Risorse > Glossario dei termini sulla sicurezza > Che cos'è la CWPP di Gartner

Che cos'è la CWPP di Gartner?

Qual è la definizione di CWPP fornita da Gartner?

Secondo Gartner, una CWPP (Cloud Workload Protection Platform, o piattaforma di protezione dei carichi di lavoro cloud) consiste in una soluzione di sicurezza incentrata sui carichi di lavoro, volta a soddisfare i requisiti di protezione specifici dei carichi di lavoro negli attuali ambienti ibridi, multicloud e nei data center. Inoltre, Gartner afferma che le CWPP devono offrire un controllo e una visibilità coerenti per computer fisici e virtuali, container e carichi di lavoro serverless, indipendentemente dalla posizione.

Inoltre, sottolinea che una vera piattaforma di protezione dei carichi di lavoro cloud dovrebbe effettuare una scansione per individuare eventuali vulnerabilità note al momento della distribuzione, proteggendo al contempo i carichi di lavoro dagli attacchi in fase di esecuzione, con protezione dell'integrità del sistema, microsegmentazione basata sull'identità, controllo delle applicazioni, protezione della memoria, monitoraggio comportamentale, prevenzione delle intrusioni basata su host e protezione antimalware opzionale.

 

Perché Gartner consiglia una CWPP?

In generale, le tecnologie legacy basate sulla rete non sono efficaci negli ambienti cloud. Inoltre, la maggior parte delle aziende utilizza una combinazione di più provider di servizi cloud e data center per ospitare le applicazioni. Questo complica la capacità di ottenere una visibilità uniforme sui carichi di lavoro. Le applicazioni e i servizi stessi devono quindi essere collocati al centro del piano di sicurezza. 

Più specificamente, le piattaforme di protezione degli endpoint (strumenti sviluppati per proteggere laptop, desktop e dispositivi mobili) non sono adeguate per la protezione dei carichi di lavoro dei server e mettono a rischio i dati aziendali. Inoltre, la maggior parte delle aziende utilizza più servizi IaaS su cloud pubblico e molte di esse stanno sperimentando applicazioni in contenitori e PaaS serverless.

Quindi, la sicurezza dei carichi di lavoro deve iniziare in modo proattivo al momento della distribuzione. I carichi di lavoro in container e serverless devono essere scansionati alla ricerca di vulnerabilità ed errori di configurazione, poiché spesso questi ultimi espongono le aziende a un rischio maggiore rispetto alle compromissioni dei carichi di lavoro.

Le aziende che utilizzano soluzioni EPP (Endpoint Protection Platform, piattaforma di protezione degli endpoint), progettate esclusivamente per proteggere i dispositivi degli utenti finali (ad esempio, desktop, laptop), per la protezione dei carichi di lavoro dei server, stanno mettendo a rischio i dati e le applicazioni aziendali.

Gartner, Market Guide for Cloud Workload Protection Platforms

Cosa cercare in una CWPP, secondo Gartner

Con l'evoluzione delle aziende, aumenta anche la necessità di una piattaforma di protezione dei carichi di lavoro cloud. Nella valutazione di una soluzione CWPP, Gartner consiglia quando segue:

  • Per i data center aziendali, il futuro è rappresentato da un'architettura ibrida e multicloud. Per questo motivo, le soluzioni CWPP devono proteggere anche dispositivi fisici, VM, container e carichi di lavoro serverless, ma ciò deve essere effettuato tramite una sola console e gestito da un unico set di API, indipendentemente dalla posizione.
  • Una soluzione CWPP completa dovrebbe esporre tutte le sue funzionalità tramite API, per facilitare l'automazione negli ambienti cloud.
  • Quando si valutano le piattaforme CWPP, la protezione dei container DEVE essere una delle funzionalità incluse.
  • I provider di soluzioni CWPP dovrebbero essere in grado di condividere un piano d'azione e un progetto architetturale per offrire la protezione serverless, che dovrebbe diventare un requisito obbligatorio entro 12 mesi.

Per l'elenco completo delle raccomandazioni sulle CWPP di Gartner, consulta la Market Guide for Cloud Workload Protection Platforms del 2020 (richiede la registrazione). 

 

Le principali considerazioni sulle CWPP per i responsabili della sicurezza, secondo Gartner

Oltre alle funzionalità del prodotto, i professionisti della sicurezza devono considerare la funzionalità della CWPP e come incorporare queste ultime nello sviluppo di una piattaforma di protezione dei carichi di lavoro cloud che guardi al futuro. Gartner consiglia quanto segue:

  • Progettare una visibilità e un controllo coerenti su tutti i carichi di lavoro, indipendentemente da posizione, dimensione o architettura
  • Assicurarsi che i provider di piattaforme di protezione dei carichi di lavoro cloud (CWPP) supportino i container, ma abbiano anche pianificato lo sviluppo di soluzioni per supportare l'approccio serverless
  • Estendere le attività di scansione dei carichi di lavoro e di conformità allo sviluppo (DevSecOps), in particolare con lo sviluppo e la distribuzione tramite PaaS di funzionalità basate su container e serverless
  • Richiedere che le soluzioni CWPP espongano tutte le funzionalità tramite API 
  • In fase di esecuzione, sostituire le strategie incentrate sugli antivirus con un approccio zero trust/default-deny alla protezione dei carichi di lavoro, ove possibile, anche se solo in modalità di rilevamento
  • Progettare scenari di CWPP in cui gli agenti di runtime non possono essere utilizzati o non sono più adatti
  • Richiedere ai provider di soluzioni CWPP di offrire funzionalità integrate di gestione del profilo di sicurezza cloud (CSPM), per identificare le configurazioni rischiose

Come risponde Zscaler alla definizione di CWPP di Gartner?

Uno dei componenti principali della piattaforma Zscaler è Zscaler Cloud Protection, che offre servizi fondamentali per proteggere i carichi di lavoro, tra cui:

 

Gestione del profilo di sicurezza sul cloud

Gli errori di configurazione delle app cloud non solo sono molto comuni, ma anche dannosi per la sicurezza dei dati aziendali, e rappresentano una delle principali cause della perdita di dati nel cloud. La funzionalità di gestione del profilo di sicurezza sul cloud (CSPM, Cloud Security Posture Management) identifica e risolve rapidamente i problemi delle applicazioni su IaaS, PaaS e SaaS, come Microsoft 365.

 

Accesso zero trust

Oggi, le VPN, o qualsiasi altro componente che espone utenti e applicazioni a Internet, aumentano la probabilità che la rete venga individuata, attaccata e sfruttata, poiché ogni firewall o strumento connesso a Internet costituisce una potenziale superficie di attacco e una backdoor. Parte integrante di Zero Trust Exchange, Zscaler Private Access (ZPA) fornisce alla forza lavoro, ai clienti B2B e ai fornitori un accesso sicuro alle applicazioni cloud, senza collocarli sulla rete e senza esporre le applicazioni a Internet. 

 

Proteggere la connettività Any-to-Any

Estendere la rete "attendibile" ai cloud pubblici con la VPN da sito a sito rappresenta un'operazione complessa, costosa e pericolosa. Al contrario, Zscaler Cloud Connector offre una connettività zero trust da applicazione ad applicazione e da applicazione a Internet, su cloud ibridi e multicloud. Cloud Connector elimina la complessità e i costi di hub, firewall virtuali e VPN e le policy statiche basate sulla rete. 

 

Segmentazione dei
carichi di lavoro

La segmentazione della rete basata sull'IP non è adatta a gestire i carichi di lavoro cloud che cambiano in modo dinamico, in quanto questi segmenti sono in gran parte configurati in modo da essere più aperti di quanto dovrebbero, con una conseguente maggiore probabilità di esposizione e movimento laterale. Zscaler Workload Segmentation offre un modo più veloce per ottenere la microsegmentazione dei carichi di lavoro delle app. Consente di identificare rapidamente i rischi, applicare la segmentazione e aggiornare automaticamente le policy, senza modifiche alla rete e con il 90% di policy di microsegmentazione in meno.

Zscaler, attraverso i servizi Zscaler Cloud Protection, tra cui Zscaler Workload Segmentation, soddisfa i rigorosi requisiti di Gartner, offrendo una piattaforma completa e a prova di futuro per la protezione dei carichi di lavoro cloud.

 

Risorse aggiuntive