We’re used to thinking about securing software-as-a-service (SaaS) platforms and the cloud as two separate beasts. This separation stems from the way SaaS and the public cloud first emerged as small point solutions and an extension of the traditional data center, respectively. Today, due to the advent of low code, this separation is wrong, and it’s holding us back from seeing what’s right in front of our eyes. Low code makes SaaS platforms a part of the public cloud, a place where developers build multiple applications rather than consuming a single one: a cloud platform.
Ha nem sikerül megváltoztatni a gondolkodásmódunkat, az oda vezet, ahol ma tartunk, mivel ezek az alkalmazások szabadon maradnak, és nem látható a biztonság. És ami még rosszabb, az alacsony kódszámú alkalmazások közvetlenül olyan platformokba vannak beágyazva, mint a Salesforce és a Microsoft Dynamics, amelyeket mindannyian használunk, és amelyek a legérzékenyebb üzleti adatainkat tárolják.
Hogy jutottunk ide?
Az eredettörténetek mindig érdekesek, mert valami alapvető dolgot magyaráznak meg abban, ahogyan a történet hősét észleljük. Míg a SaaS a vállalati hálózat kiterjesztéseként indult, a nyilvános felhő az adatközpont kiterjesztéseként indult. Ezek a nagyon eltérő kiindulópontok magyarázatot adnak arra, hogy a SaaS biztonsága miért az árnyék IT-vel kezdődött (a kerület védelme), a nyilvános felhő biztonsága pedig a munkaterhelés elleni védelemmel (lift-and-shift szerverek és hálózati/gazdaügynökeik). Ez egyben azt is jelentette, hogy a SaaS és a felhő biztonságossá tétele különböző biztonsági csapatok feladata volt, ami természetesen az eszközök szétválasztásához, eltérő fenyegetésmodellezéshez, és ami a legfontosabb, különböző biztonsági gondolkodásmódok kialakulásához vezetett.
Mind a SaaS, mind a nyilvános felhő drasztikusan fejlődött azoktól a korai időktől kezdve. A nyilvános felhőszolgáltatók egyre részletesebb számítási paradigmákat vezettek be, fokozatosan bevezetve az infrastruktúrát szolgáltatásként (IaaS), a platformot szolgáltatásként (PaaS) és a szerver nélkülit, hogy segítsenek a fejlesztőknek az adott üzleti problémára összpontosítani. Emellett kész megoldások egész ökoszisztémáját építették ki az összetett, de gyakori problémákra – identitás, engedélyek, naplózás, konfiguráció és telepítés, hogy csak néhányat említsünk.
A SaaS korábban egy adott probléma pontszerű megoldását jelentette. A Salesforce CRM-ként, a ServiceNow jegyértékesítő rendszerként, az Office365 pedig e-mailként, táblázatként, dokumentumokként és diákként indult. (Bár ez egynél több megoldás, ezek nagyon specifikusak.) Ezzel szemben a mai helyzettel: A Salesforce fejlesztői alkalmazásokat készítenek szinte bármilyen üzleti igény a Salesforce Platform tetején a ServiceNow alacsony kódú alkalmazások állnak szinte bármit kezelni from HR to health and finance processes, and Power Platform, Microsoft’s low-code platform embedded into Office365, is being used by more than 20 millió felhasználó az egész iparágban minden üzleti igény megoldásához, a termelékenységtől a beszerzésen és a COVID-hoz kapcsolódó folyamatokon át.
Nyilvánvaló, hogy ezek vállalati szintű alkalmazásfejlesztési platformokká váltak, nem pedig konkrét üzleti problémákra mutatnak megoldást. Manapság sok fejlesztő úgy dönt, hogy platform által biztosított absztrakciókra építi fel alkalmazásait, legyen szó kiszolgáló nélküli funkciókról a nyilvános felhőben vagy bővíthető építőelemekről az alacsony kódú SaaS platformokon.
Az üzleti fejlesztők bemutatkozása
Comparing how SaaS platforms started and where they are now clearly shows how far these have come from their earlier versions. But there’s still a major shift we haven’t mentioned yet: the introduction of business developers.
Az alacsony kódú SaaS-platformok az általuk karbantartott adatokból és meglévő felhasználóikból merítik erejüket. Mindkettő nem korlátozódik az IT-re, hanem erősen az üzlet irányába torz. Az üzleti adatokhoz és az üzleti felhasználókhoz való hozzáférés azt jelenti, hogy a SaaS tökéletes helyzetben van ahhoz, hogy megbirkózzon a manapság sok vállalat legsürgetőbb problémájával – a digitális átalakulással.
A fejlesztők globális hiánya és az üzleti folyamatok olyan sok érdekelt fél bevonásával történő egyszerűsítése miatt az alacsony kódú platformok egy parancsikont vezetnek be, lehetővé téve az üzleti felhasználók számára, hogy saját maguk korszerűsítsék folyamataikat anélkül, hogy informatikára várnának.
Az alacsony kód egyre népszerűbb az üzleti felhasználók körében, olyannyira, hogy 2019-es Inspire vitaindítójában Satya Nadella, a Microsoft vezérigazgatója megbeszélték a lehetőséget alacsony kódú, hogy felhatalmazza az embereket, és új szellemi munkákat hozzon létre, akárcsak az Excel.
Csakúgy, mint a nyilvános felhő egy alkalmazásfejlesztési platform, amely lehetővé teszi a fejlesztők számára, hogy üzleti logikájukra összpontosítsanak, a SaaS platformok alacsony kódot használó alkalmazásfejlesztési platformokká váltak, amelyek lehetővé teszik az üzleti felhasználók számára, hogy fejlesztőkké váljanak, és bármilyen üzleti igényt kielégítsenek.
A SaaS most az új típusú fejlesztőkre összpontosít, akik a kielégítetlen üzleti igények egész sorát elégítik ki dedikált alkalmazásokkal, és egy új típusú felhőt hoznak létre: az üzleti felhőt.
Az alacsony kód biztosítása a felhő kiterjesztéseként
Annak tudatában, hogy egyes SaaS-platformok ma már alkalmazásfejlesztési platformok és a felhő kiterjesztése, újra meg kell vizsgálnunk a felelősség for securing those applications and bringing them under the security team’s umbrella.
Az olyan platformokat, mint a Salesforce, a ServiceNow és az Office365, ugyanúgy kell kezelnünk, mint az AWS-t, az Azure-t és a GCP-t, ahol azokra az alkalmazásokra összpontosítunk, amelyeket ezekben az alkalmazásfejlesztési platformokban építettek és tárolnak, ahelyett, hogy az egész platformot egyetlen alkalmazásként kezelnénk. .
Shadow IT, for example, remains an issue with smaller and an ever-growing number of point-solution SaaS. But it doesn’t make sense to treat any single platform mentioned above as a single app to discover and catalog. Instead, we should discover and catalog the applications built with those platforms — and there are tens of thousands of those. In most organizations, this enormous complexity is hidden behind a single line in an application inventory.
Az alacsony kódú SaaS platformokkal épített alkalmazásoknak kell vizsgált ugyanazzal a biztonsági szigorral, amelyet a felhőre építetteknél használunk, mert végső soron egy alkalmazás egy alkalmazás, függetlenül attól, hogy hol készült és üzemeltetett.
Az üzleti alkalmazásaink biztonsága szempontjából az a személy, a folyamat és az eszközök számítanak, amelyek részt vesznek ezen alkalmazások létrehozásában, karbantartásában és védelmében. A felhőbe épített alkalmazásokhoz professzionális fejlesztőink, automatizált CI/CD folyamatok és különféle biztonsági eszközök állnak rendelkezésünkre a kódszkenneléstől és a dinamikus elemzéstől a futásidejű megfigyelésig és megelőzésig. Az alacsony kódú SaaS-platformokra épített alkalmazásokhoz professzionális fejlesztőink, de üzleti felhasználók is vannak nem biztonságot értő, És kevés vagy semmilyen telepítési folyamat és nincs biztonsági ellenőrzés vagy garancia.
Ha az alacsony kódszámú platformokat a SaaS részeként gondoljuk, nehezen látjuk, hogy a hatalmas porció üzleti alkalmazásainkat most az üzlet építi, az IT-n kívül és a biztonsági ellenőrzésen kívül. Ahhoz, hogy megértsük a problémát, és kitaláljuk, hogyan viszonyulunk hozzá, meg kell változtatnunk a gondolkodásmódunkat, hogy az alacsony kódú platformokat a felhő részeként ismerjük el, és az ezeken a platformokon lévő alkalmazásokat úgy kell kezelnünk, mint bármely más alkalmazást.
