Jesteśmy przyzwyczajeni do myślenia o zabezpieczaniu platform oprogramowania jako usługi (SaaS) i chmury jako dwóch oddzielnych bestii. Ta separacja wynika ze sposobu, w jaki SaaS i chmura publiczna pojawiły się po raz pierwszy odpowiednio jako małe rozwiązania punktowe i rozszerzenie tradycyjnego centrum danych. Dzisiaj, ze względu na pojawienie się niskiego kodu, ta separacja jest zła i powstrzymuje nas przed zobaczeniem tego, co jest tuż przed naszymi oczami. Niski poziom kodu sprawia, że platformy SaaS są częścią chmury publicznej, miejsca, w którym programiści tworzą wiele aplikacji zamiast konsumować jedną: platformę chmurową.
Niepowodzenie w zmianie naszego sposobu myślenia prowadzi do tego, gdzie jesteśmy dzisiaj, z tymi aplikacjami, które są pozostawione do zdobycia bez wglądu w bezpieczeństwo. Co gorsza, aplikacje z małą ilością kodu są osadzone bezpośrednio w platformach takich jak Salesforce i Microsoft Dynamics, z których wszyscy korzystamy i które przechowują nasze najbardziej wrażliwe dane biznesowe.
Jak się tu znaleźliśmy?
Historie pochodzenia są zawsze interesujące, ponieważ wyjaśniają coś fundamentalnego w sposobie, w jaki postrzegamy bohatera opowieści. Podczas gdy SaaS zaczął jako rozszerzenie sieci korporacyjnej, chmura publiczna zaczęła jako rozszerzenie centrum danych. Te bardzo różne punkty wyjścia wyjaśniają, dlaczego zabezpieczanie SaaS rozpoczęło się od shadow IT (ochrona granic), a zabezpieczanie chmury publicznej rozpoczęło się od ochrony obciążenia (serwery typu „lift-and-shift” i ich agenci sieci/hosta). Oznaczało to również, że różne zespoły ds. bezpieczeństwa miały za zadanie zabezpieczyć SaaS i chmurę, co oczywiście doprowadziło do rozdzielenia narzędzi, innego modelowania zagrożeń i, co najważniejsze, ukształtowania różnych sposobów myślenia o bezpieczeństwie.
Zarówno SaaS, jak i chmura publiczna drastycznie ewoluowały od tych początków. Dostawcy chmury publicznej wprowadzali coraz bardziej szczegółowe paradygmaty obliczeniowe, stopniowo wprowadzając infrastrukturę jako usługę (IaaS), platformę jako usługę (PaaS) i technologię bezserwerową, aby pomóc programistom skupić się na bieżącym problemie biznesowym. Zbudowali także cały ekosystem gotowych rozwiązań dla złożonych, ale powszechnych problemów — między innymi tożsamości, uprawnień, rejestrowania, konfiguracji i wdrażania.
Kiedyś SaaS oznaczało punktowe rozwiązanie konkretnego problemu. Salesforce zaczynał jako CRM, ServiceNow jako system biletowy, a Office365 jako poczta e-mail, arkusze kalkulacyjne, dokumenty i slajdy. (Chociaż jest to więcej niż jedno rozwiązanie, te są bardzo specyficzne.) Porównaj to z dzisiejszym: programiści Salesforce tworzą aplikacje dla prawie każdą potrzebę biznesową na platformie Salesforce znajdują się aplikacje ServiceNow z niskim kodem obchodzić się z czymkolwiek od HR po zdrowie i finanse, a Power Platform, niskokodowa platforma Microsoftu wbudowana w Office365, jest używana przez ponad 20 milionów użytkowników w całej branży rozwiązać każdą potrzebę biznesową, od produktywności poprzez zamówienia i procesy związane z COVID.
Najwyraźniej stały się one platformami do tworzenia aplikacji klasy korporacyjnej, a nie rozwiązaniami konkretnych problemów biznesowych. Wielu programistów decyduje się dziś na budowanie swoich aplikacji na abstrakcjach dostarczanych przez platformę, niezależnie od tego, czy są to funkcje bezserwerowe w chmurze publicznej, czy też rozszerzalne elementy składowe na niskokodowych platformach SaaS.
Wprowadzenie programistów biznesowych
Porównanie tego, jak powstały platformy SaaS i gdzie są obecnie, jasno pokazuje, jak daleko odeszły one od ich wcześniejszych wersji. Ale nadal istnieje ważna zmiana, o której jeszcze nie wspomnieliśmy: wprowadzenie programistów biznesowych.
Niskokodowe platformy SaaS czerpią moc z danych, które przechowują, oraz z istniejących użytkowników. Oba nie ograniczają się do IT, ale raczej mocno pochylają się w stronę biznesu. Dostęp zarówno do danych biznesowych, jak i użytkowników biznesowych oznacza, że SaaS jest w doskonałej pozycji do rozwiązania najpilniejszego problemu, z jakim boryka się obecnie wiele przedsiębiorstw — transformacji cyfrowej.
Przy globalnym niedoborze programistów i trudnościach w usprawnieniu procesu biznesowego przy tak wielu interesariuszach platformy niskokodowe wprowadzają skrót, pozwalając użytkownikom biznesowym na samodzielne usprawnienie procesów bez czekania na dział IT.
Użytkownicy biznesowi zyskują na niskim poziomie kodowania, do tego stopnia, że w swoim przemówieniu Inspire 2019 dyrektor generalny firmy Microsoft, Satya Nadella omówiono możliwość małej ilości kodu, aby zwiększyć możliwości ludzi i tworzyć nowe stanowiska pracy umysłowej, tak jak zrobił to program Excel.
Tak jak chmura publiczna jest platformą do tworzenia aplikacji umożliwiającą programistom skupienie się na ich logice biznesowej, platformy SaaS stały się platformami do tworzenia aplikacji wykorzystującymi niski kod, aby umożliwić użytkownikom biznesowym zostanie programistami i zaspokoić wszelkie potrzeby biznesowe.
SaaS koncentruje się teraz na nowych typach programistów, którzy za pomocą dedykowanych aplikacji zaspokajają cały szereg niezaspokojonych potrzeb biznesowych, tworząc nowy typ chmury: chmurę biznesową.
Zabezpieczanie niskiego kodu jako rozszerzenia chmury
Mając świadomość, że niektóre platformy SaaS są obecnie platformami do tworzenia aplikacji i rozszerzeniem chmury, powinniśmy ponownie przeanalizować obowiązki za zabezpieczenie tych aplikacji i objęcie ich opieką zespołu ds. bezpieczeństwa.
Platformy takie jak Salesforce, ServiceNow i Office365 powinniśmy traktować tak samo, jak traktujemy AWS, Azure i GCP, skupiając się na aplikacjach, które zostały zbudowane i są hostowane na tych platformach do tworzenia aplikacji, zamiast traktować całą platformę jako pojedynczą aplikację .
Na przykład Shadow IT pozostaje problemem w przypadku mniejszej i stale rosnącej liczby rozwiązań punktowych SaaS. Ale nie ma sensu traktować żadnej platformy wymienionej powyżej jako jednej aplikacji do odkrycia i katalogu. Zamiast tego powinniśmy odkrywać i katalogować aplikacje zbudowane na tych platformach — a są ich dziesiątki tysięcy. W większości organizacji ta ogromna złożoność jest ukryta za pojedynczą linią spisu aplikacji.
Aplikacje zbudowane na niskokodowych platformach SaaS powinny być zbadany z tymi samymi rygorami bezpieczeństwa, które stosujemy w przypadku aplikacji opartych na chmurze, ponieważ ostatecznie aplikacja to aplikacja, bez względu na to, gdzie została zbudowana i hostowana.
Dla bezpieczeństwa naszych aplikacji biznesowych liczą się ludzie, procesy i narzędzia, które są zaangażowane w tworzenie, utrzymywanie i ochronę tych aplikacji. W przypadku aplikacji zbudowanych w chmurze mamy profesjonalnych programistów, zautomatyzowane procesy CI/CD oraz różne narzędzia bezpieczeństwa, od skanowania kodu i analizy dynamicznej po monitorowanie i zapobieganie w czasie wykonywania. W przypadku aplikacji zbudowanych na niskokodowych platformach SaaS mamy profesjonalnych programistów, ale także użytkowników biznesowych nie obeznany z bezpieczeństwemZ niewiele lub brak procesów wdrażania i żadnych kontroli ani gwarancji bezpieczeństwa.
Myślenie o platformach niskokodowych jako części SaaS utrudnia nam dostrzeżenie, że a olbrzymi część naszych aplikacji biznesowych jest obecnie tworzonych przez biznes, poza działem IT i kontrolą bezpieczeństwa. Aby zacząć widzieć problem i wymyślić nasze podejście do niego, musimy zmienić sposób myślenia, aby uznać platformy z niskim kodem za część chmury i traktować aplikacje na tych platformach tak, jak każdą inną aplikację.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
