Veza 联合创始人兼首席执行官 Tarun Thakur 访谈系列

塔伦·塔库尔Veza 联合创始人兼首席执行官，曾任 Data Domain、Veritas 和 IBM 高管，拥有数十年企业基础设施公司建设经验。他与他人共同创立了 Veza，旨在应对日益严重的身份扩张危机，专注于在复杂的混合云和云原生架构中提供清晰的架构和控制力。

维扎 Veza 是一个专为现代多云环境构建的身份安全平台，使企业能够以无与伦比的可视性和精确度，跨应用程序、云平台和数据系统管理和执行访问权限。Veza 已获得超过 125 亿美元的融资，其中包括由 Accel 领投的 110 亿美元 C 轮融资，红杉资本、GV 和 Norwest Venture Partners 也参与其中。Veza 为黑石、Autodesk、SoFi、永利度假村和标普全球等领先企业提供服务，帮助他们预防违规行为、降低内部风险并确保合规。

多年来，您成功地与他人共同创立了多家企业基础设施公司。是什么促使您创立 Veza？您在 Datos IO、Data Domain 和 IBM 研究院的经历如何塑造了您对身份优先安全的愿景？

我创办的每一家公司都曾解决过企业基础设施中的一个基础盲点——数据保护、弹性和规模。但身份识别始终是缺失的一环。在 Datos IO，我们帮助保护云原生应用中的关键数据，但我们不断遇到一个更深层次的问题：我们不知道谁有权访问哪些数据，也不知道为什么。这是一个系统性的故障——不是存储或计算的故障，而是访问治理的故障。

我创立 Veza 是因为我预见到了身份将成为主要攻击面的未来。而我们现在就生活在这样的未来中。20 年来，业界一直将身份访问管理 (IAM) 视为一个复选框问题。事实并非如此。它是一个持续的控制平面。它是安全性、合规性和生产力相互交融的平台。我们的使命是让访问不仅可见，更可操作。

看看Palo Alto收购CyberArk就知道了。这是业界迄今为止最清晰的信号：身份识别并非后台功能——它如今已成为企业安全战略的核心。但即使达成了这笔交易，市场仍然缺少现代企业最需要的东西：实时了解身份识别在所有应用、系统和数据集中的作用。而Veza填补了这一空白。

我们正在进入一个新时代，人工智能代理不仅仅是工具，更是行动者——能够自主访问系统、数据和应用程序。这种转变将如何挑战传统的身份和访问管理 (IAM) 范式？

IAM 是为人类设计的。Agentic AI 彻底打破了这一模式。这些自主实体能够以机器速度做出决策、生成输出、链接工作流、触发下游访问。然而，大多数 IAM 工具仍然会询问：“这个身份属于哪个组？” 这真是可笑。

范式转变在于：访问权限不再是手动配置的——而是突发的、动态的、与情境相关的。你无法用静态角色和过时的权限来管理它。你需要实时访问智能。你需要的系统能够理解人工智能代理在每个系统中可以做什么——而不仅仅是理论上“允许”它做什么。

Veza 一直直言不讳地指出，非人类身份（例如 AI 代理、服务账户和机器人）的风险正在上升。在 DevOps 或金融等动态环境中，如何区分合法的自动化和存在风险的过度权限？

这是一个价值 10 亿美元的问题。大多数组织甚至无法清点其非人类身份，更不用说管理它们了。Veza 颠覆了这一模式：我们不是从身份开始，而是从行动开始。谁或什么可以读取这个 S3 存储桶？谁可以删除这个生产数据库中的行？

在 DevOps 或金融领域，自动化至关重要。但约束也同样重要。您需要对这些身份当前可以执行的操作有细致的可视性，而不是仅仅停留在六个月前某个 IAM 工单上的内容。并且，当这些访问权限变得有害时，您需要能够立即关闭它。这就是 Veza 的超能力。

随着企业将人工智能融入关键工作流程，实时执行最低权限访问变得至关重要。您能否介绍一下 Veza 如何在混合云和多云基础架构中实现这种精细程度？

没有自动化的粒度是无用的。Veza 直接连接到控制平面（无论是 AWS、Salesforce、Snowflake 还是 SAP），并构建一个包含每个身份可用的每个权限、每个角色和每个操作的图表。无论是人工还是机器，无论是本地部署还是云端。它是一个统一的访问架构。

然后，我们会将业务背景信息分层，例如谁拥有该应用程序，上次使用时间是什么时候，它是否属于关键流程。这样您就可以创建类似这样的策略：“除非获得明确批准和记录，否则任何 GenAI 代理都不能访问 PII。” 如果有违反该规则的行为，Veza 可以实时发出警报、撤销或补救。这就是您大规模实施最小权限的方法。

您曾将 Veza 描述为提供“访问智能”。从实际角度来看，这意味着什么？它与传统的访问控制解决方案或身份治理平台有何不同？

访问情报意味着随时了解每个身份（无论人类还是非人类）可以做什么、在哪里做以及为什么这样做。传统工具会告诉您用户被赋予了什么权限。我们会告诉您他们现在实际上可以做什么，以及这些操作是否安全。

IGA 工具按季度进行治理。Veza 持续进行治理。PAM 工具专注于一小部分特权帐户。我们覆盖所有身份、所有应用和所有权限。我们会根据具体情况做出明智的决策，而不仅仅是记录噪音。

展望 Agentic AI 的未来，安全架构应如何发展才能跟上时代步伐？企业现在必须投资哪些功能，才能避免未来出现合规性问题或内部漏洞？

安全团队必须停止以用户为中心思考，转而以行动为中心思考。AI代理无需打卡上下班，也无需填写访问申请表。它们启动、行动，然后消失。

您需要具备访问感知、实时性以及控制平面邻接性的架构。这意味着：

• 持续权限监控
• AI行为基准测试
• 自主访问撤销
• 所有 AI 交互的防篡改可审计性

这并非可有可无。每个AI代理都可能构成潜在的内部威胁——合规框架正在快速跟进。如果你无法解释谁做了什么以及为什么，你就会无法通过审计、失去信任，甚至面临更糟的情况。

Veza 的客户包括 Autodesk、Blackstone 和 S&P Global 等知名品牌。您认为即使是最成熟的组织，在身份治理方面也存在哪些常见的模式或错误？

最常见的错误是什么？想当然地认为其他人拥有它。IAM 常常被孤立在安全、IT、合规和工程之间。这种碎片化会扼杀问责制。

另一个问题是角色蔓延——尤其是在成熟的组织中。随着时间的推移，没有人会因为风险而取消访问权限。因此，你获得的不是最小权限，而是最大权限。

最后，大多数组织认为访问审查是一种控制手段。其实不然，它只是权宜之计。真正的控制手段是从一开始就阻止有害访问。Veza 可以帮助团队从侦查型转向预防型。

公司有 超过$ 125万美元 得到了 Accel、Sequoia 和 GV 的支持。如此规模的投资者支持是否说明在人工智能时代解决身份识别问题的紧迫性？您计划如何利用这一势头来扩大 Veza 的影响力？

这说明我们正在解决一个代际问题——而且我们做的恰逢其时。身份如今既是前门，又是防火墙，同时也是最薄弱的环节。而人工智能恰好将这扇门踢开了。

我们的投资者深知，Veza 不仅仅是一个 IAM 工具。我们正在构建 AI 时代的访问控制平面。我们将借此势头加速平台扩展，深化生态系统整合，并在全球范围内拓展业务，尤其是在金融服务、医疗保健和政府等受监管的领域。

您在数据安全、存储和管理领域拥有18项专利。您认为Veza内部有哪些创新领域将为未来十年行业访问治理树立新的标准？

是的——特别是两个。

首先是我们的访问图谱：它是一个通用模型，能够实时地将身份、权限和操作映射到任何系统中。这是最小权限、AI 治理和内部威胁检测的基础。

第二，自主修复。我们正在大力投资可自我修复的访问环境——在这种环境中，违规行为无需人工干预即可被检测、分析并纠正。这就是用人工智能治理人工智能的方式。

未来十年，访问治理将从被动响应转向自主管理。Veza 将成为推动这一转变的引擎。

最后，您说过“人才无国界”。对于正在打造下一代安全或人工智能基础设施公司的技术创始人或工程师，您有什么建议？

为边缘情况构建，而非追求完美路径。未来充满混乱——多云、多代理、多极化。你的架构必须假设混乱。

其次，不要害怕挑战那些神圣不可侵犯的规则。安全行业充斥着各种陈旧的假设——“即时访问就足够了”、“人为因素是问题所在”、“审计意味着卓越”。打破这些模式。

最后，要聘用那些执着于第一性原理的人。工具会变，范式会转变。但清晰的思路和使命始终是关键。

是的，人才无国界。打造全球化、多元化、创造影响力。

感谢您的精彩采访，想要了解更多信息的读者可以访问 维扎.