Hizmet olarak yazılım (SaaS) platformlarının ve bulutun güvenliğini iki ayrı canavar olarak düşünmeye alışkınız. Bu ayrım, SaaS ve genel bulutun ilk olarak sırasıyla küçük nokta çözümleri ve geleneksel veri merkezinin bir uzantısı olarak ortaya çıkmasından kaynaklanmaktadır. Günümüzde düşük kodun ortaya çıkması nedeniyle bu ayrım yanlıştır ve gözümüzün önündeki doğruyu görmemizi engellemektedir. Düşük kod, SaaS platformlarını, geliştiricilerin tek bir uygulamayı (bir bulut platformunu) tüketmek yerine birden fazla uygulama oluşturduğu bir yer olan genel bulutun bir parçası haline getirir.
Zihniyetimizi değiştirememek, bu uygulamaların hiçbir güvenlik görünürlüğü olmadan kapılmaya bırakıldığı bugün bulunduğumuz yere götürür. Daha da kötüsü, düşük kodlu uygulamalar doğrudan hepimizin kullandığı ve en hassas iş verilerimizi tutan Salesforce ve Microsoft Dynamics gibi platformlara yerleştirilmiştir.
Buraya nasıl geldik?
Köken hikayeleri her zaman ilgi çekicidir çünkü hikayenin kahramanını algılama biçimimizle ilgili temel bir şeyi açıklarlar. SaaS kurumsal ağın bir uzantısı olarak başlarken, genel bulut veri merkezinin bir uzantısı olarak başladı. Bu çok farklı başlangıç noktaları, SaaS güvenliğini sağlamanın neden gölge BT (çevreyi koruma) ile başladığını ve genel bulutun güvenliğini sağlamanın iş yükü korumasıyla (lift-and-shift sunucuları ve bunların ağ/ana bilgisayar aracıları) başladığını açıklıyor. Bu aynı zamanda, farklı güvenlik ekiplerinin SaaS ve bulutu güvence altına almakla görevlendirildiği anlamına geliyordu; bu da elbette araçların ayrılmasına, farklı tehdit modellemelerine ve en önemlisi farklı güvenlik zihniyetlerinin oluşmasına yol açtı.
Hem SaaS hem de genel bulut, o ilk günlerden bu yana büyük ölçüde gelişti. Genel bulut sağlayıcıları, geliştiricilerin eldeki iş sorununa odaklanmasına yardımcı olmak için yavaş yavaş hizmet olarak altyapı (IaaS), hizmet olarak platform (PaaS) ve sunucusuz hizmet sunarak her zamankinden daha ayrıntılı bilgi işlem paradigmaları getirdi. Ayrıca kimlik, izinler, günlüğe kaydetme, yapılandırma ve devreye alma gibi karmaşık ancak yaygın sorunlar için eksiksiz bir hazır çözümler ekosistemi oluşturdular.
SaaS, belirli bir sorun için bir nokta çözümü anlamına geliyordu. Salesforce bir CRM olarak, ServiceNow bir çağrı sistemi olarak ve Office365 e-posta, elektronik tablolar, belgeler ve slaytlar olarak başladı. (Bu, birden fazla çözüm olsa da, bunlar çok özel çözümlerdir.) Bugünküyle karşılaştırın: Salesforce Geliştiricileri, hemen hemen her türlü iş ihtiyacı Salesforce Platformunun yanı sıra, düşük kodlu ServiceNow uygulamaları hemen hemen her şeyle ilgilenmek İK'dan sağlık ve finans süreçlerine kadar ve Microsoft'un Office365'e yerleşik az kodlu platformu Power Platform, birden fazla kişi tarafından kullanılıyor 20 milyon kullanıcı endüstri genelinde her iş ihtiyacını çözmek için, üretkenlikten tedarik ve COVID ile ilgili süreçlere kadar.
Açıkçası, bunlar kurumsal düzeyde uygulama geliştirme platformları haline geldi, belirli iş sorunlarına çözüm getirmedi. Günümüzde pek çok geliştirici, ister genel bulutta sunucusuz işlevler isterse SaaS düşük kodlu platformlarda genişletilebilir yapı taşları olsun, uygulamalarını platform tarafından sağlanan soyutlamalar üzerinde oluşturmayı seçiyor.
İş Geliştiricilere Giriş
SaaS platformlarının nasıl başladığıyla şu anda nerede olduklarını karşılaştırmak, bunların önceki sürümlerinden ne kadar uzaklaştığını açıkça gösteriyor. Ancak henüz bahsetmediğimiz büyük bir değişim var: iş geliştiricilerin tanıtılması.
SaaS düşük kodlu platformlar, güçlerini tuttukları verilerden ve mevcut kullanıcılarından alır. Bunların ikisi de BT ile sınırlı değil, daha çok işletmeye doğru eğiliyor. Hem iş verilerine hem de iş kullanıcılarına erişime sahip olmak, SaaS'ın bugün birçok kuruluşun karşı karşıya olduğu en acil sorun olan dijital dönüşümle mücadele etmek için mükemmel bir konumda olduğu anlamına gelir.
Küresel bir geliştirici eksikliği ve bu kadar çok paydaşla bir iş sürecini düzene sokmanın zorluğuyla, düşük kodlu platformlar bir kısayol sunarak iş kullanıcılarının BT'yi beklemeden süreçlerini kendilerinin düzene koymasına olanak tanır.
Düşük kod, işletme kullanıcıları arasında o kadar popüler hale geliyor ki, 2019 Inspire açılış konuşmasında Microsoft CEO'su Satya Nadella fırsatı tartıştı tıpkı Excel'in yaptığı gibi insanları güçlendirmek ve yeni beyaz yakalı işler yaratmak için düşük kod.
Genel bulutun, geliştiricilerin iş mantığına odaklanmasını sağlayan bir uygulama geliştirme platformu olması gibi, SaaS platformları da iş kullanıcılarının geliştirici olmalarını ve her türlü iş ihtiyacını karşılamalarını sağlamak için az kod kullanan uygulama geliştirme platformları haline geldi.
SaaS artık özel uygulamalarla çok çeşitli karşılanmamış iş ihtiyaçlarını karşılayan yeni geliştirici türlerine odaklanıyor ve yeni bir bulut türü yaratıyor: iş bulutu.
Low Code'u Bulut Uzantısı Olarak Güvenli Hale Getirmek
Bazı SaaS platformlarının artık uygulama geliştirme platformları ve bulutun bir uzantısı olduğunun farkına varılmasıyla birlikte, sorumlulukları bu uygulamaların güvenliğini sağlamak ve onları güvenlik ekibinin şemsiyesi altına almak için.
Salesforce, ServiceNow ve Office365 gibi platformlara, tüm platformu tek bir uygulama olarak ele almak yerine bu uygulama geliştirme platformlarında oluşturulan ve barındırılan uygulamalara odaklandığımız AWS, Azure ve GCP gibi davranmalıyız. .
Örneğin Gölge BT, daha küçük ve sayısı giderek artan nokta çözümlü SaaS ile ilgili bir sorun olmaya devam ediyor. Ancak yukarıda bahsedilen herhangi bir platformu, keşfedilecek ve kataloglanacak tek bir uygulama olarak ele almak mantıklı değil. Bunun yerine, bu platformlarla oluşturulan uygulamaları keşfetmeli ve kataloglamalıyız; bunlardan on binlercesi var. Çoğu kuruluşta bu muazzam karmaşıklık, uygulama envanterindeki tek bir satırın arkasında gizlidir.
SaaS düşük kodlu platformlarla oluşturulan uygulamalar, muayene bulut üzerinde oluşturulanlar için kullandığımız aynı güvenlik titizliğiyle, çünkü günün sonunda bir uygulama, nerede oluşturulmuş ve barındırılmış olursa olsun, bir uygulamadır.
İş uygulamalarımızın güvenliği için önemli olan, bu uygulamaların yapımında, bakımında ve korunmasında yer alan insanlar, süreçler ve araçlardır. Bulutta yerleşik uygulamalar için, profesyonel geliştiricilerimiz, otomatik CI/CD süreçlerimiz ve kod tarama ve dinamik analizden çalışma zamanı izleme ve engellemeye kadar çeşitli güvenlik araçlarımız var. Düşük kodlu SaaS platformları üzerine kurulu uygulamalar için, bazı profesyonel geliştiricilerimiz var, aynı zamanda iş kullanıcılarımız da var. güvenlik meraklısı değilIle az veya hiç dağıtım süreci ve hiçbir güvenlik kontrolü veya garantisi yoktur.
Düşük kodlu platformları SaaS'ın bir parçası olarak düşünmek, bir Kocaman kısım İş uygulamalarımızın çoğu artık işletme tarafından, BT ve güvenlik denetimi dışında inşa ediliyor. Sorunu görmeye ve ona yaklaşımımızı anlamaya başlamak için, düşük kodlu platformları bulutun bir parçası olarak kabul etmek ve bu platformlardaki uygulamalara başka herhangi bir uygulamada yaptığımız gibi davranmak için zihniyetimizi değiştirmeliyiz.
