لقد اعتدنا على التفكير في تأمين الأنظمة الأساسية للبرامج كخدمة (SaaS) والسحابة كوحشين منفصلين. ينبع هذا الفصل من الطريقة التي ظهرت بها SaaS والسحابة العامة لأول مرة كحلول نقاط صغيرة وامتداد لمركز البيانات التقليدي، على التوالي. اليوم، وبسبب ظهور الكود المنخفض، أصبح هذا الفصل خاطئًا، ويمنعنا من رؤية ما هو صحيح أمام أعيننا. الكود المنخفض يجعل منصات SaaS جزءًا من السحابة العامة، وهو المكان الذي يقوم فيه المطورون ببناء تطبيقات متعددة بدلاً من استهلاك تطبيق واحد: منصة سحابية.
يؤدي الفشل في تغيير عقليتنا إلى ما نحن عليه اليوم، مع ترك هذه التطبيقات متاحة دون رؤية أمنية. ومما يزيد الطين بلة، أن التطبيقات ذات التعليمات البرمجية المنخفضة يتم تضمينها مباشرة في منصات مثل Salesforce وMicrosoft Dynamics، والتي نستخدمها جميعًا والتي تحتوي على بيانات أعمالنا الأكثر حساسية.
كيف وصلنا إلى هنا؟
قصص الأصل مثيرة للاهتمام دائمًا لأنها تشرح شيئًا أساسيًا حول الطريقة التي ننظر بها إلى بطل القصة. بينما بدأت SaaS كامتداد لشبكة الشركة، بدأت السحابة العامة كامتداد لمركز البيانات. تشرح نقاط البداية المختلفة هذه سبب بدء تأمين SaaS باستخدام تكنولوجيا معلومات الظل (حماية المحيط) وبدء تأمين السحابة العامة بحماية عبء العمل (خوادم الرفع والتحويل ووكلاء الشبكة/المضيفين). وهذا يعني أيضًا أنه تم تكليف فرق أمنية مختلفة بتأمين SaaS والسحابة، مما أدى بالطبع إلى فصل الأدوات، ونماذج مختلفة للتهديدات، والأهم من ذلك، تشكيل عقليات أمنية مختلفة.
لقد تطورت كل من SaaS والسحابة العامة بشكل كبير منذ تلك الأيام الأولى. قدم موردو السحابة العامة نماذج حوسبة أكثر تفصيلاً، حيث قدموا تدريجيًا البنية التحتية كخدمة (IaaS)، والنظام الأساسي كخدمة (PaaS)، والنظام بدون خادم لمساعدة المطورين على التركيز على مشكلة الأعمال المطروحة. كما قاموا أيضًا ببناء نظام بيئي كامل من الحلول الجاهزة للمشاكل المعقدة ولكن الشائعة - الهوية، والأذونات، والتسجيل، والتكوين، والنشر، على سبيل المثال لا الحصر.
يستخدم SaaS للإشارة إلى حل نقطي لمشكلة معينة. بدأت شركة Salesforce كإدارة علاقات العملاء (CRM)، وServiceNow كنظام للتذاكر، وOffice365 كبريد إلكتروني وجداول بيانات ومستندات وشرائح. (على الرغم من أن هذا يمثل أكثر من حل واحد، إلا أن هذه الحلول محددة للغاية.) قارن ذلك بما هو عليه اليوم: يقوم مطورو Salesforce بإنشاء تطبيقات لـ فقط عن أي احتياجات العمل أعلى منصة Salesforce، توجد تطبيقات ServiceNow ذات التعليمات البرمجية المنخفضة التعامل مع أي شيء تقريبًا من الموارد البشرية إلى العمليات الصحية والمالية، ويتم استخدام Power Platform، وهو نظام Microsoft الأساسي منخفض التعليمات البرمجية المضمن في Office365، من قبل أكثر من 20 مليون مستخدم عبر الصناعة لحل كل احتياجات العمل، بدءًا من الإنتاجية وحتى المشتريات والعمليات المتعلقة بفيروس كورونا.
ومن الواضح أن هذه أصبحت منصات لتطوير التطبيقات على مستوى المؤسسات، وليست حلولاً محددة لمشاكل عمل محددة. يختار العديد من المطورين اليوم إنشاء تطبيقاتهم على التجريدات المقدمة من النظام الأساسي، سواء كانت تلك وظائف بدون خادم على السحابة العامة أو كتل بناء قابلة للتوسيع على منصات SaaS منخفضة التعليمات البرمجية.
مقدمة لمطوري الأعمال
إن مقارنة كيفية بدء منصات SaaS وأين وصلت الآن توضح بوضوح مدى تقدمها عن إصداراتها السابقة. ولكن لا يزال هناك تحول كبير لم نذكره بعد: وهو إدخال مطوري الأعمال.
تستمد منصات SaaS ذات التعليمات البرمجية المنخفضة قوتها من البيانات التي تحتفظ بها ومن مستخدميها الحاليين. كلاهما لا يقتصران على تكنولوجيا المعلومات بل ينحرفان بشدة نحو الأعمال التجارية. إن الوصول إلى كل من بيانات الأعمال ومستخدمي الأعمال يعني أن SaaS في وضع مثالي لمعالجة المشكلة الأكثر إلحاحًا التي تواجهها العديد من المؤسسات اليوم - التحول الرقمي.
مع النقص العالمي في المطورين وصعوبة تبسيط العمليات التجارية مع العديد من أصحاب المصلحة، تقدم المنصات ذات التعليمات البرمجية المنخفضة اختصارًا، مما يسمح لمستخدمي الأعمال بتبسيط عملياتهم بأنفسهم دون انتظار تكنولوجيا المعلومات.
تنتشر البرمجة المنخفضة بين مستخدمي الأعمال، لدرجة أنه في كلمته الرئيسية في Inspire لعام 2019، قال الرئيس التنفيذي لشركة Microsoft، ساتيا ناديلا ناقش الفرصة من التعليمات البرمجية المنخفضة لتمكين الأشخاص وإنشاء وظائف إدارية جديدة تمامًا كما فعل Excel.
تمامًا كما أن السحابة العامة عبارة عن منصة لتطوير التطبيقات تمكن المطورين من التركيز على منطق أعمالهم، أصبحت منصات SaaS منصات لتطوير التطبيقات تستخدم تعليمات برمجية منخفضة لتمكين مستخدمي الأعمال من أن يصبحوا مطورين وتلبية أي احتياجات عمل.
تركز SaaS الآن على أنواع جديدة من المطورين الذين يتعاملون مع مجموعة كاملة من احتياجات الأعمال غير الملباة من خلال تطبيقات مخصصة، مما يؤدي إلى إنشاء نوع جديد من السحابة: سحابة الأعمال.
تأمين التعليمات البرمجية المنخفضة كامتداد للسحابة
مع إدراك أن بعض منصات SaaS أصبحت الآن منصات لتطوير التطبيقات وامتدادًا للسحابة، يجب علينا إعادة النظر في المسؤوليات لتأمين تلك التطبيقات ووضعها تحت مظلة الفريق الأمني.
يجب أن نتعامل مع منصات مثل Salesforce وServiceNow وOffice365 بنفس الطريقة التي نتعامل بها مع AWS وAzure وGCP، حيث نركز على التطبيقات التي تم إنشاؤها واستضافتها في منصات تطوير التطبيقات هذه بدلاً من التعامل مع النظام الأساسي بأكمله كتطبيق واحد .
على سبيل المثال، لا تزال تقنية Shadow IT تمثل مشكلة مع العدد الأصغر والمتزايد من SaaS لحلول النقاط. ولكن ليس من المنطقي التعامل مع أي منصة واحدة مذكورة أعلاه كتطبيق واحد لاكتشافه وفهرسته. وبدلاً من ذلك، يجب علينا اكتشاف وفهرسة التطبيقات التي تم إنشاؤها باستخدام تلك المنصات، وهناك عشرات الآلاف منها. في معظم المؤسسات، يتم إخفاء هذا التعقيد الهائل خلف سطر واحد في قائمة جرد التطبيقات.
يجب أن تكون التطبيقات المبنية باستخدام منصات SaaS ذات التعليمات البرمجية المنخفضة فحص بنفس الدقة الأمنية التي نستخدمها لتلك التطبيقات المبنية على السحابة، لأنه في نهاية المطاف، التطبيق هو تطبيق، بغض النظر عن مكان إنشائه واستضافته.
ما يهم بالنسبة لأمن تطبيقات الأعمال لدينا هو الأشخاص والعمليات والأدوات المشاركة في إنشاء هذه التطبيقات وصيانتها وحمايتها. بالنسبة للتطبيقات المضمنة في السحابة، لدينا مطورون محترفون وعمليات CI/CD آلية وأدوات أمان متنوعة بدءًا من مسح التعليمات البرمجية والتحليل الديناميكي وحتى مراقبة وقت التشغيل والوقاية. بالنسبة للتطبيقات المبنية على منصات SaaS ذات التعليمات البرمجية المنخفضة، لدينا بعض المطورين المحترفين ولكن أيضًا مستخدمي الأعمال ليس خبيرا أمنيا، مع عدد قليل من عمليات النشر أو عدم وجودها ولا توجد ضوابط أو ضمانات أمنية.
إن التفكير في الأنظمة الأساسية منخفضة التعليمات البرمجية كجزء من SaaS يجعل من الصعب علينا أن نرى ذلك ضخم جزء من تطبيقات أعمالنا يتم بناؤها الآن بواسطة الشركة، خارج نطاق تكنولوجيا المعلومات وخارج نطاق السيطرة الأمنية. للبدء في رؤية المشكلة ومعرفة النهج الذي نتبعه في حلها، يجب علينا تغيير عقليتنا للاعتراف بالمنصات منخفضة التعليمات البرمجية كجزء من السحابة والتعامل مع التطبيقات الموجودة على تلك الأنظمة الأساسية كما نفعل مع أي تطبيق آخر.
