Che cos'è una piattaforma di protezione dei carichi di lavoro cloud (CWPP)

Piattaforma di protezione dei carichi di lavoro cloud: definizione

Una piattaforma di protezione dei carichi di lavoro cloud (Cloud Workload Protection Platform, o CWPP) è una soluzione di sicurezza creata per soddisfare le esigenze di protezione dei carichi di lavoro negli ambienti ibridi, multicloud e nei data center moderni. Una CWPP efficace è in grado di offrire controllo e visibilità uniformi per macchine fisiche e virtuali, container e carichi di lavoro in modalità serverless, ovunque si trovino.

Una CWPP dovrebbe poter analizzare le vulnerabilità note al momento della distribuzione di un carico di lavoro, proteggere i carichi di lavoro dagli attacchi nella fase di runtime attraverso una combinazione di protezione dell'integrità del sistema, microsegmentazione basata sull'identità, controllo delle applicazioni, protezione della memoria, monitoraggio del comportamento, prevenzione delle intrusioni basata su host e protezione antimalware opzionale.

 

Perché una CWPP è importante?

In genere, le tecnologie legacy basate sulla rete non permettono di ottenere buoni risultati negli ambienti cloud. La maggior parte delle aziende ospita le applicazioni su una combinazione di provider di servizi cloud (CSP) e data center privati; per questo motivo, le tecnologie legacy basate sulla rete non riescono a fornire la visibilità completa e uniforme di cui le aziende hanno bisogno per i propri carichi di lavoro. Le imprese moderne devono collocare le applicazioni, i carichi di lavoro e i servizi al centro dei propri piani di sicurezza.

È fondamentale ricordare infatti che le piattaforme di protezione degli endpoint non sono state concepite per proteggere i carichi di lavoro, bensì laptop, desktop e dispositivi mobili, e di conseguenza possono mettere a rischio i dati aziendali. Una vera CWPP viene realizzata da zero per proteggere i carichi di lavoro sul cloud, e non si limita a essere un riadattamento di una tecnologia legacy progettata per adempiere a uno scopo del tutto diverso.

Inoltre, la sicurezza dei carichi di lavoro deve essere proattiva, non reattiva. Ad esempio, è meglio eseguire una scansione dei carichi di lavoro cloud al momento della distribuzione per verificare la presenza di vulnerabilità ed errori di configurazione, dato che questi ultimi spesso espongono le aziende a un rischio persino maggiore rispetto alla compromissione dei carichi di lavoro.

 

Cosa bisogna ricercare in una CWPP

Con l'evoluzione delle imprese, è sempre più necessario disporre di una CWPP. Esistono molte soluzioni sul mercato, ma non tutte sono piattaforme complete; quindi, quando si confrontano diverse soluzioni di CWPP, ecco alcune cose da tenere a mente:

  • Nel prossimo futuro, la maggior parte delle infrastrutture aziendali sarà costituita da un'architettura ibrida multicloud, quindi una CWPP efficace deve proteggere le macchine fisiche e virtuali, i container e i carichi di lavoro in modalità serverless.
  • La gestione di una CWPP deve poter avvenire da un'unica console, gestita attraverso un unico set di API.
  • Una soluzione CWPP completa dovrebbe esporre tutte le sue funzionalità tramite API, per facilitare l'automazione negli ambienti cloud.
  • I fornitori di CWPP dovrebbero essere in grado di condividere una roadmap e un progetto architetturale per la protezione serverless.

 

Considerazioni sulla CWPP per i responsabili della sicurezza

Tralasciando per un attimo le caratteristiche del prodotto, è importante considerare come incorporare le funzionalità della CWPP per ottenere una protezione dei carichi di lavoro cloud che si adatti al futuro. Alcuni suggerimenti:

  • Visibilità e controllo: assicurati che l'architettura fornisca una visibilità e un controllo uniformi su tutti i carichi di lavoro, indipendentemente dalla loro posizione, dimensione o architettura.
  • Protezione dei container: considera i provider di CWPP in grado di offrire la sicurezza dei container o un piano di azione chiaro per la protezione serverless e il servizio di gestione del profilo di sicurezza cloud (CSPM) per individuare le configurazioni rischiose.
  • Scansione e conformità: la scansione e la conformità dei carichi di lavoro devono essere estese ai processi DevOps nell'ambito di un approccio DevSecOps (in particolare con i processi di sviluppo e distribuzione su PaaS basati su container e con funzione serverless).
  • Principi zero trust: se possibile, per la sicurezza dei carichi di lavoro, usa un approccio di rifiuto automatico in fase di runtime, anche se solo in modalità di rilevamento, anziché una strategia basata su antivirus.
  • Flessibilità: sviluppa un'architettura flessibile per situazioni in cui non è possibile utilizzare agenti di runtime o in cui non avrebbe senso farlo.

 

La CWPP secondo Zscaler

Uno dei componenti principali della piattaforma Zscaler è Zscaler Cloud Protection, che offre servizi fondamentali per proteggere i carichi di lavoro, tra cui:

  • CSPM (Cloud Security Posture Management): gli errori di configurazione delle app cloud sono fra le cause più comuni alla base della perdita di dati sul cloud. Zscaler CSPM identifica e corregge rapidamente gli errori di configurazione delle applicazioni negli ambienti IaaS, PaaS e SaaS.
  • ZTNA(Zero Trust Network Access): tutto ciò che espone gli utenti e le applicazioni a Internet (ad esempio le VPN) può incrementare il rischio che la rete venga individuata e attaccata; ogni firewall o strumento rivolto a Internet espande la superficie di attacco. Zscaler Private Access™, un servizio ZTNA, offre alla forza lavoro, ai partner e agli utenti terzi un accesso sicuro alle applicazioni cloud senza collocarli sulla rete aziendale o esporre le app a Internet. 
  • Connettività sicura any-to-any: l'estensione della rete aziendale ai cloud pubblici con VPN da sito a sito è costoso, pericoloso e complicato. Zscaler Cloud Connector offre invece una connettività zero trust da app ad app e da app a Internet, su cloud ibridi e multicloud, eliminando la complessità e i costi di hub, firewall virtuali, VPN e policy statiche basate sulla rete.
  • Segmentazione dei carichi di lavoro : la segmentazione della rete basata su IP incrementa il rischio relativo all'esposizione e al movimento laterale, perché non è in grado di gestire carichi di lavoro cloud che cambiano in modo dinamico. Zscaler Workload Segmentation offre una microsegmentazione rapida dei carichi di lavoro delle app, consentendo di identificare rapidamente i rischi, applicare la segmentazione e aggiornare automaticamente le policy, senza modifiche alla rete e con il 90% di policy di microsegmentazione in meno.

Zscaler per carichi di lavoro include i servizi di Zscaler Cloud Protection, tra cui Zscaler Private Access, Zscaler Cloud Connector e Zscaler Workload Segmentation, che costituiscono una piattaforma cloud per la protezione dei carichi di lavoro completa e a prova di futuro.

 

Risorse aggiuntive