Chúng ta thường nghĩ đến việc bảo mật nền tảng phần mềm dưới dạng dịch vụ (SaaS) và đám mây như hai phần riêng biệt. Sự tách biệt này bắt nguồn từ cách SaaS và đám mây công cộng lần đầu tiên xuất hiện dưới dạng các giải pháp điểm nhỏ và phần mở rộng của trung tâm dữ liệu truyền thống. Ngày nay, do sự ra đời của mã nguồn thấp, sự phân tách này là sai và nó khiến chúng ta không thể nhìn thấy những gì ngay trước mắt mình. Mã thấp khiến nền tảng SaaS trở thành một phần của đám mây công cộng, nơi các nhà phát triển xây dựng nhiều ứng dụng thay vì sử dụng một ứng dụng duy nhất: nền tảng đám mây.
Việc không thay đổi suy nghĩ của chúng ta sẽ dẫn đến tình trạng chúng ta có ngày hôm nay, với những ứng dụng đó bị bỏ mặc mà không có khả năng hiển thị về bảo mật. Và tệ hơn nữa, các ứng dụng mã ngắn được nhúng ngay vào các nền tảng như Salesforce và Microsoft Dynamics, những nền tảng mà tất cả chúng ta đều sử dụng và chứa dữ liệu kinh doanh nhạy cảm nhất của chúng ta.
Chúng ta tới đây bằng cách nào nhỉ?
Những câu chuyện gốc luôn thú vị vì chúng giải thích điều gì đó cơ bản về cách chúng ta nhìn nhận người anh hùng trong câu chuyện. Trong khi SaaS bắt đầu như một phần mở rộng của mạng công ty thì đám mây công cộng bắt đầu như một phần mở rộng của trung tâm dữ liệu. Những điểm khởi đầu rất khác nhau đó giải thích lý do tại sao việc bảo mật SaaS bắt đầu bằng CNTT bóng tối (bảo vệ vành đai) và bảo mật đám mây công cộng bắt đầu bằng bảo vệ khối lượng công việc (máy chủ nâng và chuyển và tác nhân mạng/máy chủ của chúng). Điều này cũng có nghĩa là các nhóm bảo mật khác nhau được giao nhiệm vụ bảo mật SaaS và đám mây, điều này tất nhiên dẫn đến sự tách biệt giữa các công cụ, mô hình mối đe dọa khác nhau và quan trọng nhất là hình thành các tư duy bảo mật khác nhau.
Cả SaaS và đám mây công cộng đều đã phát triển mạnh mẽ từ những ngày đầu. Các nhà cung cấp đám mây công cộng đã giới thiệu các mô hình điện toán chi tiết hơn bao giờ hết, dần dần giới thiệu cơ sở hạ tầng dưới dạng dịch vụ (IaaS), nền tảng dưới dạng dịch vụ (PaaS) và serverless để giúp các nhà phát triển tập trung vào vấn đề kinh doanh hiện tại. Họ cũng đã xây dựng toàn bộ hệ sinh thái gồm các giải pháp làm sẵn cho các vấn đề phức tạp nhưng phổ biến — danh tính, quyền, ghi nhật ký, cấu hình và triển khai, cùng một số vấn đề khác.
SaaS từng có nghĩa là một giải pháp điểm cho một vấn đề cụ thể. Salesforce ban đầu là CRM, ServiceNow là hệ thống bán vé và Office365 là email, bảng tính, tài liệu và trang trình bày. (Mặc dù đây không chỉ là một giải pháp, nhưng đây là những giải pháp rất cụ thể.) Ngược lại với ngày nay: Các nhà phát triển Salesforce đang xây dựng ứng dụng cho về mọi nhu cầu kinh doanh Ngoài Nền tảng Salesforce, các ứng dụng mã ngắn ServiceNow là xử lý bất cứ điều gì từ nhân sự đến các quy trình tài chính và y tế cũng như Power Platform, nền tảng mã ngắn của Microsoft được nhúng vào Office365, đang được hơn 20 triệu người dùng toàn ngành để giải quyết mọi nhu cầu kinh doanh, từ năng suất cho đến mua sắm và các quy trình liên quan đến COVID.
Rõ ràng, những nền tảng này đã trở thành nền tảng phát triển ứng dụng cấp doanh nghiệp chứ không phải là giải pháp cụ thể cho các vấn đề kinh doanh cụ thể. Nhiều nhà phát triển ngày nay chọn xây dựng ứng dụng của họ trên các bản tóm tắt do nền tảng cung cấp, cho dù đó là các chức năng không có máy chủ trên đám mây công cộng hay các khối xây dựng có thể mở rộng trên nền tảng mã thấp SaaS.
Giới thiệu các nhà phát triển kinh doanh
So sánh cách các nền tảng SaaS bắt đầu và vị trí hiện tại của chúng cho thấy rõ ràng những nền tảng này đã tiến xa đến mức nào so với các phiên bản trước đó. Nhưng vẫn còn một sự thay đổi lớn mà chúng tôi chưa đề cập đến: sự ra đời của các nhà phát triển kinh doanh.
Nền tảng mã ngắn SaaS lấy sức mạnh từ dữ liệu họ duy trì và người dùng hiện tại. Cả hai đều không giới hạn ở lĩnh vực CNTT mà nghiêng nhiều về phía doanh nghiệp. Có quyền truy cập vào cả dữ liệu doanh nghiệp và người dùng doanh nghiệp có nghĩa là SaaS đang ở vị trí hoàn hảo để giải quyết vấn đề cấp bách nhất mà nhiều doanh nghiệp phải đối mặt hiện nay – chuyển đổi kỹ thuật số.
Với tình trạng thiếu nhà phát triển trên toàn cầu và khó khăn trong việc hợp lý hóa quy trình kinh doanh với rất nhiều bên liên quan, các nền tảng mã thấp giới thiệu một lối tắt, cho phép người dùng doanh nghiệp tự hợp lý hóa quy trình của họ mà không cần chờ bộ phận CNTT.
Mã thấp đang thu hút người dùng doanh nghiệp, đến mức trong bài phát biểu truyền cảm hứng năm 2019 của mình, Giám đốc điều hành Microsoft Satya Nadella đã thảo luận về cơ hội mã thấp để trao quyền cho mọi người và tạo ra các công việc văn phòng mới giống như Excel đã làm.
Giống như đám mây công cộng là một nền tảng phát triển ứng dụng cho phép các nhà phát triển tập trung vào logic kinh doanh của họ, nền tảng SaaS đã trở thành nền tảng phát triển ứng dụng sử dụng mã ngắn để trao quyền cho người dùng doanh nghiệp trở thành nhà phát triển và giải quyết mọi nhu cầu kinh doanh.
SaaS hiện đang tập trung vào các loại nhà phát triển mới giải quyết toàn bộ các nhu cầu kinh doanh chưa được đáp ứng bằng các ứng dụng chuyên dụng, tạo ra một loại đám mây mới: đám mây kinh doanh.
Bảo mật Low Code như một phần mở rộng của đám mây
Với nhận thức rằng một số nền tảng SaaS hiện là nền tảng phát triển ứng dụng và là phần mở rộng của đám mây, chúng ta nên kiểm tra lại trách nhiệm để bảo mật các ứng dụng đó và đưa chúng dưới sự bảo trợ của nhóm bảo mật.
Chúng ta nên xử lý các nền tảng như Salesforce, ServiceNow và Office365 giống như cách chúng ta xử lý AWS, Azure và GCP, trong đó chúng ta tập trung vào các ứng dụng đã được xây dựng và lưu trữ trong các nền tảng phát triển ứng dụng này thay vì coi toàn bộ nền tảng là một ứng dụng duy nhất .
Ví dụ, Shadow IT vẫn là một vấn đề với số lượng SaaS giải pháp điểm nhỏ hơn và ngày càng tăng. Nhưng sẽ không có ý nghĩa gì nếu coi bất kỳ nền tảng nào được đề cập ở trên là một ứng dụng duy nhất để khám phá và lập danh mục. Thay vào đó, chúng ta nên khám phá và lập danh mục các ứng dụng được xây dựng trên các nền tảng đó - và có hàng chục nghìn ứng dụng như vậy. Trong hầu hết các tổ chức, sự phức tạp to lớn này được ẩn sau một dòng duy nhất trong kho ứng dụng.
Các ứng dụng được xây dựng bằng nền tảng mã thấp SaaS phải kiểm tra với cùng mức độ bảo mật nghiêm ngặt mà chúng tôi sử dụng cho những ứng dụng được xây dựng trên đám mây vì xét cho cùng, ứng dụng vẫn là một ứng dụng, bất kể nó được xây dựng và lưu trữ ở đâu.
Điều quan trọng đối với tính bảo mật của các ứng dụng kinh doanh của chúng ta là con người, quy trình và công cụ liên quan đến việc tạo, duy trì và bảo vệ các ứng dụng đó. Đối với các ứng dụng được xây dựng trên đám mây, chúng tôi có các nhà phát triển chuyên nghiệp, quy trình CI/CD tự động và nhiều công cụ bảo mật khác nhau từ quét mã và phân tích động cho đến giám sát và ngăn chặn thời gian chạy. Đối với các ứng dụng được xây dựng trên nền tảng mã ngắn SaaS, chúng tôi có một số nhà phát triển chuyên nghiệp cũng như người dùng doanh nghiệp. không hiểu biết về bảo mật, với ít hoặc không có quy trình triển khai và không có kiểm soát hoặc đảm bảo an ninh.
Việc coi các nền tảng mã nguồn ngắn như một phần của SaaS khiến chúng tôi khó nhận ra rằng lớn phần trong số các ứng dụng kinh doanh của chúng tôi hiện đang được doanh nghiệp xây dựng, bên ngoài CNTT và bên ngoài kiểm soát bảo mật. Để bắt đầu nhìn ra vấn đề và tìm ra cách tiếp cận vấn đề đó, chúng ta phải thay đổi tư duy để thừa nhận các nền tảng mã thấp như một phần của đám mây và xử lý các ứng dụng trên các nền tảng đó giống như chúng ta làm với bất kỳ ứng dụng nào khác.
