuje tuto úroveň jemnosti napříč hybridními a multi-cloudovými infrastrukturami?
Jemnost bez automatizace je zbytečná. Veza se připojuje přímo k řídicí rovině – ať už je to AWS, Salesforce, Snowflake nebo SAP – a buduje graf každé oprávnění, každé role, každé akce dostupné identitě. Lidské nebo strojové. On-prem nebo cloud. Je to jedna sjednocená tkanina přístupu.
Pak vrstvíme do podnikového kontextu – kdo vlastní aplikaci, kdy byla naposledy použita, zda je součástí kritického procesu. To umožňuje vytvořit zásady, jako je: “Žádný agent GenAI nemůže přistupovat k PII, pokud není výslovně schválen a protokolován.” A pokud něco poruší tuto pravidlo, Veza může upozornit, zrušit nebo napravit v reálném čase. To je způsob, jak vynucovat minimální práva ve velkém měřítku.
Popisujete Veza jako poskytovatele “inteligence přístupu”. Co to znamená v praktickém smyslu a jak se liší od tradičních řešení přístupového řízení nebo platform pro správu identity?
Inteligence přístupu znamená vědět, v každém okamžiku, co může každá identita – lidská nebo ne-lidská – dělat, kde a proč. Tradiční nástroje říkají, co uživatel obdržel. My říkáme, co mohou skutečně dělat právě teď, a zda je to bezpečné.
Nástroje IGA provádějí správu na čtvrtletní bázi. Veza provádí správu kontinuálně. Nástroje PAM se zaměřují na malou podmnožinu privilegovaných účtů. My pokrýváme každou identitu, každou aplikaci, každé oprávnění. A děláme to s kontextem, abychom mohli učinit inteligentní rozhodnutí – ne pouze hluk v protokolu.
Pohled na budoucnost Agentic AI, jak by se měly bezpečnostní architektury vyvíjet, aby držely krok? Jaké schopnosti musí organizace začít investovat dnes, aby se vyhnuly selháním dodržování předpisů nebo vnitřním porušením zabezpečení zítřka?
Týmy bezpečnosti musí přestat myslet v termínech uživatelů a začít myslet v termínech akcí. Agenti AI se nezapisují a neodhlašují. Nevyplňují žádanky o přístup. Spouští se, jednají a mizí.
Potřebujete architektury, které jsou přístupem vědomé, v reálném čase a sousedící s řídicí rovinou. To znamená:
- Kontinuální monitorování oprávnění
- Založení chování AI
- Autonomní zrušení přístupu
- Neporušitelná auditovatelnost napříč všemi interakcemi AI
To není volitelné. Každý agent AI je potenciální vnitřní hrozba – a rámce dodržování předpisů se rychle blíží. Pokud nemůžete vysvětlit, kdo udělal co a proč, budete selhávat audity, ztrácet důvěru nebo hůř.
Veza počítá majoritní značky, jako jsou Autodesk, Blackstone a S&P Global, mezi svými zákazníky. Jaké jsou běžné vzorce nebo chyby, které vidíte, i v nejzralejších organizacích, pokud jde o správu identity?
Nejčastější chyba? Předpokládá se, že někdo jiný to vlastní. IAM je často osiřelý mezi bezpečností, IT, dodržováním předpisů a inženýrstvím. To zabíjí odpovědnost.
Další problém je role šíření – zejména v zavedených organizacích. V průběhu času nikdo neodstraňuje přístup, protože je to riskantní. Místo minimálních práv tak dostanete maximální expozici.
A konečně, většina organizací si myslí, že kontroly přístupu jsou kontrolou. Není to tak. Jsou to náplast. Skutečná kontrola spočívá v tom, že se zabrání toxickému přístupu již na začátku. Veza pomáhá týmům přesunout se z detektivní na preventivní.
Společnost získala více než 125 milionů dolarů s podporou Accel, Sequoia a GV. Co říká tato úroveň investiční podpory o naléhavosti řešení identity v éře AI – a jak plánujete využít tento impuls k rozšíření dopadu Veza?
To říká, že řešíme generační problém – a děláme to přesně ve správný čas. Identita je nyní přední dveře, firewall a nejslabší článek najednou. A AI právě otevřel tuto dveře dokořán.
Naši investoři rozumí, že Veza není jen další nástroj IAM. Budujeme řídicí rovinu pro přístup v éře AI. Používáme tento impuls k urychlení expanze platformy, prohloubení našich ekosystémových integrací a globálnímu rozšíření – zejména v regulovaných sektorech, jako jsou finanční služby, zdravotnictví a vláda.
Máte 18 patentů v oblasti zabezpečení dat, úložiště a správy. Existují nějaké oblasti inovace uvnitř Veza, které podle vás stanoví nové standardy pro to, jak průmysl přistupuje k správě přístupu v průběhu příštích deseti let?
Ano – dvě zvláště.
První, náš Access Graph: je to univerzální model, který mapuje identity na oprávnění na akce napříč každým systémem, v reálném čase. To je základní pro minimální práva, správu AI a detekci vnitřních hrozeb.
Druhý, autonomní náprava. Investujeme značně do samoopravitelných prostředí přístupu – kde jsou porušování detekována, kontextualizována a napravena bez lidského zásahu. To je způsob, jak spravovat AI s AI.
V průběhu příštích deseti let se správa přístupu posune z reaktivní na autonomní. Veza bude motorem, který pohání tuto změnu.
Nakonec, jste řekl “talent nemá hranice”. Jakou radu byste dal technickým zakladatelům nebo inženýrům, kteří budují next-generační bezpečnostní nebo AI infrastrukturní společnosti dnes?
Budujte pro hraniční případy, ne pro šťastnou cestu. Budoucnost je zmatečná – multi-cloud, multi-agent, multi-polar. Vaše architektura musí předpokládat chaos.
Druhý, nebuďte afraid vyzyvat posvátné krávy. Průmysl zabezpečení je plný legacy předpokladů – “pouze včas přístup je dostatečný”, “lidé jsou problémem”, “audit znamená Excel”. Zlomte tyto modely.
Konečně, najímejte lidi, kteří jsou posedlí prvními principy. Nástroje se mění. Paradigmata se mění. Ale jasnost myšlení a mise vyhrává vždy.
A ano – talent nemá hranice. Budujte globálně, budujte rozmanitě a budujte pro dopad.
Děkuji za skvělý rozhovor, čtenáři, kteří chtějí se dozvědět více, by měli navštívit Veza.
