התרגלנו לחשוב על אבטחת פלטפורמות תוכנה כשירות (SaaS) ועל הענן כשתי חיות נפרדות. ההפרדה הזו נובעת מהאופן שבו SaaS והענן הציבורי הופיעו לראשונה כפתרונות נקודתיים קטנים והרחבה של מרכז הנתונים המסורתי, בהתאמה. כיום, עקב הופעת הקוד הנמוך, ההפרדה הזו שגויה, והיא מעכבת אותנו מלראות את מה שנמצא ממש לנגד עינינו. קוד נמוך הופך את פלטפורמות SaaS לחלק מהענן הציבורי, מקום שבו מפתחים בונים אפליקציות מרובות במקום לצרוך אחת אחת: פלטפורמת ענן.
כשלון בשינוי הלך הרוח שלנו מוביל למקום בו אנו נמצאים היום, כאשר יישומים אלה נותרים לבחירה ללא נראות אבטחה. וכדי להחמיר את המצב, יישומי קוד נמוך מוטמעים ישירות בפלטפורמות כמו Salesforce ו-Microsoft Dynamics, שכולנו משתמשים בהן ושמחזיקות את הנתונים העסקיים הרגישים ביותר שלנו.
איך הגענו לכאן?
סיפורי מקור תמיד מעניינים כי הם מסבירים משהו מהותי על הדרך שבה אנו תופסים את גיבור הסיפור. בעוד SaaS התחיל כהרחבה של הרשת הארגונית, הענן הציבורי התחיל כהרחבה של מרכז הנתונים. נקודות המוצא השונות הללו מסבירות מדוע אבטחת SaaS התחילה ב-Shadow IT (הגנה על ההיקף) ואבטחת הענן הציבורי התחילה בהגנה על עומסי עבודה (שרתי הרמה והסטה וסוכני הרשת/מארחים שלהם). זה גם גרם לכך שצוותי אבטחה שונים הוטלו על אבטחת ה-SaaS והענן, מה שכמובן הוביל להפרדת כלים, מודלים שונים של איומים, והכי חשוב, היווצרות חשיבה אבטחה שונה.
גם SaaS וגם הענן הציבורי התפתחו באופן דרסטי מאותם ימים מוקדמים. ספקי ענן ציבורי הציגו פרדיגמות מחשוב מפורטות יותר ויותר, והציגו בהדרגה תשתית כשירות (IaaS), פלטפורמה כשירות (PaaS) וללא שרתים כדי לעזור למפתחים להתמקד בבעיה העסקית שעל הפרק. הם גם בנו מערכת אקולוגית שלמה של פתרונות מוכנים לבעיות מורכבות אך נפוצות - זהות, הרשאות, רישום, תצורה ופריסה, אם להזכיר כמה.
פירושו של SaaS היה פתרון נקודתי לבעיה ספציפית. Salesforce התחילה כ-CRM, ServiceNow כמערכת כרטוס, ו-Office365 כדואר אלקטרוני, גיליונות אלקטרוניים, מסמכים ושקופיות. (למרות שזה יותר מפתרון אחד, אלו הם מאוד ספציפיים.) לעומת זאת עם היום: מפתחי Salesforce בונים אפליקציות עבור כמעט כל צורך עסקי על גבי פלטפורמת Salesforce, אפליקציות ServiceNow בעלות קוד נמוך לטפל כמעט בכל דבר מ-HR ועד תהליכי בריאות ופיננסים, ו-Power Platform, פלטפורמת הקוד הנמוכה של מיקרוסופט המוטמעת ב-Office365, נמצאת בשימוש על ידי יותר מ- משתמשי 20 מיליון ברחבי התעשייה לפתור כל צורך עסקי, מפריון דרך רכש ותהליכים הקשורים ל-COVID.
ברור שאלו הפכו לפלטפורמות פיתוח יישומים ברמה ארגונית, לא לפתרונות נקודתיים לבעיות עסקיות ספציפיות. מפתחים רבים בוחרים כיום לבנות את היישומים שלהם על אבסטרקים המסופקים על ידי פלטפורמה, בין אם אלו פונקציות ללא שרת בענן הציבורי או אבני בניין הניתנות להרחבה על פלטפורמות SaaS בעלות קוד נמוך.
הקדמה של מפתחים עסקיים
השוואה כיצד התחילו פלטפורמות SaaS והיכן הן נמצאות כעת מראה בבירור עד כמה הן הגיעו מהגרסאות הקודמות שלהן. אבל עדיין יש שינוי גדול שעדיין לא הזכרנו: הכנסת מפתחים עסקיים.
פלטפורמות SaaS בעלות קוד נמוך שואבות את כוחן מהנתונים שהן מתחזקות ומהמשתמשים הקיימים שלהן. אלה אינם מוגבלים ל-IT אלא נוטים מאוד לכיוון העסק. גישה לנתונים עסקיים וגם למשתמשים עסקיים פירושה ש-SaaS נמצאת בעמדה המושלמת להתמודד עם הבעיה הדחופה ביותר שארגונים רבים מתמודדים איתם כיום - טרנספורמציה דיגיטלית.
עם מחסור עולמי במפתחים והקושי לייעל תהליך עסקי עם כל כך הרבה בעלי עניין, פלטפורמות עם קוד נמוך מציגות קיצור דרך, המאפשרת למשתמשים העסקיים לייעל את התהליכים שלהם בעצמם מבלי לחכות ל-IT.
קוד נמוך ממריא בקרב משתמשים עסקיים, עד כדי כך שבנושא המרכזי שלו Inspire ב-2019, מנכ"לית מיקרוסופט, Satya Nadella דנו בהזדמנות של קוד נמוך כדי להעצים אנשים וליצור עבודות צווארון לבן חדשות בדיוק כמו Excel.
בדיוק כמו שהענן הציבורי הוא פלטפורמת פיתוח אפליקציות המאפשרת למפתחים להתמקד בלוגיקה העסקית שלהם, פלטפורמות SaaS הפכו לפלטפורמות פיתוח אפליקציות המשתמשות בקוד נמוך כדי להעצים משתמשים עסקיים להפוך למפתחים ולתת מענה לכל צורך עסקי.
SaaS מתמקדת כעת בסוגים חדשים של מפתחים הנותנים מענה למגוון שלם של צרכים עסקיים שלא נענו עם יישומים ייעודיים, ויוצרים סוג חדש של ענן: הענן העסקי.
אבטחת קוד נמוך כהרחבה של ענן
עם ההבנה שכמה פלטפורמות SaaS הן כעת פלטפורמות לפיתוח יישומים והרחבה של הענן, עלינו לבחון מחדש את אחריות על אבטחת יישומים אלה והבאתם תחת המטריה של צוות האבטחה.
עלינו להתייחס לפלטפורמות כמו Salesforce, ServiceNow ו-Office365 באותו אופן שבו אנו מתייחסים ל-AWS, Azure ו-GCP, כאשר אנו מתמקדים ביישומים שנבנו ומתארחים בפלטפורמות פיתוח יישומים אלו במקום להתייחס לפלטפורמה כולה כאפליקציה אחת. .
Shadow IT, למשל, נותרה בעיה עם מספר קטן יותר וגדל מתמיד של SaaS עם פתרונות נקודתיים. אבל זה לא הגיוני להתייחס לכל פלטפורמה בודדת שהוזכרה לעיל כאפליקציה אחת לגילוי ולקטלוג. במקום זאת, עלינו לגלות ולקטלג את היישומים שנבנו עם הפלטפורמות הללו - ויש עשרות אלפי כאלה. ברוב הארגונים, המורכבות העצומה הזו מוסתרת מאחורי שורה אחת במלאי יישומים.
אפליקציות שנבנו עם פלטפורמות SaaS בעלות קוד נמוך צריכות להיות נבחן עם אותה קפדנות אבטחה שבה אנו משתמשים עבור אלה שנבנו על הענן, כי בסופו של יום, אפליקציה היא אפליקציה, לא משנה היכן היא נבנתה והתארחה.
מה שחשוב לאבטחת היישומים העסקיים שלנו הוא האנשים, התהליך והכלים המעורבים בייצור, תחזוקה והגנה על יישומים אלה. עבור אפליקציות שנבנו בענן, יש לנו מפתחים מקצועיים, תהליכי CI/CD אוטומטיים וכלי אבטחה שונים מסריקת קוד וניתוח דינמי דרך ניטור ומניעה של זמן ריצה. עבור יישומים הבנויים על פלטפורמות SaaS בעלות קוד נמוך, יש לנו כמה מפתחים מקצועיים אך גם משתמשים עסקיים שכן לא מתמצא באבטחהעם תהליכי פריסה מועטים עד אין וללא בקרות אבטחה או ערבויות.
חשיבה על פלטפורמות בעלות קוד נמוך כחלק מ-SaaS מקשה עלינו לראות כי א עצום חלק מהיישומים העסקיים שלנו נבנים כעת על ידי העסק, מחוץ ל-IT ומחוץ לבקרת אבטחה. כדי להתחיל לראות את הבעיה ולהבין את הגישה שלנו אליה, עלינו לשנות את הלך הרוח שלנו להכיר בפלטפורמות בעלות קוד נמוך כחלק מהענן ולהתייחס ליישומים בפלטפורמות הללו כמו שאנו נוהגים בכל יישום אחר.
