Risorse > Glossario dei termini sulla sicurezza > Cosa si intende per sicurezza dei carichi di lavoro cloud?

Cosa si intende per sicurezza dei carichi di lavoro cloud?

Definizione di sicurezza dei carichi di lavoro cloud

La sicurezza dei carichi di lavoro cloud è una soluzione progettata per proteggere i carichi di lavoro nei database, nei container come Kubernetes, nelle macchine virtuali (VM) e nei server fisici attraverso gli ambienti cloud.

 

Perché la sicurezza dei carichi di lavoro cloud è importante?

L'abbandono delle soluzioni on-premise a favore di modelli di business digitali e incentrati sul cloud vede sempre più organizzazioni spostare le proprie app e i propri dati sul cloud con l'aiuto delle soluzioni di provider come AWS, Microsoft Azure e Google Cloud. Questa migrazione complica enormemente la protezione dei dati che si muovono tra le app e i servizi SaaS comunicando tra loro su diversi ambienti cloud e data center tramite connessioni Internet.

Esistono numerose vulnerabilità da contrastare per proteggere i carichi di lavoro. Una soluzione per la sicurezza dei carichi di lavoro cloud consente alle organizzazioni di identificare, gestire e proteggere questi carichi di lavoro per ridurre i rischi, aumentare la conformità, garantire una maggiore scalabilità delle applicazioni e migliorare il profilo di sicurezza generale.

 

Come funziona la sicurezza dei carichi di lavoro cloud?

La sicurezza dei carichi di lavoro cloud, nota anche come protezione dei carichi di lavoro cloud, si basa sulla segmentazione dei carichi di lavoro attraverso la segmentazione in parti più piccole per una segmentazione del traffico più semplice e sicura.

Queste soluzioni di sicurezza consentono alle aziende di rilevare, monitorare e proteggere gli account cloud, le istanze di calcolo e archiviazione e il piano di controllo. In questo modo, è possibile ridurre la probabilità di incorrere in errori di configurazione al momento della distribuzione e sviluppare e pubblicare un maggior numero di applicazioni native del cloud su larga scala, riducendo al contempo il rischio di problemi di sicurezza.

 

Rischi per la sicurezza dei carichi di lavoro cloud

In un ambiente moderno basato su un'infrastruttura cloud, le applicazioni e i servizi dovrebbero essere al centro della strategia di sicurezza generale, ma spesso non è così. In un ambiente cloud, la maggior parte del traffico si muove su un percorso est-ovest (all'interno dell'ambiente), mentre i controlli di sicurezza tradizionali in genere proteggono il traffico nord-sud (in entrata o in uscita dall'ambiente) attraverso un gateway perimetrale; questo significa che non è più sufficiente definire i software in base al percorso del traffico.

I controlli di sicurezza devono essere incentrati sui carichi di lavoro ed essere indipendenti dalla piattaforma cloud. È quindi fondamentale allontanare i controlli di accesso e le autorizzazioni dai percorsi di rete su cui viaggiano le applicazioni e collegarli direttamente all'identità delle applicazioni e dei servizi che comunicano. Senza un approccio di questo tipo, le minacce provenienti dalla rete riusciranno a penetrare nei sistemi cloud aziendali con molta più facilità.

 

Perché le strategie di sicurezza legacy non sono più adeguate

Gli strumenti di sicurezza legacy si fondano su un modello di attendibilità che non è più efficace nel panorama delle minacce di oggi, poiché sempre più applicazioni risiedono nel cloud e comunicano su Internet. I perimetri di sicurezza della rete stanno scomparendo, e l'ispezione risulta più complessa, perché quasi tutto il traffico è criptato. I controlli di sicurezza legacy, che non sono in grado di decifrare, ispezionare e ricodificare il traffico, potrebbero non rilevare attacchi informatici come ransomware e altre minacce informatiche.

Per difendersi da questi attacchi, le organizzazioni che utilizzano cloud privati e pubblici devono concentrarsi sulla protezione a livello di carico di lavoro, e non solo di endpoint.

 

Per difendersi dagli attacchi informatici, le aziende che utilizzano cloud privati e pubblici devono concentrarsi sulla protezione dei carichi di lavoro, non solo degli endpoint.
VMware

I requisiti principali di una piattaforma per la sicurezza dei carichi di lavoro cloud

Esploriamo le strategie necessarie per garantire la solidità della sicurezza dei carichi di lavoro cloud.

La microsegmentazione è un metodo per creare zone sicure e isolate all'interno di un data center, di una rete o di un ambiente cloud per isolare e proteggere singolarmente i carichi di lavoro. È stata progettata per consentire il partizionamento granulare del traffico e migliorare la protezione dagli attacchi.

Con la microsegmentazione, i team addetti alla sicurezza IT possono adattare le impostazioni di sicurezza ai diversi tipi di traffico, creando policy in grado di limitare i flussi di carichi di lavoro a quelli espressamente consentiti. Applicando regole di segmentazione e policy granulari al carico di lavoro o all'applicazione, è possibile ridurre il rischio che un utente malintenzionato si sposti da un'applicazione compromessa o un carico di lavoro violato a un altro senza essere rilevato.

Non va però confusa con la segmentazione della rete, che prevede l'utilizzo di firewall per l'ispezione stateful o firewall di nuova generazione per suddividere la rete in parti più piccole e più facilmente monitorabili. Questa strategia si è rivelata efficace in passato, ma presenta delle limitazioni negli ambienti cloud e multicloud.

Un'altra strategia importante è quella dello ZTNA (Zero Trust Network Access), noto anche come perimetro definito da software (SDP). Lo ZTNA si ottiene con un insieme di tecnologie che operano su un modello di attendibilità adattivo, in cui l'attendibilità non è mai implicita, gli utenti devono essere sempre verificati e l'accesso è concesso in base alla necessità, al principio dei privilegi minimi e definito da policy granulari.

Gartner prevede che, entro il 2023, il 60% delle aziende avrà eliminato le reti private virtuali (VPN) di accesso remoto a favore dello ZTNA. Alla base di questo vi sono varie ragioni, tra cui una migliore protezione e sicurezza dei carichi di lavoro cloud.

La microsegmentazione e lo ZTNA possono entrambi contribuire a proteggere il traffico e le applicazioni di un'organizzazione in fase di runtime, ma l'utilizzo di una piattaforma di protezione dei carichi di lavoro cloud garantirà una copertura completa.

 

Le soluzioni di sicurezza dei carichi di lavoro cloud consentono alle aziende di rilevare, monitorare e proteggere gli account cloud, le istanze di calcolo e di archiviazione e il piano di controllo. In questo modo, è possibile sviluppare e distribuire più applicazioni su larga scala, riducendo al contempo il rischio di introdurre problemi di sicurezza e migliorando il profilo di sicurezza complessivo e la conformità.
AWS

I principali vantaggi della sicurezza dei carichi di lavoro cloud

Ecco alcuni dei modi attraverso cui la sicurezza dei carichi di lavoro cloud aiuta a ridurre i rischi e a semplificare la sicurezza delle organizzazioni:
 

Minore complessità

In un'architettura orientata ai servizi, il monitoraggio delle risorse e degli inventari di policy è complesso, e ogni modifica delle istanze cloud influisce sulle dipendenze, creando problemi di gestione e disponibilità. Inoltre, la mappatura del flusso di dati in un cloud è complicata, perché i servizi possono cambiare posizione, con un conseguente aumento del numero di punti di dati da monitorare e gestire. La sicurezza dei carichi di lavoro cloud semplifica il monitoraggio e la protezione e anticipa l'impatto delle modifiche, in quanto si concentra sulle applicazioni, e non sul loro ambiente.
 

Protezione totale

Gli strumenti di sicurezza tradizionali, che utilizzano indirizzi IP, porte e protocolli come piano di controllo, non sono adatti alle architetture cloud. La natura dinamica dei servizi cloud rende questi controlli di sicurezza statici inaffidabili, perché possono esserci modifiche in qualsiasi momento. Per contrastare il problema dei controlli basati sugli indirizzi, le piattaforme di sicurezza dei carichi di lavoro cloud offrono una protezione uniforme dei carichi di lavoro e non richiedono modifiche architetturali.
 

Valutazione continua del rischio

La maggior parte dei professionisti della sicurezza è consapevole che le reti aziendali sono vulnerabili alla compromissione, ma molti di loro non sono in grado di quantificare il rischio, in particolare quello relativo all'esposizione delle app. Le soluzioni di sicurezza dei carichi di lavoro cloud consentono di misurare automaticamente la superficie di attacco visibile della rete, per comprendere quanti percorsi di comunicazione delle app sono in uso, quantificare l'esposizione ai rischi in base alla criticità del software comunicante e suggerire il minor numero di policy di sicurezza per ridurre il rischio di subire violazione dei dati.

 

Le best practice per la sicurezza dei carichi di lavoro cloud

Assicurati che la piattaforma di sicurezza dei carichi di lavoro cloud che hai selezionato sia in grado di:

  • Proteggere i carichi di lavoro dalla creazione al runtime rimanendo in linea con le procedure DevOps
  • Proteggere la connettività dei carichi di lavoro cloud con Internet, data center e altre app
  • Essere eseguita su un'architettura zero trust per tutti gli utenti e i carichi di lavoro in modo coerente

Assicurati che la piattaforma di sicurezza dei carichi di lavoro cloud possa aiutare il tuo team di sicurezza a rispondere a queste domande:

  • Quali applicazioni stanno comunicando?
  • Quali applicazioni dovrebbero comunicare?
  • Sono i sistemi corretti a comunicare tra loro, senza consentire al traffico dannoso di persistere?

I carichi di lavoro cloud di oggi richiedono una sicurezza in grado di offrire una copertura zero trust completa e di semplificare al contempo la gestione delle procedure DevOps e SecOps. Ciò di cui hai bisogno è una piattaforma testata e sviluppata sul cloud e per il cloud; una piattaforma che solo Zscaler è in grado di offrire.

 

Zscaler Workload Segmentation ha il potenziale per essere un prodotto irrinunciabile per le aziende di tutto il mondo. Nonostante i numerosi strumenti di sicurezza esistenti oggi che si concentrano su funzioni specifiche, penso comunque che Zscaler Workload Segmentation offra una protezione di livello estremamente superiore. E la cosa migliore è che lo fa offrendo agli utenti un'incredibile facilità d'uso.
John Arsneault, CIO, Goulston & Storrs

La protezione dei carichi di lavoro cloud secondo Zscaler

Zscaler Workload Segmentation™ (ZWS™) offre un nuovo modo per segmentare i carichi di lavoro delle applicazioni. Con un solo clic, è possibile rafforzare la sicurezza consentendo a ZWS di rivelare il rischio e applicare la protezione basata sull'identità ai carichi di lavoro senza apportare modifiche alla rete.

ZWS offre una protezione totale grazie a policy che si adattano automaticamente ai cambiamenti degli ambienti, eliminando così la superficie di attacco della rete. Inoltre, è una soluzione basata su API, e può quindi integrarsi con gli strumenti di sicurezza e con i processi DevOps esistenti, consentendo di eseguire la segmentazione automatica in un solo clic.

Basandosi sull'approccio zero trust, Zscaler consente solo ai carichi di lavoro verificati di comunicare nell'ambiente cloud pubblico, privato o ibrido, mitigando così il rischio e offrendo il massimo livello di protezione dalle violazioni dei dati.

Zscaler Workload Segmentation comprende:

Protezione basata sull'identità del software

ZWS va oltre gli indirizzi di rete, per verificare la sicurezza dell'identità delle applicazioni e dei carichi di lavoro che comunicano tra loro su cloud pubblici o privati, cloud ibridi, data center on-premise o ambienti container. 

Un motore di automazione delle policy

ZWS utilizza il machine learning per automatizzare l'intero ciclo di vita delle policy per la microsegmentazione e la protezione dei carichi di lavoro. Non è necessario creare manualmente le policy durante la distribuzione o le operazioni in corso; Workload Segmentation suggerisce policy nuove o aggiornate quando vengono cambiate o aggiunte delle app.

Visibilità e misurazione della superficie di attacco

ZWS costruisce automaticamente una topologia delle applicazioni in tempo reale e una mappa delle dipendenze fino al livello di processo. In seguito, evidenzia i percorsi necessari e li confronta con il totale dei percorsi di rete disponibili, quindi suggerisce le policy per ridurre al minimo la superficie di attacco e proteggere ciò che è necessario.

Desideri saperne di più su come Zscaler Workload Segmentation è in grado di proteggere la tua organizzazione? Richiedi una dimostrazione per iniziare.

Impedisci la compromissione delle applicazioni e le violazioni dei dati con la segmentazione dei carichi di lavoro

Guarda come funziona
Zscaler Workload Segmentation

Goulston & Storrs incrementa la sicurezza dei dati dei clienti grazie a Zscaler Workload Segmentation

Leggi il caso di studio
Goulston & Storrs incrementa la sicurezza dei dati dei clienti grazie a Zscaler<sup>TM</sup> Workload Segmentation

Differenza tra microsegmentazione e segmentazione di rete

Scopri la differenza
Differenza tra microsegmentazione e segmentazione di rete