SAP zaključio: sigurnost javnog oblaka zahtijeva sigurnosne alate prilagođene oblaku
Propao je pokušaj prilagodbe on-premise sigurnosnih alata za SAP-ov oblak, priznao je Jay Thoden van Velzen – strateški savjetnik SAP-ovog glavnog službenika za sigurnost Sebastiana Langea
Godinu i pol trajali su SAP-ovi napori da svoje on-premise sigurnosne alate prilagodi za oblak da bi konačno priznali neuspjeh i zaključili kako je za sigurnost javnog oblaka potrebno koristiti sigurnosne alate prilagođene upravo oblaku.
U objavi su naveli da se "sigurnosni alati i prakse razvijeni za aplikacije napisane za pokretanje on-premise vjerojatno neće primijeniti na oblak".
Kao jedan od ključnih problema navodi se nespremnost razvojnih programera da provode sigurnosne prakse na korištenim on-premise sustavima. Kako bi sigurnost bila na razini oni trebaju aktivno surađivati sa sigurnosnim timovima. Pogotovo kada je u pitanju zaštita krajnjih točaka API-ja.
Razvojni programeri očekuju nesmetan pristup resursima gdje SAP preporučuje sigurnosni pristup prilagođen oblaku i to korištenjem API-ja na organizacijskoj razini.
Na taj se način sigurnosne prakse mogu implementirati na razini cijele organizacije i primijeniti na sve račune u oblaku u organizaciji bez ikakvog napora razvojnih timova.
SAP je to naučio na teži način
Njihova CNAPP (Cloud-native Application Protection Platform) zaštita je u listopadu 2023. zamijenila vlastito razvijeno CSPM rješenje. Kao takva je implementirana i uvedena u većinu organizacije u otprilike tri mjeseca. CNAPP pruža upozorenja temeljena na riziku od pogrešne konfiguracije, ranjivosti, IAM upozorenja i dr.
Istovremeno su prikupljani, bilo to akvizicijom ili kao pojedinačne poslovne jedinice SAP-a, razni on-premise legacy sustavi što je bilo centralizirano s EDR (Endpoint Detection and Response) rješenjem iz 2021., a već godinu i pol nakon toga se od tog pristupa odustalo.
Kako i sami navode, kroz 5 godina prošli su brzu transformaciju oblaka i puno naučili na teži način. Na temelju tog njihovog iskustva, postavili su tri primarna zahtjeva prije nego što uopće uzmu u obzir sigurnosnu vrijednost nekog rješenja: alat treba biti skalabilan, lako se implementirati i biti pristupačan.