Kita terbiasa berpikir tentang mengamankan platform perangkat lunak sebagai layanan (SaaS) dan cloud sebagai dua hal yang berbeda. Pemisahan ini berasal dari cara SaaS dan cloud publik pertama kali muncul sebagai solusi titik kecil dan perpanjangan dari pusat data tradisional. Saat ini, karena munculnya kode rendah, pemisahan ini menjadi salah, dan menghambat kita untuk melihat apa yang ada di depan mata kita. Kode rendah menjadikan platform SaaS sebagai bagian dari cloud publik, tempat pengembang membangun banyak aplikasi daripada menggunakan satu aplikasi saja: platform cloud.
Kegagalan untuk mengubah pola pikir kita akan membawa kita pada keadaan saat ini, dengan aplikasi-aplikasi tersebut dibiarkan begitu saja tanpa visibilitas keamanan. Dan yang lebih buruk lagi, aplikasi berkode rendah tertanam langsung ke dalam platform seperti Salesforce dan Microsoft Dynamics, yang kita semua gunakan dan menyimpan data bisnis paling sensitif.
Bagaimana kita bisa sampai disini?
Cerita asal-usul selalu menarik karena menjelaskan sesuatu yang mendasar tentang cara kita memandang pahlawan dalam cerita tersebut. SaaS dimulai sebagai perpanjangan dari jaringan perusahaan, sedangkan cloud publik dimulai sebagai perpanjangan dari pusat data. Titik awal yang sangat berbeda tersebut menjelaskan mengapa pengamanan SaaS dimulai dengan IT bayangan (melindungi perimeter) dan pengamanan cloud publik dimulai dengan perlindungan beban kerja (server angkat dan geser dan agen jaringan/hostnya). Hal ini juga berarti bahwa tim keamanan yang berbeda ditugaskan untuk mengamankan SaaS dan cloud, yang tentu saja menyebabkan pemisahan alat, pemodelan ancaman yang berbeda, dan, yang paling penting, pembentukan pola pikir keamanan yang berbeda.
SaaS dan cloud publik telah berevolusi secara drastis sejak masa-masa awal. Vendor cloud publik memperkenalkan paradigma komputasi yang lebih granular, secara bertahap memperkenalkan infrastruktur sebagai layanan (IaaS), platform sebagai layanan (PaaS), dan tanpa server untuk membantu pengembang fokus pada masalah bisnis yang dihadapi. Mereka juga membangun seluruh ekosistem solusi siap pakai untuk masalah yang kompleks namun umum – seperti identitas, izin, logging, konfigurasi, dan penerapan.
SaaS dulunya berarti solusi titik untuk masalah tertentu. Salesforce dimulai sebagai CRM, ServiceNow sebagai sistem tiket, dan Office365 sebagai email, spreadsheet, dokumen, dan slide. (Meskipun ini lebih dari satu solusi, ini adalah solusi yang sangat spesifik.) Berbeda dengan saat ini: Pengembang Salesforce sedang membuat aplikasi untuk hampir semua kebutuhan bisnis di atas Platform Salesforce, ada aplikasi kode rendah ServiceNow menangani apa saja mulai dari proses SDM hingga kesehatan dan keuangan, dan Power Platform, platform kode rendah Microsoft yang tertanam di Office365, digunakan oleh lebih dari 20 juta pengguna di seluruh industri untuk menyelesaikan setiap kebutuhan bisnis, mulai dari produktivitas hingga pengadaan dan proses terkait COVID.
Jelasnya, ini telah menjadi platform pengembangan aplikasi tingkat perusahaan, bukan solusi yang tepat untuk masalah bisnis tertentu. Banyak pengembang saat ini memilih untuk membangun aplikasi mereka pada abstraksi yang disediakan platform, baik itu fungsi tanpa server di cloud publik atau blok penyusun yang dapat diperluas pada platform kode rendah SaaS.
Pengenalan Pengembang Bisnis
Membandingkan bagaimana platform SaaS dimulai dan keberadaannya sekarang dengan jelas menunjukkan seberapa jauh kemajuannya dibandingkan versi sebelumnya. Namun masih ada perubahan besar yang belum kami sebutkan: diperkenalkannya pengembang bisnis.
Platform kode rendah SaaS memanfaatkan kekuatannya dari data yang mereka kelola dan pengguna yang ada. Keduanya tidak terbatas pada TI namun lebih condong ke arah bisnis. Memiliki akses terhadap data bisnis dan pengguna bisnis berarti SaaS berada pada posisi yang tepat untuk mengatasi masalah paling mendesak yang dihadapi banyak perusahaan saat ini — transformasi digital.
Dengan kekurangan pengembang secara global dan sulitnya menyederhanakan proses bisnis dengan begitu banyak pemangku kepentingan, platform low-code memperkenalkan jalan pintas, yang memungkinkan pengguna bisnis menyederhanakan proses mereka sendiri tanpa menunggu TI.
Kode rendah sangat populer di kalangan pengguna bisnis, sehingga dalam keynote Inspire 2019-nya, CEO Microsoft Satya Nadella mendiskusikan peluang tersebut kode rendah untuk memberdayakan masyarakat dan menciptakan pekerjaan kerah putih baru seperti yang dilakukan Excel.
Sama seperti cloud publik yang merupakan platform pengembangan aplikasi yang memungkinkan pengembang untuk fokus pada logika bisnis mereka, platform SaaS telah menjadi platform pengembangan aplikasi yang menggunakan kode rendah untuk memberdayakan pengguna bisnis menjadi pengembang dan memenuhi kebutuhan bisnis apa pun.
SaaS kini berfokus pada tipe pengembang baru yang menangani berbagai kebutuhan bisnis yang belum terpenuhi dengan aplikasi khusus, menciptakan jenis cloud baru: cloud bisnis.
Mengamankan Kode Rendah sebagai Perpanjangan Cloud
Dengan kesadaran bahwa beberapa platform SaaS kini menjadi platform pengembangan aplikasi dan perpanjangan dari cloud, kita harus mengkaji ulang tanggung jawab untuk mengamankan aplikasi tersebut dan membawanya di bawah payung tim keamanan.
Kita harus memperlakukan platform seperti Salesforce, ServiceNow, dan Office365 dengan cara yang sama seperti kita memperlakukan AWS, Azure, dan GCP, yaitu kita fokus pada aplikasi yang dibuat dan dihosting di platform pengembangan aplikasi ini daripada memperlakukan seluruh platform sebagai satu aplikasi .
Shadow IT, misalnya, masih menjadi masalah pada SaaS solusi titik yang lebih kecil dan jumlahnya terus bertambah. Namun tidak masuk akal untuk memperlakukan platform tunggal yang disebutkan di atas sebagai satu aplikasi untuk ditemukan dan dikatalogkan. Sebaliknya, kita harus menemukan dan membuat katalog aplikasi yang dibangun dengan platform tersebut — dan jumlahnya ada puluhan ribu. Di sebagian besar organisasi, kompleksitas yang sangat besar ini tersembunyi di balik satu baris inventaris aplikasi.
Aplikasi yang dibangun dengan platform kode rendah SaaS seharusnya diperiksa dengan tingkat keamanan yang sama seperti yang kami gunakan untuk aplikasi yang dibangun di cloud karena, pada akhirnya, aplikasi tetaplah sebuah aplikasi, di mana pun aplikasi tersebut dibuat dan dihosting.
Yang penting bagi keamanan aplikasi bisnis kita adalah orang, proses, dan alat yang terlibat dalam pembuatan, pemeliharaan, dan perlindungan aplikasi tersebut. Untuk aplikasi yang dibangun di cloud, kami memiliki pengembang profesional, proses CI/CD otomatis, dan berbagai alat keamanan mulai dari pemindaian kode dan analisis dinamis hingga pemantauan dan pencegahan runtime. Untuk aplikasi yang dibangun pada platform kode rendah SaaS, kami memiliki beberapa pengembang profesional tetapi juga pengguna bisnis tidak paham keamanan, dengan sedikit atau tidak ada proses penerapan dan tidak ada kontrol atau jaminan keamanan.
Memikirkan platform berkode rendah sebagai bagian dari SaaS menyulitkan kita untuk melihat bahwa a besar bagian aplikasi bisnis kami kini dibangun oleh bisnis, di luar TI dan di luar kendali keamanan. Untuk mulai melihat masalah dan mencari tahu pendekatan kita terhadap masalah tersebut, kita harus mengubah pola pikir kita untuk mengakui platform low-code sebagai bagian dari cloud dan memperlakukan aplikasi pada platform tersebut seperti yang kita lakukan pada aplikasi lainnya.
