我们习惯于将软件即服务 (SaaS) 平台和云视为两个独立的野兽来保护。 这种分离源于 SaaS 和公共云最初分别作为小型解决方案和传统数据中心的扩展出现的方式。 如今,由于低代码的出现,这种分离是错误的,它阻碍了我们看清眼前的事物。 低代码使 SaaS 平台成为公共云的一部分,开发人员可以在公共云中构建多个应用程序,而不是使用单个应用程序:云平台。
未能转变我们的思维方式会导致我们今天的处境,这些应用程序在没有安全可见性的情况下任人宰割。 更糟糕的是,低代码应用程序直接嵌入到 Salesforce 和 Microsoft Dynamics 等平台中,我们都使用这些平台,并保存着我们最敏感的业务数据。
我们是怎么来到这里的?
起源故事总是很有趣,因为它们解释了我们如何看待故事英雄的基本方式。 SaaS 最初是企业网络的延伸,而公共云则是数据中心的延伸。 这些截然不同的起点解释了为什么保护 SaaS 从影子 IT(保护外围)开始,而保护公共云则从工作负载保护(直接迁移服务器及其网络/主机代理)开始。 这也意味着不同的安全团队负责保护 SaaS 和云,这当然导致了工具的分离、不同的威胁建模,以及最重要的是形成了不同的安全思维方式。
SaaS 和公共云与早期相比已经发生了巨大的发展。 公共云供应商引入了更加精细的计算范式,逐步引入基础设施即服务 (IaaS)、平台即服务 (PaaS) 和无服务器,以帮助开发人员专注于手头的业务问题。 他们还为复杂但常见的问题(例如身份、权限、日志记录、配置和部署)构建了一个完整的现成解决方案生态系统。
SaaS 曾经意味着针对特定问题的单点解决方案。 Salesforce 最初是 CRM,ServiceNow 最初是票务系统,Office365 最初是电子邮件、电子表格、文档和幻灯片。 (虽然这不仅仅是一个解决方案,但这些都是非常具体的解决方案。)与今天相比:Salesforce 开发人员正在构建应用程序 几乎任何业务需求 ServiceNow 低代码应用程序位于 Salesforce 平台之上 处理几乎任何事情 从人力资源到健康和财务流程,Power Platform(嵌入 Office365 的 Microsoft 低代码平台)正在被超过 20万用户 整个行业 解决每一个业务需求,从生产力到采购和新冠病毒相关流程。
显然,这些已经成为企业级应用程序开发平台,而不是针对特定业务问题的点解决方案。 如今,许多开发人员选择在平台提供的抽象上构建应用程序,无论是公共云上的无服务器功能还是 SaaS 低代码平台上的可扩展构建块。
业务开发者介绍
比较 SaaS 平台的诞生方式和现在的状况,可以清楚地看出这些平台与早期版本相比有多大的差距。 但还有一个我们还没有提到的重大转变:业务开发人员的引入。
SaaS 低代码平台从其维护的数据和现有用户中汲取力量。 这些不仅限于 IT,而且严重偏向于业务。 能够访问业务数据和业务用户意味着 SaaS 能够完美解决许多企业当今面临的最紧迫问题——数字化转型。
由于全球范围内开发人员短缺,并且由于利益相关者众多而难以简化业务流程,因此低代码平台引入了一条捷径,让业务用户无需等待 IT 即可自行简化流程。
低代码正在商业用户中流行,以至于微软首席执行官 Satya Nadella 在他的 2019 Inspire 主题演讲中 讨论了机会 像 Excel 一样,使用低代码来增强人们的能力并创造新的白领工作。
就像公有云是一个让开发者能够专注于业务逻辑的应用程序开发平台一样,SaaS 平台已经成为使用低代码的应用程序开发平台,使业务用户能够成为开发者并解决任何业务需求。
SaaS 现在专注于新型开发人员,通过专用应用程序解决一系列未满足的业务需求,创建一种新型云:业务云。
确保低代码安全作为云的扩展
随着意识到一些SaaS平台现在是应用程序开发平台和云的延伸,我们应该重新审视 责任 保护这些应用程序并将其置于安全团队的保护之下。
我们应该像对待 AWS、Azure 和 GCP 一样对待 Salesforce、ServiceNow 和 Office365 等平台,我们专注于在这些应用程序开发平台中构建和托管的应用程序,而不是将整个平台视为单个应用程序。
例如,影子 IT 仍然是规模较小且数量不断增加的单点解决方案 SaaS 的一个问题。 但将上述任何单个平台视为单个应用程序来发现和编目是没有意义的。 相反,我们应该发现并编录使用这些平台构建的应用程序——而且这样的应用程序有数以万计。 在大多数组织中,这种巨大的复杂性隐藏在应用程序清单中的一行后面。
使用 SaaS 低代码平台构建的应用程序应该 检查 我们对在云上构建的应用程序使用相同的安全严格性,因为归根结底,应用程序就是应用程序,无论它是在哪里构建和托管的。
对于我们的业务应用程序的安全性来说,重要的是参与创建、维护和保护这些应用程序的人员、流程和工具。 对于云端构建的应用程序,我们拥有专业的开发人员、自动化的 CI/CD 流程以及从代码扫描和动态分析到运行时监控和预防的各种安全工具。 对于基于SaaS低代码平台构建的应用程序,我们有一些专业的开发人员,但也有商业用户 不了解安全, 很少甚至没有部署过程 并且没有安全控制或保证。
将低代码平台视为 SaaS 的一部分使我们很难看到 巨大 一部分 我们的业务应用程序现在是由业务部门在 IT 和安全控制之外构建的。 为了开始发现问题并找出解决方法,我们必须转变思维方式,承认低代码平台是云的一部分,并像对待任何其他应用程序一样对待这些平台上的应用程序。
