Estamos pensando em SaaS da maneira errada

Estamos acostumados a pensar em proteger as plataformas de software como serviço (SaaS) e a nuvem como duas feras separadas. Esta separação decorre da forma como o SaaS e a nuvem pública surgiram inicialmente como pequenas soluções pontuais e uma extensão do data center tradicional, respectivamente. Hoje, devido ao advento do low code, esta separação é errada e impede-nos de ver o que está bem diante dos nossos olhos. O baixo código torna as plataformas SaaS parte da nuvem pública, um lugar onde os desenvolvedores criam vários aplicativos em vez de consumir um único: uma plataforma em nuvem.

Deixar de mudar nossa mentalidade leva ao ponto em que estamos hoje, com esses aplicativos sendo deixados à disposição, sem visibilidade de segurança. E para piorar a situação, os aplicativos de baixo código são incorporados diretamente em plataformas como Salesforce e Microsoft Dynamics, que todos nós usamos e que armazenam nossos dados comerciais mais confidenciais.

Como chegámos aqui?

As histórias de origem são sempre interessantes porque explicam algo fundamental sobre a forma como percebemos o herói da história. Enquanto o SaaS começou como uma extensão da rede corporativa, a nuvem pública começou como uma extensão do data center. Esses pontos de partida muito diferentes explicam por que a segurança do SaaS começou com a shadow IT (protegendo o perímetro) e a segurança da nuvem pública começou com a proteção da carga de trabalho (servidores lift-and-shift e seus agentes de rede/host). Isso também significou que diferentes equipes de segurança foram encarregadas de proteger o SaaS e a nuvem, o que, claro, levou a uma separação de ferramentas, a diferentes modelos de ameaças e, o mais importante, à formação de diferentes mentalidades de segurança.

Tanto o SaaS quanto a nuvem pública evoluíram drasticamente desde os primeiros dias. Os fornecedores de nuvem pública introduziram paradigmas de computação cada vez mais granulares, introduzindo gradualmente infraestrutura como serviço (IaaS), plataforma como serviço (PaaS) e sem servidor para ajudar os desenvolvedores a se concentrarem no problema de negócios em questão. Eles também construíram um ecossistema completo de soluções prontas para problemas complexos, porém comuns — identidade, permissões, registro em log, configuração e implantação, para citar alguns.

SaaS costumava significar uma solução pontual para um problema específico. O Salesforce começou como um CRM, o ServiceNow como um sistema de tickets e o Office365 como e-mail, planilhas, documentos e slides. (Embora esta seja mais de uma solução, estas são soluções muito específicas.) Compare isso com hoje: os desenvolvedores do Salesforce estão criando aplicativos para praticamente qualquer necessidade de negócios além da Salesforce Platform, os aplicativos de baixo código ServiceNow são lidar com praticamente qualquer coisa de RH a processos de saúde e finanças, e o Power Platform, a plataforma de baixo código da Microsoft incorporada ao Office365, está sendo usado por mais de 20 milhões de usuários em toda a indústria para resolver todas as necessidades de negócios, desde a produtividade até às aquisições e aos processos relacionados com a COVID.

Claramente, estas tornaram-se plataformas de desenvolvimento de aplicações de nível empresarial e não apontam soluções para problemas de negócios específicos. Muitos desenvolvedores hoje optam por construir seus aplicativos em abstrações fornecidas pela plataforma, sejam funções sem servidor na nuvem pública ou blocos de construção extensíveis em plataformas SaaS de baixo código.

A introdução de desenvolvedores de negócios

Comparar como as plataformas SaaS começaram e onde estão agora mostra claramente o quanto elas evoluíram em relação às versões anteriores. Mas ainda há uma grande mudança que ainda não mencionamos: a introdução de desenvolvedores de negócios.

As plataformas SaaS low-code extraem seu poder dos dados que mantêm e de seus usuários existentes. Ambos não estão limitados à TI, mas sim fortemente voltados para os negócios. Ter acesso aos dados empresariais e aos utilizadores empresariais significa que o SaaS está na posição perfeita para enfrentar o problema mais premente que muitas empresas enfrentam hoje: a transformação digital.

Com a escassez global de desenvolvedores e a dificuldade de agilizar um processo de negócios com tantas partes interessadas, as plataformas de baixo código introduzem um atalho, permitindo que os próprios usuários empresariais agilizem seus processos, sem esperar pela TI.

O low code está decolando entre os usuários empresariais, tanto que em sua palestra Inspire de 2019, o CEO da Microsoft, Satya Nadella discutimos a oportunidade de low code para capacitar as pessoas e criar novos empregos de colarinho branco, assim como o Excel fez.

Assim como a nuvem pública é uma plataforma de desenvolvimento de aplicativos que permite aos desenvolvedores se concentrarem em sua lógica de negócios, as plataformas SaaS tornaram-se plataformas de desenvolvimento de aplicativos usando low code para capacitar os usuários corporativos a se tornarem desenvolvedores e atenderem a qualquer necessidade de negócios.

O SaaS agora está focado em novos tipos de desenvolvedores que atendem a uma ampla gama de necessidades de negócios não atendidas com aplicativos dedicados, criando um novo tipo de nuvem: a nuvem empresarial.

Protegendo o Low Code como uma extensão da nuvem

Com a constatação de que algumas plataformas SaaS são agora plataformas de desenvolvimento de aplicações e uma extensão da nuvem, devemos reexaminar a responsabilidades por proteger esses aplicativos e colocá-los sob a proteção da equipe de segurança.

Devemos tratar plataformas como Salesforce, ServiceNow e Office365 da mesma forma que tratamos AWS, Azure e GCP, onde nos concentramos nos aplicativos que foram construídos e estão hospedados nessas plataformas de desenvolvimento de aplicativos, em vez de tratar toda a plataforma como um único aplicativo .

Shadow IT, por exemplo, continua sendo um problema com um número cada vez menor de SaaS de soluções pontuais. Mas não faz sentido tratar qualquer plataforma mencionada acima como um único aplicativo para descobrir e catalogar. Em vez disso, deveríamos descobrir e catalogar os aplicativos criados com essas plataformas – e existem dezenas de milhares delas. Na maioria das organizações, essa enorme complexidade está escondida atrás de uma única linha no inventário de aplicativos.

Os aplicativos desenvolvidos com plataformas SaaS low-code devem ser examinado com o mesmo rigor de segurança que usamos para aqueles construídos na nuvem porque, no final das contas, um aplicativo é um aplicativo, não importa onde foi construído e hospedado.

O que importa para a segurança de nossos aplicativos de negócios são as pessoas, os processos e as ferramentas envolvidas na criação, manutenção e proteção desses aplicativos. Para aplicações construídas na nuvem, temos desenvolvedores profissionais, processos automatizados de CI/CD e diversas ferramentas de segurança, desde varredura de código e análise dinâmica até monitoramento e prevenção em tempo de execução. Para aplicações construídas em plataformas SaaS low-code, temos alguns desenvolvedores profissionais, mas também usuários empresariais que estão não conhecedor de segurança, com poucos ou nenhum processo de implantação e sem controles ou garantias de segurança.

Pensar em plataformas de baixo código como parte de SaaS torna difícil vermos que um enorme parte dos nossos aplicativos de negócios agora estão sendo desenvolvidos pela empresa, fora da TI e fora do controle de segurança. Para começar a ver o problema e descobrir a nossa abordagem a ele, devemos mudar a nossa mentalidade para reconhecer as plataformas de baixo código como parte da nuvem e tratar as aplicações nessas plataformas como fazemos com qualquer outra aplicação.