Đến năm 2025, tổng tạo dữ liệu toàn cầu sẽ đạt tới 181 zettabyte. Đối với các doanh nghiệp, dữ liệu đó là tài sản, cho phép họ tận dụng nhiều nền tảng công nghệ khác nhau để tạo ra trải nghiệm khách hàng được cá nhân hóa cao, tạo ra lòng trung thành và thu hút hoạt động kinh doanh mới. Tuy nhiên, những trải nghiệm này phụ thuộc vào cơ sở hạ tầng đám mây sử dụng các chế độ bảo mật chung. Rủi ro nằm ở đó và nó ngày càng gia tăng khi công nghệ phát triển để kết hợp một đội quân các nhà phát triển công dân mới sử dụng nền tảng mã thấp và không mã.
Hiểu và vượt qua tư duy kế thừa
Gartner ước tính đến năm 2025, 70% ứng dụng doanh nghiệp sẽ được xây dựng từ nền tảng ít mã và không mã như Salesforce và ServiceNow. Phản ứng với tư duy dựa trên sự kế thừa là cách chắc chắn khiến hơn XNUMX/XNUMX số ứng dụng doanh nghiệp gặp thất bại.
“Tư duy kế thừa” là một mô tả phù hợp cho các vấn đề đang gây khó khăn cho cơ sở hạ tầng. Nó gợi nhớ đến những đứa trẻ giàu có, được chiều chuộng, hoàn toàn phụ thuộc vào công việc được thực hiện và những người đi trước chúng. Đó không phải là cách hay để xây dựng di sản và cũng là cách tồi không kém để xây dựng một hệ thống.
Khi bạn có tư duy kế thừa, bạn cho rằng cơ sở hạ tầng đã được thiết lập. Nền tảng này an toàn và bảo mật được tích hợp sẵn. Niềm tin được coi là đơn giản vì công nghệ đã có trước quản trị viên.
Tư duy kế thừa đó gây khó khăn cho các nền tảng mã thấp và không mã. Người dùng dựa vào sự an toàn của nền tảng để đưa họ đi qua toàn bộ cơ sở hạ tầng doanh nghiệp. Thay vào đó, tính bảo mật của nền tảng đó chỉ nên áp dụng cho nền tảng đó.
Giả sử các nhà phát triển Salesforce tạo một chương trình phân công tự động cho khách hàng tiềm năng mới. Họ sử dụng nó trong Salesforce cho các nhiệm vụ nội bộ và điều đó ổn. Họ có thể dựa vào sự an toàn của nền tảng. Họ quyết định mở rộng nó để cải thiện khả năng tự động hóa. Họ kết nối chương trình đó với CRM bên ngoài như ServiceNow, SAP hoặc Oracle. Tư duy kế thừa chiếm ưu thế: Salesforce an toàn. ServiceNow, SAP hoặc bên thứ ba đều an toàn.
Vì vậy, Salesforce + bên thứ ba = an toàn.
Tuy nhiên, có rất nhiều điều chưa biết trong dấu cộng đó. Làm cách nào để bạn kết nối chương trình nội bộ được tạo trong Salesforce một cách an toàn và tuân thủ với chương trình bên ngoài được tạo trong nền tảng của bên thứ ba? Có rất nhiều chỗ có thể xảy ra lỗi trong ký tự đơn lẻ đó.
Và đó chỉ là một kết nối. Nhiều chương trình được tạo trong Salesforce có liên quan đến hàng trăm chương trình khác. Đó là hàng trăm ẩn số được coi như dấu cộng được mô tả ở trên bởi những người có ít hoặc không có kinh nghiệm phát triển.
Giải pháp duy nhất là đưa sự phát triển đó trở lại thực tế bằng cách quay trở lại các nguyên tắc DevSecOps.
Thiết lập khung DevSecOps
DevSecOps các khung đã được viết đi viết lại và viết lại kể từ khi khái niệm này được tạo ra. Không cần phải phát minh lại bánh xe khi thiết lập chúng, đặc biệt là khi SAFECode và Liên minh bảo mật đám mây đã xây dựng sáu trụ cột:
- Trách nhiệm tập thể: Bảo mật là trách nhiệm của mọi người trong doanh nghiệp —nhưng mọi người không thể đáp ứng các tiêu chuẩn mà họ không biết. Người lãnh đạo phải được giao nhiệm vụ thúc đẩy chính sách an ninh mạng và đảm bảo chính sách đó được phổ biến trên toàn doanh nghiệp.
- Hợp tác và hội nhập: Kiến thức phải được chia sẻ và chuyển giao. Một nửa nguyên nhân khiến doanh nghiệp rơi vào tư duy kế thừa là do tất cả những người biết đến hệ thống cũ đều đã ra đi. Chia sẻ kiến thức liên tục giúp loại bỏ vấn đề này.
- Triển khai thực tế: Việc triển khai thực tế gắn liền với trải nghiệm của nhà phát triển. Những quy trình khó khăn, trần tục và khó sử dụng không được tuân thủ lâu dài. Bảo mật nên được đưa vào thực tiễn phát triển - nghĩa là mỗi dòng mã đều yêu cầu một dòng kiểm tra. Một doanh nghiệp có hiệu suất cao sẽ tiến xa hơn bằng cách sử dụng một công cụ để tự động hóa từng dòng mã kiểm tra.
- Tuân thủ và phát triển: Các yêu cầu tuân thủ phải hướng dẫn quá trình phát triển theo cách không cho phép các nhà phát triển đi chệch khỏi chúng. Ví dụ: nhà phát triển cho một tổ chức tài chính sẽ làm việc trên nền tảng được thiết kế để tuân thủ Đạo luật Gramm-Leach-Bliley. Nhà phát triển không cần phải biết chi tiết từng phần của hành động để tuân thủ vì chúng được tích hợp vào nền tảng.
- Tự động hóa: Các nhiệm vụ có thể dự đoán, lặp lại và khối lượng lớn phải được tự động hóa bất cứ khi nào có thể để giảm bớt gánh nặng cho nhà phát triển và giảm nguy cơ lỗi của con người.
- Theo dõi: Cơ sở hạ tầng đám mây hiện đại thay đổi và phát triển. Điều quan trọng là phải theo dõi nó - lý tưởng nhất là thông qua một số hình thức điều phối cho phép xem nhanh tất cả các mối liên kết khác nhau.
Trong một mã thấp hoặc không có mã môi trường, những trụ cột này không đơn giản như người ta mong đợi. Những người sử dụng các công cụ này thường là các chuyên gia kinh doanh ít hiểu biết về các nguyên tắc cơ bản của DevSecOps.
Kết hợp con người, quy trình và công nghệ
Việc sử dụng nền tảng mã thấp và không mã thực sự có thể giúp thu hẹp khoảng cách kỹ năng này. Nhân viên muốn học các kỹ năng mới. Các doanh nghiệp có thể hỗ trợ điều đó bằng cách thiết lập khung DevSecOps tập trung vào con người, quy trình và công nghệ.
- Quy trình: Trong môi trường không tin cậy, các nhà phát triển ít mã và không mã không phải lo lắng về việc tạo các kết nối gây nguy hiểm cho tính toàn vẹn của hệ thống vì họ không có khả năng làm như vậy. Họ không có thẩm quyền cơ bản bên ngoài hệ thống bị cô lập của họ.
- Mọi người: Văn hóa trách nhiệm khác với văn hóa đổ lỗi. Trách nhiệm giải trình có nghĩa là các cá nhân cảm thấy thoải mái khi trình bày một vấn đề hoặc sai lầm vì trọng tâm là vấn đề chứ không phải con người.
- Công nghệ: Công nghệ là rào cản lớn nhất trong việc triển khai đúng các nguyên tắc DevSecOps vì nó nằm ngoài tầm tay của các nhà phát triển. Họ phải sử dụng những gì tổ chức cung cấp cho họ. Nếu công nghệ đó không hoạt động, các nhà phát triển sẽ tìm ra cách giải quyết vừa không an toàn vừa không an toàn. Về cơ bản, công nghệ này trở thành một công cụ tạo CNTT lớn trong bóng tối.
Chúng ta đang sống trong một thời kỳ thú vị để phát triển. Ngày càng có nhiều người có cơ hội xây dựng phần mềm, thử nghiệm chiến lược và nâng cao giá trị doanh nghiệp. Nhưng đi kèm với đó là rủi ro. Các doanh nghiệp tìm cách giảm bớt rủi ro đó cho công nghệ sẽ duy trì sự phát triển của họ trong khi vẫn còn chỗ để khám phá.
