Vi är vana vid att tänka på att säkra SaaS-plattformar (software-as-a-service) och molnet som två separata bestar. Denna separation härrör från hur SaaS och det offentliga molnet först uppstod som små punktlösningar respektive en förlängning av det traditionella datacentret. Idag, på grund av tillkomsten av låg kod, är denna separation fel, och den håller oss tillbaka från att se vad som är mitt framför våra ögon. Låg kod gör SaaS-plattformar till en del av det offentliga molnet, en plats där utvecklare bygger flera applikationer snarare än att konsumera en enda: en molnplattform.
Att misslyckas med att ändra vårt tänkesätt leder till där vi är idag, med dessa applikationer som inte är synliga för säkerheten. Och för att göra saken värre är applikationer med låg kod inbäddade direkt i plattformar som Salesforce och Microsoft Dynamics, som vi alla använder och som innehåller vår mest känsliga affärsdata.
Hur kom vi hit?
Ursprungshistorier är alltid intressanta eftersom de förklarar något grundläggande om hur vi uppfattar berättelsens hjälte. Medan SaaS började som en förlängning av företagsnätverket, började det offentliga molnet som en förlängning av datacentret. Dessa mycket olika utgångspunkter förklarar varför säkra SaaS började med shadow IT (skydda omkretsen) och säkra det offentliga molnet började med arbetsbelastningsskydd (lift-and-shift-servrar och deras nätverk/värdagenter). Detta innebar också att olika säkerhetsteam fick i uppdrag att säkra SaaS och molnet, vilket naturligtvis ledde till en separation av verktyg, olika hotmodellering och, viktigast av allt, bildandet av olika säkerhetstänk.
Både SaaS och det offentliga molnet har utvecklats drastiskt från de tidiga dagarna. Offentliga molnleverantörer introducerade allt mer detaljerade beräkningsparadigm och introducerade gradvis infrastruktur som en tjänst (IaaS), plattform som en tjänst (PaaS) och serverlös för att hjälpa utvecklare att fokusera på det aktuella affärsproblemet. De byggde också ett helt ekosystem av färdiga lösningar för komplexa men vanliga problem – identitet, behörigheter, loggning, konfiguration och distribution, för att nämna några.
SaaS brukade betyda en punktlösning för ett specifikt problem. Salesforce började som ett CRM, ServiceNow som ett biljettsystem och Office365 som e-post, kalkylblad, dokument och bilder. (Även om det här är mer än en lösning, är dessa mycket specifika.) Jämför det med idag: Salesforce-utvecklare bygger appar för nästan alla affärsbehov ovanpå Salesforce-plattformen är ServiceNow lågkodsappar hantera precis vad som helst från HR till hälso- och ekonomiprocesser, och Power Platform, Microsofts lågkodsplattform inbäddad i Office365, används av mer än 20 miljoner användare över hela branschen för att lösa alla affärsbehov, från produktivitet till upphandling och covid-relaterade processer.
Det är uppenbart att dessa har blivit applikationsutvecklingsplattformar av företagsklass, inte punktlösningar på specifika affärsproblem. Många utvecklare väljer idag att bygga sina applikationer på plattformsförsedda abstraktioner, oavsett om det är serverlösa funktioner på det offentliga molnet eller utbyggbara byggstenar på SaaS lågkodsplattformar.
Introduktionen av affärsutvecklare
Att jämföra hur SaaS-plattformar startade och var de är nu visar tydligt hur långt dessa har kommit från sina tidigare versioner. Men det finns fortfarande ett stort skifte som vi inte har nämnt ännu: införandet av affärsutvecklare.
SaaS-lågkodsplattformar hämtar sin kraft från den data de underhåller och deras befintliga användare. De är båda inte begränsade till IT utan snarare sneda kraftigt mot verksamheten. Att ha tillgång till både affärsdata och affärsanvändare innebär att SaaS är i den perfekta positionen för att ta itu med det mest akuta problemet som många företag står inför idag – digital transformation.
Med en global brist på utvecklare och svårigheten att effektivisera en affärsprocess med så många intressenter, introducerar lågkodsplattformar en genväg som låter affärsanvändarna effektivisera sina processer själva utan att vänta på IT.
Låg kod tar fart hos företagsanvändare, så mycket att i hans 2019 Inspire keynote, Microsofts vd Satya Nadella diskuterade möjligheten av låg kod för att stärka människor och skapa nya tjänstemannajobb precis som Excel gjorde.
Precis som det offentliga molnet är en applikationsutvecklingsplattform som gör det möjligt för utvecklare att fokusera på sin affärslogik, har SaaS-plattformar blivit applikationsutvecklingsplattformar som använder låg kod för att ge affärsanvändare möjlighet att bli utvecklare och möta alla affärsbehov.
SaaS är nu fokuserat på nya typer av utvecklare som tillgodoser en hel rad ouppfyllda affärsbehov med dedikerade applikationer, vilket skapar en ny typ av moln: affärsmolnet.
Säkra låg kod som en förlängning av molnet
Med insikten att vissa SaaS-plattformar nu är applikationsutvecklingsplattformar och en förlängning av molnet, bör vi ompröva ansvar för att säkra dessa applikationer och föra dem under säkerhetsteamets paraply.
Vi bör behandla plattformar som Salesforce, ServiceNow och Office365 på samma sätt som vi behandlar AWS, Azure och GCP, där vi fokuserar på de applikationer som byggdes och finns på dessa applikationsutvecklingsplattformar snarare än att behandla hela plattformen som en enda applikation .
Shadow IT, till exempel, är fortfarande ett problem med mindre och ett ständigt växande antal punktlösningar SaaS. Men det är inte vettigt att behandla någon enskild plattform som nämns ovan som en enda app att upptäcka och katalogisera. Istället bör vi upptäcka och katalogisera de applikationer som byggts med dessa plattformar – och det finns tiotusentals av dem. I de flesta organisationer döljs denna enorma komplexitet bakom en enda rad i en applikationsinventering.
Applikationer byggda med SaaS lågkodsplattformar bör vara undersöktes med samma säkerhetsstränga som vi använder för de som är byggda på molnet eftersom, i slutet av dagen, är en applikation en applikation, oavsett var den byggdes och var värd.
Det som spelar roll för säkerheten för våra affärsapplikationer är människorna, processen och verktygen som är involverade i att tillverka, underhålla och skydda dessa applikationer. För applikationer byggda i molnet har vi professionella utvecklare, automatiserade CI/CD-processer och olika säkerhetsverktyg från kodskanning och dynamisk analys till runtime-övervakning och förebyggande. För applikationer byggda på SaaS lågkodsplattformar har vi några professionella utvecklare men även affärsanvändare som är det inte säkerhetskunnig, med få eller inga distributionsprocesser och inga säkerhetskontroller eller garantier.
Att tänka på lågkodsplattformar som en del av SaaS gör det svårt för oss att se att en stor del av våra affärsapplikationer byggs nu av verksamheten, utanför IT och utanför säkerhetskontrollen. För att börja se problemet och ta reda på vår inställning till det måste vi ändra vårt tankesätt för att erkänna lågkodsplattformar som en del av molnet och behandla applikationerna på dessa plattformar som vi gör med vilken annan applikation som helst.
