Stiamo pensando a SaaS nel modo sbagliato

Siamo abituati a pensare alla protezione delle piattaforme SaaS (Software-as-a-Service) e del cloud come a due bestie separate. Questa separazione deriva dal modo in cui SaaS e il cloud pubblico sono emersi rispettivamente come soluzioni di piccole dimensioni e come estensione del data center tradizionale. Oggi, a causa dell'avvento del low code, questa separazione è sbagliata e ci impedisce di vedere ciò che abbiamo davanti agli occhi. Il low code rende le piattaforme SaaS parte del cloud pubblico, un luogo in cui gli sviluppatori creano più applicazioni anziché consumarne una sola: una piattaforma cloud.

L’incapacità di cambiare la nostra mentalità porta al punto in cui siamo oggi, con le applicazioni lasciate in palio senza alcuna visibilità sulla sicurezza. E come se non bastasse, le applicazioni low-code sono integrate direttamente in piattaforme come Salesforce e Microsoft Dynamics, che usiamo tutti e che contengono i nostri dati aziendali più sensibili.

Come siamo arrivati ​​qui?

Le storie sulle origini sono sempre interessanti perché spiegano qualcosa di fondamentale sul modo in cui percepiamo l'eroe della storia. Mentre il SaaS è iniziato come un’estensione della rete aziendale, il cloud pubblico è nato come un’estensione del data center. Questi punti di partenza molto diversi spiegano perché la protezione del SaaS è iniziata con lo shadow IT (protezione del perimetro) e la protezione del cloud pubblico è iniziata con la protezione del carico di lavoro (server lift-and-shift e i relativi agenti di rete/host). Ciò significava anche che diversi team di sicurezza avevano il compito di proteggere SaaS e il cloud, il che ovviamente ha portato a una separazione degli strumenti, a diversi modelli di minaccia e, soprattutto, alla formazione di diverse mentalità di sicurezza.

Sia SaaS che il cloud pubblico si sono evoluti drasticamente da quei primi giorni. I fornitori di cloud pubblico hanno introdotto paradigmi di elaborazione sempre più granulari, introducendo gradualmente l'infrastruttura come servizio (IaaS), la piattaforma come servizio (PaaS) e il serverless per aiutare gli sviluppatori a concentrarsi sul problema aziendale in questione. Hanno inoltre creato un intero ecosistema di soluzioni già pronte per problemi complessi ma comuni: identità, autorizzazioni, registrazione, configurazione e distribuzione, solo per citarne alcuni.

SaaS significava una soluzione puntuale per un problema specifico. Salesforce è iniziato come CRM, ServiceNow come sistema di ticketing e Office365 come posta elettronica, fogli di calcolo, documenti e diapositive. (Anche se si tratta di più di una soluzione, si tratta di soluzioni molto specifiche.) Confrontatelo con oggi: gli sviluppatori Salesforce stanno creando app per praticamente qualsiasi esigenza aziendale oltre alla piattaforma Salesforce, ci sono le app low-code di ServiceNow gestire praticamente qualsiasi cosa dalle risorse umane ai processi sanitari e finanziari, e Power Platform, la piattaforma low-code di Microsoft incorporata in Office365, viene utilizzata da più di 20 milioni di utenti in tutto il settore per risolvere ogni esigenza aziendale, dalla produttività agli appalti e ai processi legati al COVID.

Chiaramente, queste sono diventate piattaforme di sviluppo di applicazioni di livello aziendale e non soluzioni mirate a problemi aziendali specifici. Molti sviluppatori oggi scelgono di creare le proprie applicazioni su astrazioni fornite dalla piattaforma, che si tratti di funzioni serverless sul cloud pubblico o di elementi costitutivi estensibili su piattaforme SaaS low-code.

L'introduzione degli sviluppatori aziendali

Il confronto tra come sono nate le piattaforme SaaS e dove si trovano ora mostra chiaramente quanto si sono allontanati dalle versioni precedenti. Ma c'è ancora un cambiamento importante di cui non abbiamo ancora parlato: l'introduzione degli sviluppatori aziendali.

Le piattaforme SaaS low-code traggono la loro potenza dai dati che mantengono e dagli utenti esistenti. Entrambi questi fattori non si limitano all'IT, ma si orientano fortemente verso il business. Avere accesso sia ai dati aziendali che agli utenti aziendali significa che SaaS è nella posizione perfetta per affrontare il problema più urgente che molte aziende si trovano ad affrontare oggi: la trasformazione digitale.

Con una carenza globale di sviluppatori e la difficoltà di ottimizzare un processo aziendale con così tante parti interessate, le piattaforme low-code introducono una scorciatoia, consentendo agli utenti aziendali di ottimizzare i propri processi da soli senza attendere l'IT.

Il low code sta decollando tra gli utenti aziendali, tanto che nel suo keynote Inspire del 2019, il CEO di Microsoft Satya Nadella discusso l'opportunità di low code per dare potere alle persone e creare nuovi posti di lavoro da colletti bianchi, proprio come ha fatto Excel.

Proprio come il cloud pubblico è una piattaforma di sviluppo di applicazioni che consente agli sviluppatori di concentrarsi sulla propria logica aziendale, le piattaforme SaaS sono diventate piattaforme di sviluppo di applicazioni che utilizzano codice ridotto per consentire agli utenti aziendali di diventare sviluppatori e soddisfare qualsiasi esigenza aziendale.

SaaS è ora focalizzato su nuove tipologie di sviluppatori che affrontano un'intera gamma di esigenze aziendali non soddisfatte con applicazioni dedicate, creando un nuovo tipo di cloud: il cloud aziendale.

Protezione del Low Code come estensione del cloud

Con la consapevolezza che alcune piattaforme SaaS sono ora piattaforme di sviluppo di applicazioni e un'estensione del cloud, dovremmo riesaminare le responsabilità per proteggere tali applicazioni e portarle sotto l'egida del team di sicurezza.

Dovremmo trattare piattaforme come Salesforce, ServiceNow e Office365 nello stesso modo in cui trattiamo AWS, Azure e GCP, concentrandoci sulle applicazioni che sono state create e ospitate in queste piattaforme di sviluppo applicativo anziché trattare l'intera piattaforma come una singola applicazione .

Lo Shadow IT, ad esempio, rimane un problema con un numero sempre crescente di soluzioni SaaS puntuali. Ma non ha senso trattare ogni singola piattaforma sopra menzionata come un'unica app da scoprire e catalogare. Dovremmo invece scoprire e catalogare le applicazioni realizzate con quelle piattaforme, e ce ne sono decine di migliaia. Nella maggior parte delle organizzazioni, questa enorme complessità è nascosta dietro una singola riga nell'inventario delle applicazioni.

Le applicazioni create con piattaforme SaaS low-code dovrebbero esserlo esaminato con lo stesso rigore di sicurezza che usiamo per quelle costruite sul cloud perché, in fin dei conti, un'applicazione è un'applicazione, non importa dove sia stata creata e ospitata.

Ciò che conta per la sicurezza delle nostre applicazioni aziendali sono le persone, i processi e gli strumenti coinvolti nella creazione, manutenzione e protezione di tali applicazioni. Per le applicazioni realizzate nel cloud, disponiamo di sviluppatori professionisti, processi CI/CD automatizzati e vari strumenti di sicurezza, dalla scansione del codice all'analisi dinamica fino al monitoraggio e alla prevenzione del runtime. Per le applicazioni basate su piattaforme SaaS low-code, abbiamo alcuni sviluppatori professionisti ma anche utenti aziendali non esperto di sicurezza, con pochi o nessun processo di distribuzione e nessun controllo o garanzia di sicurezza.

Pensare alle piattaforme low-code come parte di SaaS ci rende difficile vedere che a Enorme porzione delle nostre applicazioni aziendali vengono ora realizzate dall'azienda, al di fuori dell'IT e al di fuori del controllo di sicurezza. Per iniziare a vedere il problema e capire il nostro approccio ad esso, dobbiamo cambiare la nostra mentalità per riconoscere le piattaforme low-code come parte del cloud e trattare le applicazioni su tali piattaforme come facciamo con qualsiasi altra applicazione.