Richiedi una demo di Zscaler Workload Segmentation e scopri come un CWPP cloud-ready può fare la differenza.
Le applicazioni cloud sono diventate fondamentali per le operazioni aziendali e i dipendenti si troverebbero in difficoltà se dovessero svolgere il proprio lavoro senza potervi accedere. Per aumentare la produttività dei reparti, le aziende stanno adottando servizi cloud come l'infrastruttura cloud di fornitori quali Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform. Spesso le organizzazioni mettono insieme i servizi SaaS, PaaS e IaaS di un mix di fornitori, creando un ambiente multicloud.
Dato che le organizzazioni in tutto il mondo hanno spostato le operazioni da una situazione prevalentemente on-premise al cloud, la protezione dei carichi di lavoro cloud è diventata una priorità assoluta per i team di sicurezza.
I sopracitati provider di servizi cloud (soprattutto quelli più grandi) adottano delle misure di sicurezza informatica solide e integrate e spesso promuovono le proprie infrastrutture sicure come un vantaggio competitivo. Tuttavia, questi fornitori di cloud utilizzano modelli di responsabilità condivisa, in cui i fornitori sono responsabili della sicurezza dell'infrastruttura cloud stessa, mentre i clienti mantengono la responsabilità di ciò che risiede nel cloud e di ciò che comunica, ovvero le applicazioni, i carichi di lavoro e i dati.
A tal fine, oggi sono disponibili sul mercato numerose soluzioni di sicurezza per proteggere i carichi di lavoro che viaggiano da e verso il cloud. Sono sempre più diffusi perché è chiaro che le architetture di sicurezza tradizionali non riescono a tenere il passo con le minacce moderne. Per capire i motivi di questa situazione, analizziamo brevemente come venivano protetti i carichi di lavoro in passato e come sono cambiate le loro esigenze di protezione nel tempo.
Tecnologie legacy basate su rete, come firewall o macchine virtuali, hanno fornito un'adeguata protezione del carico di lavoro quando il business si svolgeva on-premise e i team IT avevano un volume di dati molto più ridotto di cui preoccuparsi. Questi metodi hanno resistito relativamente bene perché i cyberattacchi non erano tanto avanzati o invasivi come lo sono oggi e, inoltre, l'uso delle applicazioni cloud non era ancora onnipresente.
Inutile dire che il mondo è leggermente cambiato rispetto al decennio scorso. Non solo i dipendenti lavorano ovunque, ma le applicazioni cloud e cloud native sono diventate necessarie per la produttività quotidiana.
I professionisti dell'IT e della sicurezza hanno scoperto che la tecnologia legacy non sono efficaci in ambienti cloud. Questi ambienti sono elastici, non strettamente vincolati all'infrastruttura e mancano di un perimetro statico sul quale posizionare i controlli di sicurezza. Inoltre, la maggior parte delle aziende utilizza una combinazione di più provider di servizi cloud e data center per ospitare le applicazioni e comunicare i flussi di lavoro, il che complica la capacità di ottenere una visibilità uniforme sulle stesse.
Significa che le applicazioni e i servizi devono essere al centro, anziché ai margini della pianificazione della sicurezza.
I controlli non dovrebbero essere sui percorsi di rete attraversati dalle applicazioni, ma essere invece direttamente legati all'identità delle app e dei servizi che comunicano. Non è più sufficiente definire il software in base all'indirizzo o al percorso del traffico: soprattutto in ambiente cloud, i controlli basati sugli indirizzi sono soggetti a cambiamenti, che i team di sicurezza devono compensare creando sempre più regole.
La natura effimera del cloud pone molteplici sfide ai team addetti alla sicurezza. Le tecnologie di sicurezza legacy si basano su un modello di attendibilità che non è più adatto all'attuale panorama delle minacce. I perimetri sono praticamente scomparsi, la crittografia rende difficile l'ispezione del traffico e la classificazione di dati distribuiti comporta l'impiego intensivo di risorse. Allo stesso tempo, tutti questi aspetti rendono il cloud particolarmente interessante per gli aggressori.
Gartner, Guida di mercato sulle piattaforme di protezione dei workload cloud
Con la crescita del cloud, è cresciuto anche il numero di minacce ai suoi dati. Il panorama odierno delle minacce vede un'ampia gamma di attacchi sfuggenti e potenti che, senza un'adeguata protezione del carico di lavoro, possono facilmente devastare un'organizzazione. Alcune di queste minacce includono:
Oltre a prevenire questi e altri rischi per il cloud, la protezione del carico di lavoro offre altri vantaggi sostanziali, che tratteremo nella prossima sezione.
Aggiungendo controlli su applicazioni specifiche, anziché su ogni dispositivo o utente, la protezione del carico di lavoro aiuta a rispondere a domande quali:
Grazie alle risposte a queste domande, è possibile consentire solamente ai carichi di lavoro verificati di comunicare nell'ambiente cloud pubblico, privato o ibrido dell'azienda, mitigando così i rischi e offrendo il massimo livello di protezione dalle violazioni dei dati. Ecco alcuni dei modi attraverso cui una protezione efficace dei carichi di lavoro è in grado di offrire al tuo team un vantaggio di sicurezza:
Monitorare le risorse e gli inventari delle policy è complicato, e mappare i flussi di dati in un cloud è un'operazione complessa, perché i servizi possono cambiare posizione e aumentare così il numero di punti di dati da controllare e gestire. Oltre a semplificare il monitoraggio e le attività di difesa, la protezione dei carichi di lavoro anticipa l'impatto del cambiamento, perché si concentra sulle applicazioni anziché sull'ambiente in cui esse comunicano.
Gli strumenti di sicurezza tradizionali, che utilizzano indirizzi IP, porte e protocolli come piano di controllo, non sono adatti agli ambienti cloud. La natura dinamica del cloud rende inaffidabili questi controlli di sicurezza statici, perché possono verificarsi cambiamenti in qualsiasi momento e più volte nel corso di una giornata. Per risolvere questo problema, le piattaforme di protezione dei carichi di lavoro applicano la protezione in base alle proprietà del software stesso.
I professionisti della sicurezza sanno che le loro reti aziendali possono essere compromesse, ma molti non sono in grado di comprendere in termini quantitativi il livello di rischio a cui queste reti sottopongono l'organizzazione, in particolare per quanto concerne l'esposizione delle applicazioni. La giusta soluzione di protezione del carico di lavoro è in grado di misurare la superficie di attacco visibile della rete in tempo reale per capire quanti possibili percorsi di comunicazione delle applicazioni sono in uso.
Gartner, Guida di mercato sulle piattaforme di protezione dei workload cloud
John Arsneault, CIO, Goulston & Storrs
La protezione dei carichi di lavoro inizia con la selezione della piattaforma giusta. Ecco alcuni suggerimenti per orientarsi verso un potente software di protezione del carico di lavoro:
La segmentazione dei carichi di lavoro è una strategia di protezione fondamentale, perché elimina l'accesso a privilegi eccessivi che è consentito nelle reti piatte. Queste reti permettono agli aggressori di spostarsi lateralmente e di compromettere i carichi di lavoro negli ambienti cloud e nei data center. Segmentando o isolando le applicazioni ed eliminando i percorsi inutili, qualsiasi potenziale compromissione sarà limitata alla risorsa colpita, riducendo significativamente l'impatto di un attacco.
Segmentando le applicazioni e i carichi di lavoro, un'operazione nota anche come microsegmentazione, è possibile creare gruppi intelligenti basati sulle caratteristiche dei carichi di lavoro in comunicazione tra loro. In quanto tale, la microsegmentazione non dipende dalle reti che cambiano dinamicamente o dai requisiti commerciali o tecnici imposti, e questo significa che la sicurezza è più solida e più affidabile.
Zscaler Workload Segmentation (ZWS) è un modo nuovo e più semplice per segmentare i carichi di lavoro delle applicazioni con un solo clic. ZWS applica ai carichi di lavoro una protezione basata sull'identità, senza la necessità di apportare modifiche alla rete. Zscaler Workload Segmentation fornisce:
Inoltre, quantifica l'esposizione al rischio in base alla criticità del software in comunicazione e utilizza il machine learning per suggerire il minor numero possibile di policy di sicurezza zero trust, riducendo così drasticamente la probabilità di subire una violazione dei dati e preservando la semplicità di gestione.
Richiedi una demo di Zscaler Workload Segmentation e scopri come un CWPP cloud-ready può fare la differenza.
Zscaler Workload Protection
Visualizza le nostre soluzioniChe cos'è una piattaforma di protezione dei carichi di lavoro cloud (CWPP)
Leggi l'articoloShift left e shift down con la CWPP
Leggi il blogCNAPP e protezione dei carichi di lavoro cloud