Por que low-code e identidade devem coexistir

Views: 261
0 0
Read Time:4 Minute, 39 Second

O desenvolvimento de softwares surgiu como uma tarefa crítica para as organizações que buscam competir na economia digital. Cada vez mais alimenta a inovação e até mesmo a disrupção. No entanto, construir, testar e verificar grandes pedaços de código geralmente leva meses – e encontrar o talento para lidar com a tarefa pode ser formidável.

Devido à lacuna de habilidades e à entrega em escala, muitas empresas recorrem a plataformas de desenvolvimento de aplicativos de baixo código para construir e fornecer aplicativos mais rapidamente.

Normalmente, essas ferramentas de baixo código fornecem uma interface de usuário gráfica (GUI) que ajuda pessoas não técnicas — desenvolvedores cidadãos, se você quiser — a se envolver no processo de desenvolvimento de software. Em vez de um desenvolvedor digitando código linha por linha, essas ferramentas montam blocos de código de construção que implementam a lógica de negócios dos aplicativos.

No entanto, o que muitas vezes é negligenciado no entusiasmo de adotar ferramentas de baixo código é que esses tipos de plataformas de desenvolvimento afetam muitas áreas da empresa, incluindo gerenciamento de identidade e segurança cibernética. Por exemplo, um aplicativo de código baixo deve interoperar com vários sistemas no local, bem como plataformas de identidade na nuvem, como Active Directory, Azure AD, Okta e outros.

As consequências da má integração com sistemas de identidade podem ser significativas e extremamente dolorosas. Especialmente à medida que os requisitos de negócios mudam e uma organização precisa começar a adicionar novos recursos, como autenticação sem senha, autenticação multifatorial (MFA), à prova de identidade, à análise do comportamento do usuário ou a uma complexa autorização baseada em papel ou atributos. Sem uma forte estrutura de gestão de identidade, gerenciar inúmeras autorizações e autenticações manualmente pode ser difícil e pode prejudicar a segurança, incluindo iniciativas de confiança zero.

Permissões importam

A complexidade dos ambientes de TI atuais não está perdida em ninguém. O código baixo, ao simplificar e acelerar o desenvolvimento de software, introduz desafios. As organizações podem descobrir que estão atoladas em uma estrutura que não tem a flexibilidade necessária para oferecer uma experiência de usuário perfeita, mas altamente segura, particularmente para um acesso complicado baseado em papéis conectado ao SSO (Single Sign-on). Atualizações, mudanças e outros eventos podem causar estragos e forçar as equipes a pressionar atualizações constantes de aplicativos para lidar com o cenário de ameaças em constante evolução.

Por exemplo, a abordagem herdada do uso de kits de desenvolvimento de software (SDKs) para executar integrações de identidade, como adicionar suporte ao MFA, cria camadas adicionais de complexidade. Este é o caso se as ferramentas de código baixo são usadas ou não. Isso porque a abordagem SDK estabelece uma relação profundamente acoplada entre os aplicativos e o sistema de identidade que eles usam. Muitas vezes cada novo recurso de identidade que precisa ser adicionado requer mais um SDK para integração, o que aumenta as interdependências e a probabilidade de falha.

Em termos práticos, uma organização pode exigir diferentes SDKs com diferentes recursos de autenticação e autorização, dependendo do aplicativo e estrutura que está construindo ou usando. No entanto, os aplicativos atuais exigem uma estrutura mais flexível e contextual que abrange sistemas e, em alguns casos, fornece uma visão mais profunda sobre o que um usuário está fazendo a qualquer momento.

Na verdade, migrar para longe de uma abordagem centrada no SDK não é apenas uma boa ideia, é vital. Além disso, tentar contornar o problema usando APIs não é particularmente útil porque uma organização normalmente acaba com o mesmo problema básico: há um alto nível de complexidade ligado a uma estrutura de identidade rígida. Piorando as coisas, essa abordagem também pode introduzir falhas de segurança e outras fraquezas.

Uma abordagem mais gerenciável ao usar frameworks de desenvolvimento de código baixo para criar aplicativos é conectá-los a uma única camada de abstração para serviços de identidade. Isso aborda três desafios principais associados ao gerenciamento de identidade em ambientes de baixo código: afastar-se de uma abordagem específica da plataforma, se livrar de ferramentas de código baixo que vinculam o aplicativo a um provedor de identidade específico e estabelecer uma estrutura de identidade que corresponda às necessidades específicas do seu negócio.

Abstração é a chave

Uma camada de abstração reduz a carga em desenvolvedores cidadãos, que não têm as habilidades técnicas e a consciência dos requisitos de segurança que os impedem de fazer atualizações e atualizações ou adicionar novos recursos para acompanhar os requisitos em evolução — frequentemente dentro de um ambiente DevOps ou DevSecOps que é otimizado para integração e entrega contínuas.

A abstração também elimina a necessidade de que aplicativos específicos sejam codificados em um sistema de identidade ou API específico.

Neste mundo, a lógica incorporada é incorporada na estrutura da identidade através de uma forma de inteligência distribuída. Além disso, o processo ocorre sem empurrar o código e exigir o processamento em aplicativos. Também não há necessidade de proprietários de aplicativos ou provedores de gerenciamento de identidade desempenharem um papel no processo.

A abstração oferece outra vantagem: lida com vários padrões associados ao gerenciamento de identidade, incluindo o SAML. A maioria das organizações se baseia em vários padrões de processos e tarefas associados a autorizações e autenticações. Ao usar ferramentas de código baixo, supervisionar padrões e orquestrá-los pode se tornar complicado e incontrolável também.

À medida que as empresas se voltam cada vez mais para estruturas de código baixo para melhorar o desempenho e reduzir os custos, é vital manter o desenvolvimento de software e a identidade em bloqueio. A abstração pode ajudar a preencher a lacuna.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS