Σκεφτόμαστε το SaaS με τον λάθος τρόπο

Έχουμε συνηθίσει να σκεφτόμαστε να προστατεύουμε τις πλατφόρμες λογισμικού ως υπηρεσία (SaaS) και το cloud ως δύο ξεχωριστά θηρία. Αυτός ο διαχωρισμός προέρχεται από τον τρόπο με τον οποίο το SaaS και το δημόσιο σύννεφο εμφανίστηκαν για πρώτη φορά ως λύσεις μικρού σημείου και ως επέκταση του παραδοσιακού κέντρου δεδομένων, αντίστοιχα. Σήμερα, λόγω της εμφάνισης χαμηλού κώδικα, αυτός ο διαχωρισμός είναι λάθος και μας εμποδίζει να δούμε τι είναι ακριβώς μπροστά στα μάτια μας. Ο χαμηλός κώδικας καθιστά τις πλατφόρμες SaaS μέρος του δημόσιου cloud, ένα μέρος όπου οι προγραμματιστές δημιουργούν πολλαπλές εφαρμογές αντί να καταναλώνουν μία: μια πλατφόρμα cloud.

Η αποτυχία να αλλάξουμε τη νοοτροπία μας οδηγεί στο σημείο που βρισκόμαστε σήμερα, με αυτές τις εφαρμογές να αφήνονται στην αγορά χωρίς ορατότητα ασφάλειας. Και για να χειροτερέψουν τα πράγματα, οι εφαρμογές χαμηλού κώδικα ενσωματώνονται απευθείας σε πλατφόρμες όπως το Salesforce και το Microsoft Dynamics, τις οποίες χρησιμοποιούμε όλοι και διαθέτουν τα πιο ευαίσθητα επιχειρηματικά δεδομένα μας.

Πώς φτάσαμε ως εδώ?

Οι ιστορίες προέλευσης είναι πάντα ενδιαφέρουσες γιατί εξηγούν κάτι θεμελιώδες για τον τρόπο που αντιλαμβανόμαστε τον ήρωα της ιστορίας. Ενώ το SaaS ξεκίνησε ως επέκταση του εταιρικού δικτύου, το δημόσιο cloud ξεκίνησε ως επέκταση του κέντρου δεδομένων. Αυτά τα πολύ διαφορετικά σημεία εκκίνησης εξηγούν γιατί η διασφάλιση του SaaS ξεκίνησε με σκιώδη IT (προστατεύοντας την περίμετρο) και η ασφάλιση του δημόσιου νέφους ξεκίνησε με προστασία φόρτου εργασίας (διακομιστές ανύψωσης και μετατόπισης και οι πράκτορες δικτύου/κεντρικών υπολογιστών τους). Αυτό σήμαινε επίσης ότι διαφορετικές ομάδες ασφαλείας είχαν επιφορτιστεί με την ασφάλεια του SaaS και του cloud, κάτι που φυσικά οδήγησε σε διαχωρισμό εργαλείων, διαφορετική μοντελοποίηση απειλών και, το πιο σημαντικό, στη διαμόρφωση διαφορετικών νοοτροπιών ασφαλείας.

Τόσο το SaaS όσο και το δημόσιο cloud έχουν εξελιχθεί δραστικά από εκείνες τις πρώτες μέρες. Οι πάροχοι δημόσιου cloud εισήγαγαν ολοένα και πιο λεπτομερή υπολογιστικά παραδείγματα, εισάγοντας σταδιακά την υποδομή ως υπηρεσία (IaaS), την πλατφόρμα ως υπηρεσία (PaaS) και χωρίς διακομιστή για να βοηθήσουν τους προγραμματιστές να επικεντρωθούν στο επιχειρηματικό πρόβλημα. Κατασκεύασαν επίσης ένα ολόκληρο οικοσύστημα έτοιμων λύσεων για πολύπλοκα αλλά κοινά προβλήματα - ταυτότητα, δικαιώματα, καταγραφή, διαμόρφωση και ανάπτυξη, για να αναφέρουμε μερικά.

Το SaaS σήμαινε μια σημειακή λύση για ένα συγκεκριμένο πρόβλημα. Το Salesforce ξεκίνησε ως CRM, το ServiceNow ως σύστημα έκδοσης εισιτηρίων και το Office365 ως email, υπολογιστικά φύλλα, έγγραφα και διαφάνειες. (Αν και πρόκειται για περισσότερες από μία λύσεις, αυτές είναι πολύ συγκεκριμένες.) Σε αντίθεση με το σήμερα: Οι προγραμματιστές Salesforce δημιουργούν εφαρμογές για σχεδόν οποιαδήποτε επιχειρηματική ανάγκη πάνω από την πλατφόρμα Salesforce, οι εφαρμογές χαμηλού κώδικα ServiceNow βρίσκονται χειρισμός σχεδόν οτιδήποτε από το HR στις διαδικασίες υγείας και χρηματοδότησης και το Power Platform, η πλατφόρμα χαμηλού κώδικα της Microsoft που είναι ενσωματωμένη στο Office365, χρησιμοποιείται από περισσότερους από 20 εκατομμύρια χρήστες σε ολόκληρο τον κλάδο να λύσει κάθε επιχειρηματική ανάγκη, από την παραγωγικότητα μέσω των προμηθειών και των διαδικασιών που σχετίζονται με τον COVID.

Σαφώς, αυτές έχουν γίνει πλατφόρμες ανάπτυξης εφαρμογών για επιχειρήσεις και όχι λύσεις σε συγκεκριμένα επιχειρηματικά προβλήματα. Πολλοί προγραμματιστές σήμερα επιλέγουν να δημιουργήσουν τις εφαρμογές τους σε αφαιρέσεις που παρέχονται από την πλατφόρμα, είτε πρόκειται για λειτουργίες χωρίς διακομιστή στο δημόσιο cloud είτε για επεκτάσιμα δομικά στοιχεία σε πλατφόρμες χαμηλού κώδικα SaaS.

The Introduction of Business Developers

Η σύγκριση του τρόπου με τον οποίο ξεκίνησαν οι πλατφόρμες SaaS και πού βρίσκονται τώρα δείχνει ξεκάθαρα πόσο απέχουν από τις προηγούμενες εκδόσεις τους. Αλλά υπάρχει ακόμα μια σημαντική αλλαγή που δεν έχουμε αναφέρει ακόμη: την εισαγωγή των προγραμματιστών επιχειρήσεων.

Οι πλατφόρμες χαμηλού κώδικα SaaS αντλούν τη δύναμή τους από τα δεδομένα που διατηρούν και τους υπάρχοντες χρήστες τους. Και οι δύο δεν περιορίζονται σε IT, αλλά μάλλον στρέφονται σε μεγάλο βαθμό προς την επιχείρηση. Η πρόσβαση τόσο σε επιχειρηματικά δεδομένα όσο και σε επιχειρηματικούς χρήστες σημαίνει ότι το SaaS βρίσκεται στην τέλεια θέση για να αντιμετωπίσει το πιο πιεστικό ζήτημα που αντιμετωπίζουν σήμερα πολλές επιχειρήσεις — τον ψηφιακό μετασχηματισμό.

Με μια παγκόσμια έλλειψη προγραμματιστών και τη δυσκολία εξορθολογισμού μιας επιχειρηματικής διαδικασίας με τόσους πολλούς ενδιαφερόμενους, οι πλατφόρμες χαμηλού κώδικα εισάγουν μια συντόμευση, επιτρέποντας στους επιχειρηματικούς χρήστες να εξορθολογίσουν οι ίδιοι τις διαδικασίες τους χωρίς να περιμένουν IT.

Ο χαμηλός κώδικας απογειώνεται με τους επαγγελματίες χρήστες, τόσο πολύ που στην κεντρική ομιλία του στο Inspire για το 2019, ο Διευθύνων Σύμβουλος της Microsoft, Satya Nadella συζήτησαν την ευκαιρία χαμηλού κώδικα για την ενδυνάμωση των ανθρώπων και τη δημιουργία νέων θέσεων εργασίας όπως έκανε το Excel.

Ακριβώς όπως το δημόσιο σύννεφο είναι μια πλατφόρμα ανάπτυξης εφαρμογών που επιτρέπει στους προγραμματιστές να επικεντρωθούν στην επιχειρηματική τους λογική, οι πλατφόρμες SaaS έχουν γίνει πλατφόρμες ανάπτυξης εφαρμογών που χρησιμοποιούν χαμηλό κώδικα για να ενδυναμώσουν τους επιχειρησιακούς χρήστες να γίνουν προγραμματιστές και να καλύψουν οποιαδήποτε επιχειρηματική ανάγκη.

Το SaaS εστιάζει πλέον σε νέους τύπους προγραμματιστών που αντιμετωπίζουν μια ολόκληρη σειρά ανεκπλήρωτων επιχειρηματικών αναγκών με αποκλειστικές εφαρμογές, δημιουργώντας έναν νέο τύπο cloud: το business cloud.

Διασφάλιση χαμηλού κώδικα ως επέκταση του Cloud

Με τη συνειδητοποίηση ότι ορισμένες πλατφόρμες SaaS είναι πλέον πλατφόρμες ανάπτυξης εφαρμογών και επέκταση του cloud, θα πρέπει να επανεξετάσουμε ευθυνών για την εξασφάλιση αυτών των εφαρμογών και την υπαγωγή τους κάτω από την ομπρέλα της ομάδας ασφαλείας.

Θα πρέπει να αντιμετωπίζουμε πλατφόρμες όπως το Salesforce, το ServiceNow και το Office365 με τον ίδιο τρόπο που αντιμετωπίζουμε τα AWS, Azure και GCP, όπου εστιάζουμε στις εφαρμογές που δημιουργήθηκαν και φιλοξενούνται σε αυτές τις πλατφόρμες ανάπτυξης εφαρμογών αντί να αντιμετωπίζουμε ολόκληρη την πλατφόρμα ως μια ενιαία εφαρμογή .

Το Shadow IT, για παράδειγμα, παραμένει ένα πρόβλημα με μικρότερο και διαρκώς αυξανόμενο αριθμό σημείων SaaS. Αλλά δεν έχει νόημα να αντιμετωπίζουμε οποιαδήποτε πλατφόρμα που αναφέρεται παραπάνω ως μια ενιαία εφαρμογή για ανακάλυψη και καταλογογράφηση. Αντίθετα, θα πρέπει να ανακαλύψουμε και να καταλογίσουμε τις εφαρμογές που έχουν δημιουργηθεί με αυτές τις πλατφόρμες — και υπάρχουν δεκάδες χιλιάδες από αυτές. Στους περισσότερους οργανισμούς, αυτή η τεράστια πολυπλοκότητα κρύβεται πίσω από μία μόνο γραμμή σε ένα απόθεμα εφαρμογών.

Οι εφαρμογές που έχουν κατασκευαστεί με πλατφόρμες χαμηλού κώδικα SaaS θα πρέπει να είναι εξέταση με την ίδια αυστηρότητα ασφαλείας που χρησιμοποιούμε για εκείνες που είναι κατασκευασμένες στο cloud, επειδή, στο τέλος της ημέρας, μια εφαρμογή είναι μια εφαρμογή, ανεξάρτητα από το πού κατασκευάστηκε και φιλοξενήθηκε.

Αυτό που έχει σημασία για την ασφάλεια των επιχειρηματικών μας εφαρμογών είναι τα άτομα, οι διαδικασίες και τα εργαλεία που εμπλέκονται στη δημιουργία, τη συντήρηση και την προστασία αυτών των εφαρμογών. Για εφαρμογές ενσωματωμένες στο cloud, διαθέτουμε επαγγελματίες προγραμματιστές, αυτοματοποιημένες διαδικασίες CI/CD και διάφορα εργαλεία ασφαλείας από σάρωση κώδικα και δυναμική ανάλυση έως παρακολούθηση και πρόληψη χρόνου εκτέλεσης. Για εφαρμογές που έχουν δημιουργηθεί σε πλατφόρμες χαμηλού κώδικα SaaS, έχουμε ορισμένους επαγγελματίες προγραμματιστές αλλά και επαγγελματίες χρήστες όχι με γνώμονα την ασφάλεια, με λίγες έως καθόλου διαδικασίες ανάπτυξης και δεν υπάρχουν έλεγχοι ή εγγυήσεις ασφαλείας.

Η σκέψη για πλατφόρμες χαμηλού κώδικα ως μέρος του SaaS μας δυσκολεύει να δούμε ότι α τεράστιος τμήμα των επιχειρηματικών μας εφαρμογών κατασκευάζονται τώρα από την επιχείρηση, εκτός πληροφορικής και εκτός ελέγχου ασφαλείας. Για να αρχίσουμε να βλέπουμε το πρόβλημα και να καταλαβαίνουμε την προσέγγισή μας σε αυτό, πρέπει να αλλάξουμε τη νοοτροπία μας για να αναγνωρίσουμε τις πλατφόρμες χαμηλού κώδικα ως μέρος του cloud και να αντιμετωπίζουμε τις εφαρμογές σε αυτές τις πλατφόρμες όπως κάνουμε οποιαδήποτε άλλη εφαρμογή.