เรากำลังคิดเกี่ยวกับ SaaS ในทางที่ผิด

เราคุ้นเคยกับการคิดถึงการรักษาความปลอดภัยแพลตฟอร์มซอฟต์แวร์ในฐานะบริการ (SaaS) และระบบคลาวด์ในฐานะสัตว์ร้ายสองตัวที่แยกจากกัน การแยกนี้เกิดขึ้นจากวิธีที่ SaaS และระบบคลาวด์สาธารณะถือกำเนิดขึ้นเป็นครั้งแรกในฐานะโซลูชันจุดเล็กๆ และส่วนขยายของศูนย์ข้อมูลแบบเดิม ตามลำดับ ทุกวันนี้ เนื่องจากการถือกำเนิดของโค้ดต่ำ การแยกนี้จึงผิด และขัดขวางเราไม่ให้มองเห็นสิ่งที่อยู่ตรงหน้าเรา รหัสต่ำทำให้แพลตฟอร์ม SaaS เป็นส่วนหนึ่งของคลาวด์สาธารณะ ซึ่งเป็นสถานที่ที่นักพัฒนาสร้างแอพพลิเคชั่นหลายตัวแทนที่จะใช้เพียงตัวเดียว นั่นก็คือแพลตฟอร์มคลาวด์

การล้มเหลวในการเปลี่ยนกรอบความคิดของเรานำไปสู่จุดที่เราอยู่ทุกวันนี้ โดยแอปพลิเคชันเหล่านั้นถูกปล่อยให้คว้าไว้โดยไม่มีการมองเห็นด้านความปลอดภัย และที่แย่กว่านั้นคือ แอปพลิเคชันแบบ low-code จะถูกฝังลงในแพลตฟอร์ม เช่น Salesforce และ Microsoft Dynamics ซึ่งเราทุกคนใช้และเก็บข้อมูลทางธุรกิจที่ละเอียดอ่อนที่สุดของเรา

เรามาที่นี่ได้อย่างไร

เรื่องราวของ Origin นั้นน่าสนใจเสมอเพราะมันอธิบายบางสิ่งที่เป็นพื้นฐานเกี่ยวกับวิธีที่เรารับรู้ถึงฮีโร่ของเรื่อง แม้ว่า SaaS จะเริ่มต้นเป็นส่วนขยายของเครือข่ายองค์กร แต่ระบบคลาวด์สาธารณะก็เริ่มต้นเป็นส่วนขยายของศูนย์ข้อมูล จุดเริ่มต้นที่แตกต่างกันมากเหล่านั้นอธิบายว่าทำไมการรักษาความปลอดภัย SaaS จึงเริ่มต้นด้วย Shadow IT (การปกป้องขอบเขต) และการรักษาความปลอดภัยบนคลาวด์สาธารณะเริ่มต้นด้วยการป้องกันปริมาณงาน (เซิร์ฟเวอร์แบบยกและเปลี่ยนและตัวแทนเครือข่าย/โฮสต์) นอกจากนี้ยังหมายความว่าทีมรักษาความปลอดภัยต่างๆ ได้รับมอบหมายให้รักษาความปลอดภัย SaaS และระบบคลาวด์ ซึ่งแน่นอนว่านำไปสู่การแยกเครื่องมือ การสร้างแบบจำลองภัยคุกคามที่แตกต่างกัน และที่สำคัญที่สุดคือการก่อตัวของกรอบความคิดด้านความปลอดภัยที่แตกต่างกัน

ทั้ง SaaS และระบบคลาวด์สาธารณะมีการพัฒนาอย่างมากจากช่วงแรกๆ เหล่านั้น ผู้จำหน่ายระบบคลาวด์สาธารณะได้แนะนำกระบวนทัศน์การประมวลผลที่ละเอียดยิ่งขึ้น โดยค่อยๆ เปิดตัวโครงสร้างพื้นฐานในรูปแบบบริการ (IaaS) แพลตฟอร์มในรูปแบบบริการ (PaaS) และแบบไร้เซิร์ฟเวอร์ เพื่อช่วยให้นักพัฒนามุ่งเน้นไปที่ปัญหาทางธุรกิจที่มีอยู่ พวกเขายังสร้างระบบนิเวศทั้งหมดของโซลูชันสำเร็จรูปสำหรับปัญหาที่ซับซ้อนแต่พบบ่อย เช่น ข้อมูลระบุตัวตน สิทธิ์ การบันทึก การกำหนดค่า และการปรับใช้ และอื่นๆ อีกมากมาย

SaaS เคยหมายถึงวิธีแก้ปัญหาเฉพาะจุดสำหรับปัญหาเฉพาะ Salesforce เริ่มต้นจาก CRM, ServiceNow เป็นระบบตั๋ว และ Office365 เป็นอีเมล สเปรดชีต เอกสาร และสไลด์ (แม้ว่านี่จะเป็นโซลูชันมากกว่าหนึ่งโซลูชัน แต่ก็เป็นโซลูชันที่เฉพาะเจาะจงมาก) ตรงกันข้ามกับปัจจุบัน: นักพัฒนา Salesforce กำลังสร้างแอปสำหรับ แทบทุกความต้องการทางธุรกิจ นอกเหนือจากแพลตฟอร์ม Salesforce แล้ว ยังมีแอป ServiceNow แบบ low-code อีกด้วย จัดการกับอะไรก็ได้ ตั้งแต่ทรัพยากรบุคคลไปจนถึงกระบวนการด้านสุขภาพและการเงิน และ Power Platform ซึ่งเป็นแพลตฟอร์มแบบ low-code ของ Microsoft ที่ฝังอยู่ใน Office365 กำลังถูกใช้งานโดยมากกว่า 20 ล้านผู้ใช้ ทั่วทั้งอุตสาหกรรม เพื่อตอบโจทย์ทุกความต้องการทางธุรกิจตั้งแต่ความสามารถในการผลิตไปจนถึงการจัดซื้อจัดจ้างและกระบวนการที่เกี่ยวข้องกับโควิด

เห็นได้ชัดว่าสิ่งเหล่านี้ได้กลายเป็นแพลตฟอร์มการพัฒนาแอปพลิเคชันระดับองค์กร ไม่ใช่แนวทางแก้ไขปัญหาทางธุรกิจที่เฉพาะเจาะจง นักพัฒนาจำนวนมากในปัจจุบันเลือกที่จะสร้างแอปพลิเคชันของตนบนนามธรรมที่จัดเตรียมโดยแพลตฟอร์ม ไม่ว่าจะเป็นฟังก์ชันแบบไร้เซิร์ฟเวอร์บนคลาวด์สาธารณะหรือแบบเอกสารสำเร็จรูปที่ขยายได้บนแพลตฟอร์ม SaaS แบบ low-code

บทนำของนักพัฒนาธุรกิจ

การเปรียบเทียบวิธีที่แพลตฟอร์ม SaaS เริ่มต้นและตำแหน่งปัจจุบันแสดงให้เห็นอย่างชัดเจนว่าแพลตฟอร์มเหล่านี้มาจากเวอร์ชันก่อนหน้ามากเพียงใด แต่ยังมีการเปลี่ยนแปลงสำคัญที่เรายังไม่ได้กล่าวถึง นั่นคือการเปิดตัวนักพัฒนาธุรกิจ

แพลตฟอร์ม SaaS แบบ low-code ดึงศักยภาพมาจากข้อมูลที่พวกเขาดูแลรักษาและผู้ใช้ที่มีอยู่ สิ่งเหล่านี้ไม่ได้จำกัดอยู่เพียงด้านไอที แต่ค่อนข้างเอียงไปทางธุรกิจอย่างมาก การเข้าถึงทั้งข้อมูลทางธุรกิจและผู้ใช้ทางธุรกิจหมายความว่า SaaS อยู่ในตำแหน่งที่สมบูรณ์แบบในการจัดการกับปัญหาเร่งด่วนที่สุดที่องค์กรจำนวนมากเผชิญอยู่ในปัจจุบัน นั่นก็คือ การเปลี่ยนแปลงทางดิจิทัล

เนื่องจากปัญหาการขาดแคลนนักพัฒนาทั่วโลกและความยากลำบากในการปรับปรุงกระบวนการทางธุรกิจร่วมกับผู้มีส่วนได้ส่วนเสียจำนวนมาก แพลตฟอร์มที่ใช้โค้ดน้อยจึงแนะนำทางลัด เพื่อให้ผู้ใช้ทางธุรกิจปรับปรุงกระบวนการด้วยตนเองโดยไม่ต้องรอฝ่ายไอที

การใช้โค้ดต่ำกำลังเป็นที่นิยมในหมู่ผู้ใช้ทางธุรกิจ มากเสียจนในคำปราศรัย Inspire ประจำปี 2019 ของเขา Satya Nadella CEO ของ Microsoft กล่าวถึงโอกาสนี้ ของโค้ดที่ต่ำเพื่อเพิ่มศักยภาพให้กับผู้คน และสร้างงานปกขาวใหม่ๆ เช่นเดียวกับที่ Excel ทำ

เช่นเดียวกับคลาวด์สาธารณะที่เป็นแพลตฟอร์มการพัฒนาแอปพลิเคชันที่ช่วยให้นักพัฒนามุ่งเน้นไปที่ตรรกะทางธุรกิจของตนได้ แพลตฟอร์ม SaaS ได้กลายเป็นแพลตฟอร์มการพัฒนาแอปพลิเคชันที่ใช้โค้ดน้อยเพื่อเพิ่มศักยภาพให้กับผู้ใช้ทางธุรกิจในการเป็นนักพัฒนาและตอบสนองความต้องการทางธุรกิจ

ขณะนี้ SaaS มุ่งเน้นไปที่นักพัฒนาประเภทใหม่ๆ ที่ตอบสนองความต้องการทางธุรกิจที่ไม่ได้รับการตอบสนองด้วยแอปพลิเคชันเฉพาะ ทำให้เกิดคลาวด์รูปแบบใหม่: คลาวด์ธุรกิจ

การรักษาความปลอดภัยโค้ดต่ำเป็นส่วนขยายของคลาวด์

ด้วยความตระหนักว่าแพลตฟอร์ม SaaS บางแพลตฟอร์มเป็นแพลตฟอร์มการพัฒนาแอปพลิเคชันและเป็นส่วนขยายของระบบคลาวด์ เราควรตรวจสอบอีกครั้ง ความรับผิดชอบ เพื่อรักษาความปลอดภัยแอปพลิเคชันเหล่านั้นและนำพวกเขาไปอยู่ภายใต้การดูแลของทีมรักษาความปลอดภัย

เราควรปฏิบัติต่อแพลตฟอร์ม เช่น Salesforce, ServiceNow และ Office365 เช่นเดียวกับที่เราปฏิบัติต่อ AWS, Azure และ GCP โดยที่เรามุ่งเน้นไปที่แอปพลิเคชันที่สร้างขึ้นและโฮสต์ในแพลตฟอร์มการพัฒนาแอปพลิเคชันเหล่านี้ แทนที่จะปฏิบัติต่อทั้งแพลตฟอร์มเป็นแอปพลิเคชันเดียว .

ตัวอย่างเช่น Shadow IT ยังคงเป็นปัญหาเกี่ยวกับ SaaS แบบ point-solution ที่น้อยลงและมีจำนวนเพิ่มมากขึ้นเรื่อยๆ แต่มันไม่สมเหตุสมผลเลยที่จะถือว่าแพลตฟอร์มเดียวที่กล่าวถึงข้างต้นเป็นแอปเดียวในการค้นหาและจัดทำแค็ตตาล็อก แต่เราควรค้นพบและจัดทำแคตตาล็อกแอปพลิเคชันที่สร้างด้วยแพลตฟอร์มเหล่านั้นแทน — และมีแอปพลิเคชันเหล่านั้นนับหมื่นรายการ ในองค์กรส่วนใหญ่ ความซับซ้อนมหาศาลนี้ซ่อนอยู่ในบรรทัดเดียวในคลังแอปพลิเคชัน

แอปพลิเคชันที่สร้างด้วยแพลตฟอร์ม SaaS low-code ควรเป็น การตรวจสอบ ด้วยความเข้มงวดด้านความปลอดภัยแบบเดียวกับที่เราใช้กับแอปพลิเคชันที่สร้างขึ้นบนระบบคลาวด์ เพราะท้ายที่สุดแล้ว แอปพลิเคชันก็คือแอปพลิเคชัน ไม่ว่าจะสร้างและโฮสต์ไว้ที่ใดก็ตาม

สิ่งที่สำคัญสำหรับการรักษาความปลอดภัยแอปพลิเคชันทางธุรกิจของเราคือบุคลากร กระบวนการ และเครื่องมือที่เกี่ยวข้องในการสร้าง ดูแลรักษา และปกป้องแอปพลิเคชันเหล่านั้น สำหรับแอปพลิเคชันที่สร้างขึ้นในระบบคลาวด์ เรามีนักพัฒนามืออาชีพ กระบวนการ CI/CD อัตโนมัติ และเครื่องมือรักษาความปลอดภัยต่างๆ ตั้งแต่การสแกนโค้ดและการวิเคราะห์แบบไดนามิกผ่านการตรวจสอบและป้องกันรันไทม์ สำหรับแอปพลิเคชันที่สร้างบนแพลตฟอร์ม SaaS แบบ low-code เรามีนักพัฒนามืออาชีพบางส่วน รวมถึงผู้ใช้ทางธุรกิจด้วยเช่นกัน ไม่เชี่ยวชาญเรื่องความปลอดภัยมี กระบวนการปรับใช้น้อยหรือไม่มีเลย และไม่มีการควบคุมหรือรับประกันความปลอดภัย

การคิดถึงแพลตฟอร์มแบบ low-code ซึ่งเป็นส่วนหนึ่งของ SaaS ทำให้เรามองเห็นได้ยาก ใหญ่ ส่วน แอปพลิเคชันทางธุรกิจของเรากำลังถูกสร้างขึ้นโดยธุรกิจ ภายนอกไอที และนอกการควบคุมความปลอดภัย เพื่อเริ่มมองเห็นปัญหาและหาแนวทางแก้ไขปัญหา เราต้องเปลี่ยนกรอบความคิดของเราเพื่อรับทราบถึงแพลตฟอร์มที่ใช้โค้ดน้อยซึ่งเป็นส่วนหนึ่งของระบบคลาวด์ และปฏิบัติต่อแอปพลิเคชันบนแพลตฟอร์มเหล่านั้นเหมือนกับที่เราทำกับแอปพลิเคชันอื่นๆ