Ми звикли думати про захист платформ програмного забезпечення як послуги (SaaS) і хмари як про двох окремих звірів. Це відокремлення походить від того, як SaaS і публічна хмара вперше з’явилися як невеликі точкові рішення та розширення традиційного центру обробки даних, відповідно. Сьогодні, через появу низького коду, це поділ є неправильним, і це заважає нам бачити те, що прямо перед нашими очима. Низький код робить платформи SaaS частиною загальнодоступної хмари, місця, де розробники створюють кілька програм, а не використовують одну: хмарну платформу.
Нездатність змінити наше мислення веде до того, де ми знаходимося сьогодні, коли ці програми залишаються для захоплення без видимості безпеки. І що ще гірше, програми з низьким кодом вбудовані прямо в такі платформи, як Salesforce і Microsoft Dynamics, якими ми всі користуємося і які зберігають наші найбільш конфіденційні бізнес-дані.
Як ми сюди потрапили?
Історії про походження завжди цікаві, тому що вони пояснюють щось фундаментальне в тому, як ми сприймаємо героя історії. Хоча SaaS починався як розширення корпоративної мережі, публічна хмара починалася як розширення центру обробки даних. Ці дуже різні початкові точки пояснюють, чому захист SaaS розпочався з тіньових ІТ (захист периметра), а захист загальнодоступної хмари — із захисту робочого навантаження (сервери підйому та переміщення та їхні агенти мережі/хосту). Це також означало, що завдання безпеки SaaS і хмари були доручені різним групам безпеки, що, звичайно, призвело до розділення інструментів, різного моделювання загроз і, що найважливіше, до формування різних поглядів на безпеку.
І SaaS, і публічна хмара різко еволюціонували з тих перших днів. Постачальники публічних хмар запровадили дедалі більш детальні обчислювальні парадигми, поступово запроваджуючи інфраструктуру як послугу (IaaS), платформу як послугу (PaaS) і безсерверну систему, щоб допомогти розробникам зосередитися на бізнес-проблемі. Вони також створили цілу екосистему готових рішень для складних, але поширених проблем — ідентифікації, дозволів, реєстрації, конфігурації та розгортання тощо.
Раніше SaaS означало точкове рішення для конкретної проблеми. Salesforce починався як CRM, ServiceNow – як система продажу квитків, а Office365 – як електронна пошта, електронні таблиці, документи та слайди. (Хоча це більше, ніж одне рішення, вони дуже специфічні.) Порівняйте це з сьогоднішнім днем: розробники Salesforce створюють програми для будь-яка бізнес-потреба поверх платформи Salesforce — програми з низьким кодом ServiceNow поводження майже з будь-чим від відділу кадрів до процесів охорони здоров’я та фінансів, а Power Platform, платформа Microsoft із низьким кодом, вбудована в Office365, використовується більш ніж 20 мільйонів користувачів по всій галузі для вирішення будь-яких потреб бізнесу, від продуктивності до закупівель і процесів, пов’язаних із COVID.
Очевидно, що вони стали платформами для розробки додатків корпоративного рівня, а не точковими рішеннями конкретних бізнес-проблем. Сьогодні багато розробників вирішують створювати свої додатки на основі наданих платформою абстракцій, будь то безсерверні функції в публічній хмарі або розширювані будівельні блоки на платформах з низьким кодом SaaS.
Представлення розробників бізнесу
Порівняння того, як починалися платформи SaaS і де вони зараз, чітко показує, наскільки далеко вони просунулися від своїх попередніх версій. Але ще є серйозна зміна, про яку ми ще не згадували: запровадження бізнес-розробників.
Платформи SaaS з низьким кодом черпають свою потужність із даних, які вони зберігають, і своїх існуючих користувачів. Обидва вони не обмежуються ІТ, а радше сильно спрямовані в бік бізнесу. Наявність доступу як до бізнес-даних, так і до бізнес-користувачів означає, що SaaS має ідеальні можливості для вирішення найактуальнішої проблеми, з якою сьогодні стикаються багато підприємств, — цифрової трансформації.
Через глобальну нестачу розробників і труднощі оптимізації бізнес-процесів із такою кількістю зацікавлених сторін, платформи з низьким кодом запроваджують ярлик, що дозволяє бізнес-користувачам оптимізувати свої процеси самостійно, не чекаючи ІТ-спеціалістів.
Низький рівень коду стає популярним серед бізнес-користувачів настільки, що у своєму виступі на Inspire у 2019 році генеральний директор Microsoft Сатья Наделла обговорили можливість низького коду, щоб розширити можливості людей і створити нові робочі місця для білих комірців, як це зробив Excel.
Подібно до того, як публічна хмара є платформою для розробки додатків, що дозволяє розробникам зосередитися на своїй бізнес-логіці, платформи SaaS стали платформами для розробки додатків, які використовують низький код, щоб дати можливість бізнес-користувачам стати розробниками та задовольнити будь-які потреби бізнесу.
SaaS тепер зосереджено на нових типах розробників, які вирішують цілий ряд незадоволених потреб бізнесу за допомогою спеціальних програм, створюючи новий тип хмари: бізнес-хмару.
Захист низького коду як розширення хмари
Усвідомлюючи, що деякі платформи SaaS тепер є платформами для розробки додатків і розширенням хмари, ми повинні переглянути обов'язки для захисту цих програм і передачі їх під егіду команди безпеки.
Ми повинні розглядати такі платформи, як Salesforce, ServiceNow і Office365, так само, як ми ставимося до AWS, Azure та GCP, де ми зосереджуємось на програмах, які створено та розміщено на цих платформах розробки програм, а не розглядаємо всю платформу як єдину програму. .
Наприклад, Shadow IT залишається проблемою з меншою та постійно зростаючою кількістю точкових рішень SaaS. Але немає сенсу розглядати одну платформу, згадану вище, як єдину програму для виявлення та каталогізації. Натомість ми повинні виявити та каталогізувати програми, створені на цих платформах — а їх десятки тисяч. У більшості організацій ця величезна складність прихована за одним рядком у списку програм.
Додатки, створені на платформах з низьким кодом SaaS, повинні бути такими розглянув з тією ж суворістю безпеки, яку ми використовуємо для тих, що створені в хмарі, тому що, зрештою, програма залишається програмою, незалежно від того, де вона створена та розміщена.
Що має значення для безпеки наших бізнес-додатків, так це люди, процеси та інструменти, які беруть участь у створенні, підтримці та захисті цих додатків. Для додатків, створених у хмарі, у нас є професійні розробники, автоматизовані процеси CI/CD та різноманітні інструменти безпеки від сканування коду та динамічного аналізу до моніторингу та запобігання під час виконання. Для додатків, створених на платформах SaaS з низьким кодом, у нас є кілька професійних розробників, а також бізнес-користувачі не розбирається в безпеці, С мало процесів розгортання або взагалі їх немає і жодних заходів безпеки чи гарантій.
Розмірковуючи про платформи з низьким кодом як частину SaaS, нам важко зрозуміти, що a величезний частина Наші бізнес-додатки зараз створюються бізнесом поза межами ІТ і контролю безпеки. Щоб почати бачити проблему та визначити наш підхід до неї, ми повинні змінити наше мислення, щоб визнати платформи з низьким кодом частиною хмари та ставитися до програм на цих платформах, як до будь-якої іншої програми.
