Organisaties die SAP on-prem draaien, missen vandaag belangrijke securitytools die een cloud-native variant wel heeft.
SAP geeft toe dat de ontwikkeling van een Endpoint Detection and Response (EDR) tool in de cloud een mislukking was. Deze knieval komt van Jay Thoden van Velzen, een strategische adviseur van SAP aan CSO Sebastian Lange, in een officiële blogpost van het bedrijf.
“Legacy security tooling die is overgeheveld van datacenters kan hogerop nog steeds waarde bieden,” schrijft hij. “Maar zonder cloudbewuste monitoring en detectie ben je kwetsbaar voor veelvoorkomende cloudbedreigingen die legacy tooling niet kan zien.”
Hij wijst naar een voorbeeld waar enterprise datacenters grote, stabiele netwerken draaien die gemonitord moeten worden. Zo’n tool is vaak agent-gebaseerd. In de public cloud werkt men met versleutelde API-calls en opereren VM’s en containers binnen deze netwerken niet lang. Een aanvaller die toch zou binnen geraken, zou het moeilijker hebben om permanente toegang te krijgen.
“Wie binnen geraakt, creëert vaak VM’s die zaken zoals crypto doen. Deze VM’s gebruiken geen templates en draaien bijgevolg ook geen security-agents. Resultaat: je zal ze heel moeilijk vinden.”
Waarom is het mislukt?
In zijn relaas wijst Thoden van Velzen ook naar ontwikkelaars waarom het plan van SAP niet is gelukt.
“Ontwikkelaars hebben meer autonomie dan ooit in de cloud en kunnen naar believen resources inzetten. Daarom heb je de actieve medewerking van die teams nodig om op elk van hun eindpunten een agent te installeren.” Hij wijst erop dat ontwikkelaars een wrijvingsloze toegang tot resources verwachten. Hen vragen om agents te testen en in te zetten wordt niet goed ontvangen.
Thoden van Velzen raadt daarom SAP aan om een cloud-native aanpak te hanteren voor alles rond security, bij voorkeur via API’s op een organisatorisch niveau. “Op die manier kan onboarding centraal worden gedaan en worden toegepast op alle cloudaccounts in de organisatie zonder enige inspanning van de ontwikkelteams.”
Hij wijst ook naar het falen van alle huidige inspanningen van SAP. “Ons Cloud-native Application Protection Platform (CNAPP) werd in ongeveer drie maanden uitgerold naar het grootste deel van de organisatie. Onze eerste centrale agentgebaseerde EDR-oplossing werd na anderhalf jaar als mislukt opgegeven.”
lees ook
On-prem klanten voelen zich in de steek gelaten door SAP
Overbodige complexiteit
De adviseur wijst ook naar de overbodige complexiteit om on-prem tools naar de cloud te brengen. “Veel vendoren gebruiken licenties per seat, maar hoe bereken je zo’n seat wanneer die maar voor enkele uren online staat in de cloud?”
SAP maakt volgens hem 30.000 VM’s aan elke 24 uur. “Tellen die dan allemaal als een seat? Kijken we naar het gemiddelde cijfer over een bepaalde periode? Zoiets vraagt om problemen.”
Vandaag draait SAP een agent-less Cloud Native Application Protection Platform (CNAPP) die cloud-native infrastructuur en managed services bewaakt, evenals VM’s en container-gebaseerde workloads via side scanning.
SAP gelooft in deze oplossing en verving de CNAPP-tool de ‘oude’ intern ontwikkelde tool. Begin 2024 wil het ook de bestaande netwerk gebaseerde kwetsbaarheidsscanner vervangen voor public cloud-omgevingen.