Wir sind es gewohnt, die Sicherung von Software-as-a-Service-Plattformen (SaaS) und der Cloud als zwei getrennte Wesen zu betrachten. Diese Trennung ergibt sich aus der Art und Weise, wie SaaS und die Public Cloud zunächst als kleine Punktlösungen bzw. als Erweiterung des traditionellen Rechenzentrums entstanden. Aufgrund des Aufkommens von Low Code ist diese Trennung heute falsch und hält uns davon ab, zu sehen, was sich direkt vor unseren Augen abspielt. Low Code macht SaaS-Plattformen zu einem Teil der öffentlichen Cloud, einem Ort, an dem Entwickler mehrere Anwendungen erstellen, anstatt eine einzige zu nutzen: eine Cloud-Plattform.
Wenn es uns nicht gelingt, unsere Denkweise zu ändern, führt dies dazu, dass wir heute dort sind, wo diese Anwendungen ohne Sicherheitstransparenz auf der Strecke bleiben. Und was die Sache noch schlimmer macht: Low-Code-Anwendungen sind direkt in Plattformen wie Salesforce und Microsoft Dynamics eingebettet, die wir alle nutzen und die unsere sensibelsten Geschäftsdaten speichern.
Wie sind wir hierher gekommen?
Ursprungsgeschichten sind immer interessant, weil sie etwas Grundlegendes darüber erklären, wie wir den Helden der Geschichte wahrnehmen. Während SaaS als Erweiterung des Unternehmensnetzwerks begann, begann die Public Cloud als Erweiterung des Rechenzentrums. Diese sehr unterschiedlichen Ausgangspunkte erklären, warum die Sicherung von SaaS mit der Schatten-IT (Schutz des Perimeters) begann und die Sicherung der öffentlichen Cloud mit dem Workload-Schutz (Lift-and-Shift-Server und ihre Netzwerk-/Host-Agenten). Dies bedeutete auch, dass unterschiedliche Sicherheitsteams mit der Sicherung von SaaS und der Cloud beauftragt wurden, was natürlich zu einer Trennung der Tools, unterschiedlichen Bedrohungsmodellen und vor allem zur Bildung unterschiedlicher Sicherheitsmentalitäten führte.
Sowohl SaaS als auch die Public Cloud haben sich seit diesen Anfängen drastisch weiterentwickelt. Anbieter öffentlicher Clouds führten immer detailliertere Rechenparadigmen ein und führten nach und nach Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Serverless ein, um Entwicklern zu helfen, sich auf das jeweilige Geschäftsproblem zu konzentrieren. Sie haben außerdem ein ganzes Ökosystem vorgefertigter Lösungen für komplexe, aber häufig auftretende Probleme aufgebaut – Identität, Berechtigungen, Protokollierung, Konfiguration und Bereitstellung, um nur einige zu nennen.
SaaS bedeutete früher eine Punktlösung für ein bestimmtes Problem. Salesforce begann als CRM, ServiceNow als Ticketsystem und Office365 als E-Mail, Tabellenkalkulation, Dokumente und Folien. (Obwohl dies mehr als eine Lösung ist, handelt es sich hierbei um sehr spezifische.) Vergleichen Sie das mit der heutigen Zeit: Salesforce-Entwickler entwickeln Apps für nahezu jede Geschäftsanforderung Zusätzlich zur Salesforce-Plattform gibt es Low-Code-Apps von ServiceNow mit fast allem umgehen Von HR- bis hin zu Gesundheits- und Finanzprozessen, und Power Platform, die in Office365 eingebettete Low-Code-Plattform von Microsoft, wird von mehr als genutzt 20 Millionen Nutzer in der gesamten Branche um alle geschäftlichen Anforderungen zu erfüllen, von der Produktivität über die Beschaffung bis hin zu COVID-bezogenen Prozessen.
Offensichtlich handelt es sich hierbei um Anwendungsentwicklungsplattformen der Enterprise-Klasse und nicht um gezielte Lösungen für bestimmte Geschäftsprobleme. Viele Entwickler entscheiden sich heute dafür, ihre Anwendungen auf von der Plattform bereitgestellten Abstraktionen aufzubauen, sei es serverlose Funktionen in der öffentlichen Cloud oder erweiterbare Bausteine auf SaaS-Low-Code-Plattformen.
Die Einführung von Geschäftsentwicklern
Ein Vergleich der Anfänge und der heutigen Situation von SaaS-Plattformen zeigt deutlich, wie weit sie sich von ihren früheren Versionen entfernt haben. Aber es gibt immer noch eine große Veränderung, die wir noch nicht erwähnt haben: die Einführung von Geschäftsentwicklern.
SaaS-Low-Code-Plattformen beziehen ihre Leistung aus den von ihnen verwalteten Daten und ihren bestehenden Benutzern. Beide beschränken sich nicht auf die IT, sondern sind stark auf das Geschäft ausgerichtet. Durch den Zugriff auf Geschäftsdaten und Geschäftsbenutzer ist SaaS in der perfekten Position, um das dringendste Problem anzugehen, mit dem viele Unternehmen heute konfrontiert sind – die digitale Transformation.
Angesichts des weltweiten Mangels an Entwicklern und der Schwierigkeit, einen Geschäftsprozess mit so vielen Beteiligten zu optimieren, bieten Low-Code-Plattformen eine Abkürzung, die es den Geschäftsanwendern ermöglicht, ihre Prozesse selbst zu optimieren, ohne auf die IT warten zu müssen.
Low Code erfreut sich bei Geschäftsanwendern großer Beliebtheit, und zwar so sehr, dass Microsoft-CEO Satya Nadella in seiner Inspire-Keynote 2019 sagte: die Möglichkeit besprochen von Low-Code, um Menschen zu stärken und neue Bürojobs zu schaffen, genau wie Excel es getan hat.
So wie die öffentliche Cloud eine Anwendungsentwicklungsplattform ist, die es Entwicklern ermöglicht, sich auf ihre Geschäftslogik zu konzentrieren, sind SaaS-Plattformen zu Anwendungsentwicklungsplattformen geworden, die Low-Code nutzen, um Geschäftsanwendern die Möglichkeit zu geben, Entwickler zu werden und alle Geschäftsanforderungen zu erfüllen.
SaaS konzentriert sich jetzt auf neue Arten von Entwicklern, die mit dedizierten Anwendungen eine ganze Reihe unerfüllter Geschäftsanforderungen ansprechen und so eine neue Art von Cloud schaffen: die Business Cloud.
Absicherung von Low Code als Erweiterung der Cloud
Angesichts der Erkenntnis, dass einige SaaS-Plattformen mittlerweile Anwendungsentwicklungsplattformen und eine Erweiterung der Cloud sind, sollten wir das noch einmal überprüfen Verantwortlichkeiten um diese Anwendungen zu sichern und sie unter die Schirmherrschaft des Sicherheitsteams zu bringen.
Wir sollten Plattformen wie Salesforce, ServiceNow und Office365 genauso behandeln wie AWS, Azure und GCP, wobei wir uns auf die Anwendungen konzentrieren, die auf diesen Anwendungsentwicklungsplattformen erstellt und gehostet werden, anstatt die gesamte Plattform als eine einzige Anwendung zu behandeln .
Beispielsweise bleibt Schatten-IT ein Problem bei kleineren und immer größer werdenden punktuellen SaaS-Lösungen. Es macht jedoch keinen Sinn, eine einzelne der oben genannten Plattformen als eine einzige App zu behandeln, die es zu entdecken und zu katalogisieren gilt. Stattdessen sollten wir die mit diesen Plattformen erstellten Anwendungen entdecken und katalogisieren – und davon gibt es Zehntausende. In den meisten Unternehmen verbirgt sich diese enorme Komplexität hinter einer einzigen Zeile im Anwendungsinventar.
Anwendungen, die mit SaaS-Low-Code-Plattformen erstellt wurden, sollten es sein untersucht mit der gleichen Sicherheitsmaßnahme, die wir für in der Cloud erstellte Anwendungen anwenden, denn letzten Endes ist eine Anwendung eine Anwendung, unabhängig davon, wo sie erstellt und gehostet wurde.
Was für die Sicherheit unserer Geschäftsanwendungen von Bedeutung ist, sind die Personen, Prozesse und Tools, die an der Erstellung, Wartung und dem Schutz dieser Anwendungen beteiligt sind. Für in der Cloud erstellte Anwendungen verfügen wir über professionelle Entwickler, automatisierte CI/CD-Prozesse und verschiedene Sicherheitstools vom Code-Scannen und dynamischen Analyse bis hin zur Laufzeitüberwachung und -prävention. Für Anwendungen, die auf SaaS-Low-Code-Plattformen basieren, haben wir einige professionelle Entwickler, aber auch Geschäftsanwender nicht sicherheitsbewusst, mit wenige bis keine Bereitstellungsprozesse und keine Sicherheitskontrollen oder Garantien.
Wenn wir über Low-Code-Plattformen als Teil von SaaS nachdenken, ist es für uns schwierig zu erkennen, dass a riesig Teil unserer Geschäftsanwendungen werden jetzt vom Unternehmen erstellt, außerhalb der IT und außerhalb der Sicherheitskontrolle. Um das Problem zu erkennen und herauszufinden, wie wir es angehen, müssen wir unsere Denkweise dahingehend ändern, Low-Code-Plattformen als Teil der Cloud anzuerkennen und die Anwendungen auf diesen Plattformen wie jede andere Anwendung zu behandeln.
