Cosa si intende per protezione dei carichi di lavoro?
Cosa si intende per protezione dei carichi di lavoro?
Nel mondo della sicurezza, tutti conoscono i concetti di protezione dalle minacce informatiche e protezione dei dati. Sia che queste protezioni siano fornite da una piattaforma di sicurezza sul cloud o che siano gestite da apparecchi fisici in un data center o da un gateway regionale, esse hanno l'obiettivo di impedire alle entità dannose di entrare nella rete e bloccare la perdita di dati sensibili. La protezione dei carichi di lavoro è una tipologia diversa di controllo di sicurezza, che riguarda la protezione delle comunicazioni che avvengono tra le applicazioni, come ad esempio un software di ERP in un cloud che comunica con un database su un altro cloud, un'applicazione LOB che comunica con un software finanziario e strumenti di collaborazione, o un'applicazione di gestione dei progetti che scambia dati con un software CAD; le possibilità sono infinite.
Le applicazioni cloud sono diventate fondamentali per le operazioni aziendali e i dipendenti si troverebbero in difficoltà se dovessero svolgere il proprio lavoro senza potervi accedere. Dato che l'equilibrio si sta rapidamente spostando da una situazione prevalentemente on-premise a una realtà sempre più cloud, la protezione dei carichi di lavoro cloud sta diventando una priorità assoluta per i team di sicurezza.
I provider di servizi cloud (soprattutto quelli più grandi) adottano delle misure di sicurezza solide e integrate e, spesso, promuovono le proprie infrastrutture sicure come un vantaggio competitivo per distinguersi dalla concorrenza. Tuttavia, mentre i fornitori di servizi cloud sono responsabili della sicurezza sul cloud, i clienti del cloud, in base al modello di responsabilità condivisa, sono responsabili di ciò che risiede nel cloud e di ciò che comunica, ovvero le applicazioni, i carichi di lavoro e i dati.
Perché i controlli tradizionali non sono adatti per le applicazioni cloud
Le tecnologie legacy basate sulla rete non sono efficaci negli ambienti cloud, che sono elastici, non strettamente vincolati all'infrastruttura e che mancano di un perimetro statico sul quale posizionare i controlli di sicurezza. Inoltre, la maggior parte delle aziende utilizza una combinazione di più provider di servizi cloud e data center per ospitare le applicazioni, e questo complica la capacità di ottenere una visibilità uniforme sui carichi di lavoro. Le applicazioni e i servizi stessi devono quindi essere collocati al centro del piano di sicurezza.
I controlli non dovrebbero essere sui percorsi di rete attraversati dalle applicazioni, ma dovrebbero essere invece direttamente legati all'identità delle app e dei servizi che comunicano. Non è più sufficiente definire il software in base all'indirizzo o al percorso del traffico. Questo perché, soprattutto in un ambiente cloud, i controlli basati sugli indirizzi sono soggetti a cambiamenti, che i team di sicurezza devono compensare creando sempre più regole.
La natura effimera del cloud pone molteplici sfide ai team addetti alla sicurezza. Le tecnologie di sicurezza legacy si basano su un modello di attendibilità che non è più adatto all'attuale panorama delle minacce. I perimetri sono praticamente scomparsi, la crittografia rende difficile l'ispezione del traffico e la classificazione di dati distribuiti comporta l'impiego intensivo di risorse. Tutti questi aspetti rendono il cloud particolarmente interessante per gli aggressori.
Le aziende che utilizzano soluzioni EPP (Endpoint Protection Platform, piattaforma di protezione degli endpoint), progettate esclusivamente per proteggere i dispositivi degli utenti finali (ad esempio, desktop, laptop), per la protezione dei carichi di lavoro dei server, stanno mettendo a rischio i dati e le applicazioni aziendali.
La protezione a livello di applicazione offre molteplici vantaggi
Aggiungendo dei controlli attorno ad applicazioni specifiche, e non per ogni dispositivo o utente, la protezione dei carichi di lavoro aiuta a rispondere a domande, come: Quali applicazioni stanno comunicando? Quali dovrebbero comunicare? I sistemi stanno comunicando tra loro senza permettere la persistenza del traffico dannoso?
Grazie a risposte approfondite a queste domande, è possibile consentire solamente ai carichi di lavoro verificati di comunicare nel proprio ambiente cloud pubblico, privato o ibrido, mitigando così i rischi e offrendo il massimo livello di protezione dalle violazioni dei dati.
Minore complessità
Il monitoraggio degli asset e degli inventari delle policy è un'operazione complessa, e le dipendenze vengono influenzate ogni volta che un'istanza cloud cambia; questo può comportare problemi di gestione e disponibilità. Inoltre, la mappatura dei flussi di dati in un cloud risulta complicata, perché i servizi possono cambiare posizione, aumentando così il numero di punti in cui i dati devono essere monitorati e gestiti.
Al contrario, la protezione dei carichi di lavoro semplifica il monitoraggio e la protezione e previene l'impatto del cambiamento, perché si concentra sulle applicazioni anziché sull'ambiente in cui esse comunicano.
Protezione uniforme indipendentemente dalla posizione
Gli strumenti di sicurezza tradizionali, che utilizzano indirizzi IP, porte e protocolli come piano di controllo, non sono adatti agli ambienti cloud. La natura dinamica del cloud rende questi controlli di sicurezza statici inaffidabili, perché possono cambiare in qualsiasi momento e più volte nel corso di una giornata. Per risolvere il problema dei controlli basati sugli indirizzi, la protezione dei carichi di lavoro crea impronte digitali crittografiche per i software in base a delle proprietà immutabili che gli aggressori non sono in grado di sfruttare.
Utilizzando le policy zero trust di Zscaler incentrate sull'identità, è possibile fornire una protezione uniforme dei carichi di lavoro senza dover effettuare complesse modifiche architetturali. È inoltre possibile applicare le policy consigliate di segmentazione delle applicazioni con un solo clic e tutti i carichi di lavoro con base cloud saranno protetti in modo uniforme e indipendentemente dalla posizione della rete.
Valutazione continua del rischio
La maggior parte dei professionisti della sicurezza sa che le reti aziendali possono essere compromesse, ma molti non sono in grado di comprendere in termini quantitativi il livello di rischio a cui queste reti sottopongono l'organizzazione, in particolare per quanto concerne l'esposizione delle applicazioni. Zscaler misura in automatico la superficie di attacco visibile della rete, per comprendere quanti sono i percorsi di comunicazione delle applicazioni in uso. Inoltre, quantifica l'esposizione al rischio in base alla criticità del software in comunicazione e utilizza il machine learning per suggerire il minor numero possibile di policy di sicurezza zero trust, riducendo così drasticamente la probabilità di subire una violazione dei dati e preservando la semplicità di gestione.
In tutti i casi, la soluzione dovrebbe supportare il crescente requisito di "microsegmentazione" basata sull'identità (una segmentazione più granulare e definita da software, chiamata anche segmentazione zero trust della rete).
Grazie alla mappatura della topologia di Zscaler Workload Segmentation, dispongo di una rappresentazione accurata del nostro ambiente in continua evoluzione e posso eliminare i potenziali percorsi di attacco che mettono a rischio i dati dei clienti.
Il ruolo della segmentazione per la protezione dei carichi di lavoro
La segmentazione dei carichi di lavoro è una strategia di protezione fondamentale, perché elimina l'accesso a privilegi eccessivi che è consentito nelle reti piatte. Queste reti permettono agli aggressori di spostarsi lateralmente e di compromettere i carichi di lavoro negli ambienti cloud e nei data center. Segmentando o isolando le applicazioni ed eliminando i percorsi inutili, qualsiasi potenziale compromissione sarà limitata alla risorsa colpita, riducendo significativamente l'impatto di un attacco.
Segmentando le applicazioni e i carichi di lavoro, un'operazione nota anche come microsegmentazione, è possibile creare gruppi intelligenti basati sulle caratteristiche dei carichi di lavoro che comunicano tra di loro. In quanto tale, la microsegmentazione non dipende dalle reti che cambiano dinamicamente o dai requisiti commerciali o tecnici imposti, e questo significa che la sicurezza è più solida e più affidabile.
Zscaler Workload Segmentation (ZWS) offre un modo nuovo e più semplice per segmentare i carichi di lavoro delle applicazioni con un solo clic. ZWS applica ai carichi di lavoro una protezione basata sull'identità, senza la necessità di apportare modifiche alla rete. Zscaler Workload Segmentation fornisce:
- Blocco del movimento laterale di malware e ransomware tra server, carichi di lavoro cloud e desktop e prevenzione delle minacce, grazie alla sicurezza zero trust.
- Microsegmentazione estremamente semplice grazie al machine learning, che automatizza la creazione delle policy e la gestione continua
- Visibilità unificata sulle applicazioni in comunicazione on-premise e nei cloud pubblici
Zscaler Workload Segmentation
Per saperne di più
Zero trust in un clic
Consulta la scheda tecnica
Goulston & Storrs incrementa la sicurezza dei dati dei clienti grazie a Zscaler Workload Segmentation
Leggi il caso di studio