Czy w 2020 roku więcej firm zdecyduje się podjąć rzeczywiste kroki w kierunku cyfryzacji? O trendach, okazjach i wyzwaniach z Ireneuszem Wiśniewskim, dyrektorem zarządzającym F5 Poland.
W 2019 r. wdrożenia w środowiskach multi-cloud zaczęły wchodzić do mainstreamu, a metodologie DevOps wywierały coraz większy wpływ na strategie biznesowe. Co dalej?
W 2020 roku więcej organizacji zdecyduje się podjąć rzeczywiste kroki w kierunku cyfryzacji. Coraz więcej managerów biznesowych będzie angażować się w decyzje dotyczące aplikacji, które służą zdobyciu przewagi konkurencyjnej na rynku i zapewnienie wyjątkowego doświadczenia klienta. Spodziewamy się, że powstanie nowa generacja aplikacji. Będzie wspierała skalowalność i ekspansję nowych, cyfrowych modeli biznesowych. Będzie też wykorzystywała natywną dla chmury infrastrukturę i zapewniała automatyzację dzięki rozwojowi oprogramowania.
Wzrośnie rola sztucznej inteligencji, szczególnie przy wykorzystaniu bardziej zaawansowanych platform aplikacyjnych, telemetrii, analizy danych i technologii maszynowego uczenia. Usługi aplikacyjne będą miały możliwość wysyłania danych telemetrycznych i wykonywania działań na podstawie informacji uzyskanych z analizy opartej na sztucznej inteligencji. Spodziewamy się, że rozproszone usługi aplikacyjne poprawią wydajność, bezpieczeństwo, operacyjność i zdolność adaptacji bez angażowania znacznych zasobów programistycznych.
Aplikacje stały się dla firm głównym kanałem opracowywania oraz dostarczania dóbr i usług – najważniejszym zasobem nowoczesnych przedsiębiorstw. Dla efektywnego zarządzania kapitałem aplikacji, organizacje coraz częściej będą budować strategie obejmujące sposób budowania aplikacji, ich pozyskiwania, wdrażania, zarządzania nimi, ochrony i usuwania.
Rok 2020 przyniesie rozwój kultury DevOps w organizacjach – nastąpi mariaż teorii z najlepszymi praktykami. Tradycyjne jednofunkcyjne zespoły pozostają w tyle za swoimi nowocześniejszymi, napędzanymi metodologią DevOps odpowiednikami, które znacznie lepiej radzą sobie z pipeline’m automatyzacji. Zespoły współpracujące mogą promować standaryzację w narzędziach, które odpowiadają zarówno za dostawę, jak i wdrożenia (np. Jenkins i GitHub/GitLab), ponieważ metodologia DevOps nie powinna zatrzymywać się jedynie na dostarczaniu. Funkcje wdrażania (zgodne z kompleksowym pipeline’m narzędzi i usług aplikacyjnych) powinny być zautomatyzowane. To się może wydarzyć w organizacjach, które zmienią kulturę na DevOps.
Centra danych w 2020 będą ewoluowały. Na początku 2019 roku, dyrektor IDC powiedział partnerom na konferencji IGEL Disrupt, że ponad 80% firm, które przepytano, przewidywało przesunięcie obciążenia z chmury publicznej. Firmy będą wykorzystywały możliwości związane z przenoszeniem obciążenia, które obejmują poprawę dostępności narzędzi operacyjnych opartych na multi-cloud oraz nacisk na architektury aplikacyjne (oparte z kolei na bardziej przenośnych technologiach, jak kontenery).
Wyzwania ochrony aplikacji
Zgodnie z F5 Labs, język po stronie serwera PHP – używany od 2013 r. przez co najmniej 80% stron internetowych – będzie dostarczał hakerom łatwych celów. Świadomość tych uwarunkowań jest konieczna dla radzenia sobie zarówno z podatnościami, jak zagrożeniami. Biznes zdaje sobie także sprawę, że aplikacje obejmują więcej niż tylko kod, który wykonują. Trzeba zwracać uwagę na wszystko, co je wprawia w ruch, włącznie z architekturą, konfiguracją, innymi zasobami, które są podłączone oraz użytkownikami. W 2020 potrzebne będą programy bezpieczeństwa oparte na ryzyku zamiast na pozornie sprawdzonych rozwiązaniach czy na listach kontrolnych. Organizacje będą dostosowywać mechanizmy kontrolne do zagrożeń, z którymi rzeczywiście się stykają. Pierwszym krokiem w każdej ocenie ryzyka będzie merytoryczny (i ciągły) proces inwentaryzacji.
API – interfejsy oprogramowania aplikacji mogą przekształcać modele biznesowe i bezpośrednio generować przychody. Cyberprzestępcy to wiedzą. W 2020, siłą rzeczy organizacje mocniej niż zwykle skupią się na warstwie API, szczególnie jeśli chodzi o zabezpieczania dostępu do funkcji biznesowych, które oferują. Jednym z problemów pozostaną zbyt szerokie uprawnienia, które oznaczają, że ataki poprzez API mogą dać przestępcom wgląd we wszystko w ramach infrastruktury aplikacji. Wywołania API są również podatne na zwykłe sieciowe zapytania-pułapki, a widoczność (świadomość sytuacyjna) API na niskim poziomie – co będzie wymagało poprawy.
Organizacje docenią i będą wspierać się implementowaniem ochrony API bezpośrednio w aplikacji lub (nawet lepiej) w bramce API, która następnie chroni API z jego funkcjami jak limitowanie zapytań (aby zapobiec atakom typu odmowa usługi) i autoryzacji. Dzięki temu funkcja uwierzytelnianie zawęża dostęp do API. Umożliwia dostęp do specyficznych zapytań tylko wybranym klientom, zwykle identyfikowanym przy pomocy tokenów albo kluczy API. Wzrost zainteresowania ochroną na poziomie bramki API będziemy też zawdzięczać temu, że można nią ograniczyć stosowane metody http oraz rejestrować próby logowania służące nadużywaniu innych metod, dzięki czemu rośnie świadomość przypuszczanych ataków.