We zijn gewend om te denken aan het beveiligen van Software-as-a-Service (SaaS)-platforms en de cloud als twee afzonderlijke beesten. Deze scheiding komt voort uit de manier waarop SaaS en de publieke cloud voor het eerst naar voren kwamen als respectievelijk kleine oplossingen en een uitbreiding van het traditionele datacenter. Tegenwoordig is deze scheiding, als gevolg van de komst van low-code, verkeerd en weerhoudt het ons ervan te zien wat zich vlak voor onze ogen afspeelt. Low-code maakt SaaS-platforms onderdeel van de publieke cloud, een plek waar ontwikkelaars meerdere applicaties bouwen in plaats van er één te gebruiken: een cloudplatform.
Als we er niet in slagen onze mentaliteit te veranderen, komen we terecht bij waar we nu staan, waarbij die toepassingen voor het oprapen liggen zonder dat er zicht is op de beveiliging. En tot overmaat van ramp zijn low-code-applicaties rechtstreeks ingebed in platforms als Salesforce en Microsoft Dynamics, die we allemaal gebruiken en die onze meest gevoelige bedrijfsgegevens bevatten.
Hoe zijn we hier gekomen?
Oorsprongsverhalen zijn altijd interessant omdat ze iets fundamenteels verklaren over de manier waarop we de held van het verhaal waarnemen. Terwijl SaaS begon als een verlengstuk van het bedrijfsnetwerk, begon de publieke cloud als een verlengstuk van het datacenter. Deze zeer verschillende uitgangspunten verklaren waarom het beveiligen van SaaS begon met schaduw-IT (het beschermen van de perimeter) en het beveiligen van de publieke cloud begon met bescherming van de werklast (lift-and-shift-servers en hun netwerk/hostagenten). Dit betekende ook dat verschillende beveiligingsteams de taak kregen om SaaS en de cloud te beveiligen, wat uiteraard leidde tot een scheiding van tools, verschillende dreigingsmodellen en, belangrijker nog, de vorming van verschillende beveiligingsmentaliteiten.
Zowel SaaS als de publieke cloud zijn vanaf die begindagen drastisch geëvolueerd. Leveranciers van publieke clouds introduceerden steeds gedetailleerdere computerparadigma's, waarbij ze geleidelijk infrastructuur as a service (IaaS), platform as a service (PaaS) en serverless introduceerden om ontwikkelaars te helpen zich te concentreren op het zakelijke probleem. Ze bouwden ook een heel ecosysteem van kant-en-klare oplossingen voor complexe maar veelvoorkomende problemen: identiteit, machtigingen, logboekregistratie, configuratie en implementatie, om er maar een paar te noemen.
Vroeger betekende SaaS een puntoplossing voor een specifiek probleem. Salesforce begon als CRM, ServiceNow als ticketingsysteem en Office365 als e-mail, spreadsheets, documenten en dia's. (Hoewel dit meer dan één oplossing is, zijn dit zeer specifieke oplossingen.) Vergelijk dat eens met vandaag: Salesforce-ontwikkelaars bouwen apps voor vrijwel elke zakelijke behoefte bovenop het Salesforce Platform zijn ServiceNow low-code apps omgaan met zo ongeveer alles van HR tot gezondheids- en financiële processen, en Power Platform, het low-code platform van Microsoft ingebed in Office365, wordt gebruikt door meer dan 20 miljoen gebruikers in de hele industrie om elke zakelijke behoefte op te lossen, van productiviteit tot inkoop en COVID-gerelateerde processen.
Het is duidelijk dat dit platforms voor de ontwikkeling van bedrijfsapplicaties zijn geworden, en geen kant-en-klare oplossingen voor specifieke bedrijfsproblemen. Veel ontwikkelaars kiezen er tegenwoordig voor om hun applicaties te bouwen op door het platform geleverde abstracties, of het nu gaat om serverloze functies in de publieke cloud of uitbreidbare bouwstenen op SaaS-low-code-platforms.
De introductie van bedrijfsontwikkelaars
Als je vergelijkt hoe SaaS-platforms zijn begonnen en waar ze nu staan, kun je duidelijk zien hoe ver deze zijn gekomen ten opzichte van hun eerdere versies. Maar er is nog steeds een grote verschuiving die we nog niet hebben genoemd: de introductie van bedrijfsontwikkelaars.
SaaS low-code platforms halen hun kracht uit de data die zij bijhouden en hun bestaande gebruikers. Deze zijn beide niet beperkt tot IT, maar neigen sterk naar de business. Het hebben van toegang tot zowel zakelijke gegevens als zakelijke gebruikers betekent dat SaaS zich in de perfecte positie bevindt om het meest urgente probleem waarmee veel bedrijven tegenwoordig worden geconfronteerd aan te pakken: digitale transformatie.
Met een wereldwijd tekort aan ontwikkelaars en de moeilijkheid om een bedrijfsproces met zoveel belanghebbenden te stroomlijnen, introduceren low-code platforms een kortere weg, waardoor zakelijke gebruikers hun processen zelf kunnen stroomlijnen zonder op IT te hoeven wachten.
Low-code is populair bij zakelijke gebruikers, zo erg zelfs dat Microsoft-CEO Satya Nadella in zijn Inspire-keynote van 2019 de mogelijkheid besproken van low-code om mensen meer mogelijkheden te geven en nieuwe witteboordenbanen te creëren, net zoals Excel dat deed.
Net zoals de publieke cloud een applicatie-ontwikkelplatform is waarmee ontwikkelaars zich kunnen concentreren op hun bedrijfslogica, zijn SaaS-platforms applicatie-ontwikkelplatforms geworden die gebruik maken van low-code om zakelijke gebruikers in staat te stellen ontwikkelaars te worden en aan elke zakelijke behoefte te voldoen.
SaaS richt zich nu op nieuwe soorten ontwikkelaars die een hele reeks onvervulde zakelijke behoeften aanpakken met speciale applicaties, waardoor een nieuw type cloud ontstaat: de zakelijke cloud.
Beveiliging van Low Code als verlengstuk van de cloud
Met het besef dat sommige SaaS-platforms nu applicatie-ontwikkelplatforms zijn en een verlengstuk van de cloud, moeten we de verantwoordelijkheden voor het beveiligen van deze applicaties en het onder de paraplu van het beveiligingsteam brengen.
We moeten platforms als Salesforce, ServiceNow en Office365 op dezelfde manier behandelen als AWS, Azure en GCP, waarbij we ons concentreren op de applicaties die zijn gebouwd en worden gehost op deze applicatie-ontwikkelplatforms, in plaats van het hele platform als één enkele applicatie te behandelen. .
Schaduw-IT blijft bijvoorbeeld een probleem met een kleiner en steeds groter aantal SaaS-oplossingen met puntoplossingen. Maar het heeft geen zin om elk hierboven genoemd platform te behandelen als één enkele app om te ontdekken en te catalogiseren. In plaats daarvan zouden we de applicaties die met deze platforms zijn gebouwd moeten ontdekken en catalogiseren – en dat zijn er tienduizenden. In de meeste organisaties zit deze enorme complexiteit verborgen achter één regel in een applicatie-inventarisatie.
Applicaties die zijn gebouwd met SaaS low-code-platforms zouden dat moeten zijn onderzocht met dezelfde strikte beveiliging die we gebruiken voor applicaties die in de cloud zijn gebouwd, omdat een applicatie uiteindelijk een applicatie is, ongeacht waar deze is gebouwd en gehost.
Wat er wel toe doet voor de veiligheid van onze bedrijfsapplicaties zijn de mensen, processen en tools die betrokken zijn bij het maken, onderhouden en beschermen van die applicaties. Voor applicaties die in de cloud zijn gebouwd, beschikken we over professionele ontwikkelaars, geautomatiseerde CI/CD-processen en verschillende beveiligingstools, van het scannen van codes en dynamische analyse tot runtime-monitoring en -preventie. Voor applicaties gebouwd op SaaS low-code platforms hebben we een aantal professionele ontwikkelaars, maar ook zakelijke gebruikers die dat wel zijn niet op veiligheidsgebiedmet weinig tot geen implementatieprocessen en geen veiligheidscontroles of garanties.
Als we nadenken over low-code platforms als onderdeel van SaaS, kunnen we moeilijk inzien dat reusachtig deel van onze bedrijfsapplicaties wordt nu gebouwd door de business, buiten IT en buiten de veiligheidscontrole. Om het probleem te zien en onze aanpak ervan te bepalen, moeten we onze mentaliteit veranderen en low-code platforms erkennen als onderdeel van de cloud en de applicaties op die platforms behandelen zoals we elke andere applicatie behandelen.
