Мы привыкли думать о защите платформ программного обеспечения как услуги (SaaS) и облака как о двух разных зверях. Такое разделение связано с тем, что SaaS и общедоступное облако впервые возникли как небольшие точечные решения и расширение традиционного центра обработки данных соответственно. Сегодня, из-за появления low-code, такое разделение является неправильным и мешает нам увидеть то, что находится прямо перед нашими глазами. Низкий код делает платформы SaaS частью общедоступного облака, места, где разработчики создают несколько приложений, а не используют одно: облачную платформу.
Неспособность изменить наше мышление приводит к тому, что мы имеем сегодня, с этими приложениями, оставленными на произвол судьбы без видимости безопасности. И что еще хуже, приложения с низким кодом встроены прямо в такие платформы, как Salesforce и Microsoft Dynamics, которые мы все используем и которые хранят наши самые конфиденциальные бизнес-данные.
Как ты сюда попал?
Истории происхождения всегда интересны, потому что они объясняют что-то фундаментальное в том, как мы воспринимаем героя истории. В то время как SaaS начинался как расширение корпоративной сети, общедоступное облако начиналось как расширение центра обработки данных. Эти очень разные отправные точки объясняют, почему защита SaaS началась с теневых ИТ (защита периметра), а защита общедоступного облака началась с защиты рабочей нагрузки (серверы переноса и переноса и их сетевые/хост-агенты). Это также означало, что разным группам безопасности было поручено защищать SaaS и облако, что, конечно же, привело к разделению инструментов, различному моделированию угроз и, что наиболее важно, к формированию разных взглядов на безопасность.
И SaaS, и общедоступное облако претерпели значительные изменения с тех пор. Поставщики публичных облачных вычислений внедряли все более детализированные парадигмы вычислений, постепенно внедряя инфраструктуру как услугу (IaaS), платформу как услугу (PaaS) и бессерверные решения, чтобы помочь разработчикам сосредоточиться на текущей бизнес-задаче. Они также создали целую экосистему готовых решений для сложных, но распространенных проблем — идентификация, разрешения, ведение журнала, настройка и развертывание, и это лишь некоторые из них.
SaaS раньше означало точечное решение конкретной проблемы. Salesforce начиналась как CRM, ServiceNow — как система продажи билетов, а Office365 — как электронная почта, электронные таблицы, документы и слайды. (Хотя это несколько решений, они очень специфичны.) Сравните это с сегодняшним днем: разработчики Salesforce создают приложения для практически любые потребности бизнеса поверх платформы Salesforce, приложения ServiceNow с низким кодом обращаться с чем угодно от HR до процессов здравоохранения и финансов, а Power Platform, платформа Microsoft с низким кодом, встроенная в Office365, используется более чем 20 миллионов пользователей в отрасли для решения любой бизнес-задачи, от производительности до закупок и процессов, связанных с COVID.
Ясно, что они стали платформами для разработки приложений корпоративного уровня, а не решениями конкретных бизнес-задач. Сегодня многие разработчики предпочитают создавать свои приложения на абстракциях, предоставляемых платформой, будь то бессерверные функции в общедоступном облаке или расширяемые строительные блоки на платформах SaaS с низким кодом.
Введение бизнес-разработчиков
Сравнение того, как платформы SaaS зарождались и где они находятся сейчас, ясно показывает, насколько далеко они ушли от своих более ранних версий. Но есть еще один важный сдвиг, о котором мы еще не упомянули: появление бизнес-разработчиков.
Платформы SaaS с низким кодом черпают свою силу из данных, которые они поддерживают, и их существующих пользователей. И то, и другое не ограничивается ИТ, а скорее сильно смещено в сторону бизнеса. Наличие доступа как к бизнес-данным, так и к бизнес-пользователям означает, что SaaS находится в идеальном состоянии для решения самой насущной проблемы, с которой сегодня сталкиваются многие предприятия, — цифровой трансформации.
В условиях глобальной нехватки разработчиков и сложности оптимизации бизнес-процессов с таким количеством заинтересованных сторон платформы с низким кодом представляют собой ярлык, позволяющий бизнес-пользователям оптимизировать свои процессы самостоятельно, не дожидаясь помощи ИТ-специалистов.
Низкий уровень кода настолько популярен среди бизнес-пользователей, что в своем программном докладе Inspire 2019 генеральный директор Microsoft Сатья Наделла обсудили возможность низкоуровневого кода, чтобы расширить возможности людей и создать новые рабочие места для белых воротничков, как это сделал Excel.
Подобно тому, как общедоступное облако является платформой для разработки приложений, позволяющей разработчикам сосредоточиться на своей бизнес-логике, платформы SaaS стали платформами для разработки приложений с использованием низкоуровневого кода, позволяющего бизнес-пользователям становиться разработчиками и удовлетворять любые потребности бизнеса.
SaaS теперь ориентирован на новых типов разработчиков, которые удовлетворяют целый ряд неудовлетворенных потребностей бизнеса с помощью специализированных приложений, создавая новый тип облака: бизнес-облако.
Защита Low Code как расширение облака
С осознанием того, что некоторые платформы SaaS теперь являются платформами для разработки приложений и расширением облака, мы должны пересмотреть ответственности для обеспечения безопасности этих приложений и передачи их под эгиду службы безопасности.
Мы должны относиться к таким платформам, как Salesforce, ServiceNow и Office365, так же, как мы относимся к AWS, Azure и GCP, где мы фокусируемся на приложениях, которые были созданы и размещены на этих платформах разработки приложений, а не на всей платформе как на одном приложении. .
Теневые ИТ, например, остаются проблемой из-за меньшего и постоянно растущего числа точечных SaaS-решений. Но не имеет смысла рассматривать любую упомянутую выше платформу как одно приложение для поиска и каталогизации. Вместо этого нам следует обнаружить и каталогизировать приложения, созданные на этих платформах, а их десятки тысяч. В большинстве организаций эта огромная сложность скрыта за одной строкой в списке приложений.
Приложения, созданные с помощью платформ SaaS с низким кодом, должны рассмотрены с той же строгостью безопасности, которую мы используем для тех, которые созданы в облаке, потому что, в конце концов, приложение остается приложением, независимо от того, где оно было создано и размещено.
Что действительно важно для безопасности наших бизнес-приложений, так это люди, процессы и инструменты, которые участвуют в создании, обслуживании и защите этих приложений. Для приложений, созданных в облаке, у нас есть профессиональные разработчики, автоматизированные процессы CI/CD и различные инструменты безопасности, от сканирования кода и динамического анализа до мониторинга и предотвращения во время выполнения. Для приложений, созданных на платформах SaaS с низким кодом, у нас есть несколько профессиональных разработчиков, а также бизнес-пользователи, которые не разбирающийся в безопасностипризывают мало или совсем нет процессов развертывания и никаких мер безопасности или гарантий.
Думая о платформах с низким кодом как о части SaaS, нам трудно увидеть, что огромный часть наших бизнес-приложений в настоящее время создаются бизнесом вне ИТ и без контроля безопасности. Чтобы начать видеть проблему и выяснить наш подход к ней, мы должны изменить свое мышление, чтобы признать платформы с низким кодом частью облака и относиться к приложениям на этих платформах, как к любому другому приложению.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
