Cosa si intende per protezione dei carichi di lavoro? La protezione dei carichi di lavoro consiste nell'insieme di controlli di sicurezza e protocolli che proteggono le comunicazioni tra gli ambienti. Connessa alla sicurezza dei carichi di lavoro nel cloud, la protezione dei carichi di lavoro mitiga le vulnerabilità causate da rischi intrinseci alla sicurezza, come le configurazioni errate. È anche un elemento chiave del cloud security posture management (CSPM).

Perché la protezione dei carichi di lavoro è importante?

Le applicazioni cloud sono diventate fondamentali per le operazioni aziendali e i dipendenti si troverebbero in difficoltà se dovessero svolgere il proprio lavoro senza potervi accedere. Per aumentare la produttività dei reparti, le aziende stanno adottando servizi cloud come l'infrastruttura cloud di fornitori quali Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform. Spesso le organizzazioni mettono insieme i servizi SaaS, PaaS e IaaS di un mix di fornitori, creando un ambiente multicloud.

Dato che le organizzazioni in tutto il mondo hanno spostato le operazioni da una situazione prevalentemente on-premise al cloud, la protezione dei carichi di lavoro cloud è diventata una priorità assoluta per i team di sicurezza.

L'attenzione sulla sicurezza

I sopracitati provider di servizi cloud (soprattutto quelli più grandi) adottano delle misure di sicurezza informatica solide e integrate e spesso promuovono le proprie infrastrutture sicure come un vantaggio competitivo. Tuttavia, questi fornitori di cloud utilizzano modelli di responsabilità condivisa, in cui i fornitori sono responsabili della sicurezza dell'infrastruttura cloud stessa, mentre i clienti mantengono la responsabilità di ciò che risiede nel cloud e di ciò che comunica, ovvero le applicazioni, i carichi di lavoro e i dati.

A tal fine, oggi sono disponibili sul mercato numerose soluzioni di sicurezza per proteggere i carichi di lavoro che viaggiano da e verso il cloud. Sono sempre più diffusi perché è chiaro che le architetture di sicurezza tradizionali non riescono a tenere il passo con le minacce moderne. Per capire i motivi di questa situazione, analizziamo brevemente come venivano protetti i carichi di lavoro in passato e come sono cambiate le loro esigenze di protezione nel tempo.

La protezione tradizionale dei nostri carichi di lavoro

Tecnologie legacy basate su rete, come firewall o macchine virtuali, hanno fornito un'adeguata protezione del carico di lavoro quando il business si svolgeva on-premise e i team IT avevano un volume di dati molto più ridotto di cui preoccuparsi. Questi metodi hanno resistito relativamente bene perché i cyberattacchi non erano tanto avanzati o invasivi come lo sono oggi e, inoltre, l'uso delle applicazioni cloud non era ancora onnipresente.

Inutile dire che il mondo è leggermente cambiato rispetto al decennio scorso. Non solo i dipendenti lavorano ovunque, ma le applicazioni cloud e cloud native sono diventate necessarie per la produttività quotidiana.

I professionisti dell'IT e della sicurezza hanno scoperto che la tecnologia legacy non sono efficaci in ambienti cloud. Questi ambienti sono elastici, non strettamente vincolati all'infrastruttura e mancano di un perimetro statico sul quale posizionare i controlli di sicurezza. Inoltre, la maggior parte delle aziende utilizza una combinazione di più provider di servizi cloud e data center per ospitare le applicazioni e comunicare i flussi di lavoro, il che complica la capacità di ottenere una visibilità uniforme sulle stesse.

Significa che le applicazioni e i servizi devono essere al centro, anziché ai margini della pianificazione della sicurezza.

La dinamica in evoluzione

I controlli non dovrebbero essere sui percorsi di rete attraversati dalle applicazioni, ma essere invece direttamente legati all'identità delle app e dei servizi che comunicano. Non è più sufficiente definire il software in base all'indirizzo o al percorso del traffico: soprattutto in ambiente cloud, i controlli basati sugli indirizzi sono soggetti a cambiamenti, che i team di sicurezza devono compensare creando sempre più regole.

La natura effimera del cloud pone molteplici sfide ai team addetti alla sicurezza. Le tecnologie di sicurezza legacy si basano su un modello di attendibilità che non è più adatto all'attuale panorama delle minacce. I perimetri sono praticamente scomparsi, la crittografia rende difficile l'ispezione del traffico e la classificazione di dati distribuiti comporta l'impiego intensivo di risorse. Allo stesso tempo, tutti questi aspetti rendono il cloud particolarmente interessante per gli aggressori.

Minacce comuni alla protezione dei carichi di lavoro

Con la crescita del cloud, è cresciuto anche il numero di minacce ai suoi dati. Il panorama odierno delle minacce vede un'ampia gamma di attacchi sfuggenti e potenti che, senza un'adeguata protezione del carico di lavoro, possono facilmente devastare un'organizzazione. Alcune di queste minacce includono:

• Ransomware sul cloud: gli ambienti cloud non sono immuni agli attacchi malware e ransomware, che si infiltrano in questi ambienti per tenere in ostaggio i dati sensibili in cambio del pagamento di un riscatto.
• Attacchi alla catena di approvvigionamento: questi attacchi cercano di ottenere l'accesso generando una backdoor nei prodotti (solitamente dei software) utilizzati dalle organizzazioni target. Questo consente agli aggressori di applicare patch automatiche o aggiornamenti software in cui è stato inserito un trojan per aprire la strada a malware e altri attacchi.
• Perdita di dati: anche se non si tratta di una "minaccia" vera e propria, rappresenta uno dei maggiori rischi del cloud computing. La perdita di dati è spesso causata da punti ciechi nella protezione, che espongono i dati a causa di errori degli utenti o di azioni dolose.

Oltre a prevenire questi e altri rischi per il cloud, la protezione del carico di lavoro offre altri vantaggi sostanziali, che tratteremo nella prossima sezione.

Vantaggi della protezione dei carichi di lavoro per la sicurezza

Aggiungendo controlli su applicazioni specifiche, anziché su ogni dispositivo o utente, la protezione del carico di lavoro aiuta a rispondere a domande quali:

• Quali applicazioni stanno comunicando?
• Quali applicazioni dovrebbero comunicare?
• Sono i sistemi corretti a comunicare tra loro, senza consentire al traffico dannoso di persistere?

Grazie alle risposte a queste domande, è possibile consentire solamente ai carichi di lavoro verificati di comunicare nell'ambiente cloud pubblico, privato o ibrido dell'azienda, mitigando così i rischi e offrendo il massimo livello di protezione dalle violazioni dei dati. Ecco alcuni dei modi attraverso cui una protezione efficace dei carichi di lavoro è in grado di offrire al tuo team un vantaggio di sicurezza:

Minore complessità

Monitorare le risorse e gli inventari delle policy è complicato, e mappare i flussi di dati in un cloud è un'operazione complessa, perché i servizi possono cambiare posizione e aumentare così il numero di punti di dati da controllare e gestire. Oltre a semplificare il monitoraggio e le attività di difesa, la protezione dei carichi di lavoro anticipa l'impatto del cambiamento, perché si concentra sulle applicazioni anziché sull'ambiente in cui esse comunicano.

Protezione uniforme indipendentemente dalla posizione

Gli strumenti di sicurezza tradizionali, che utilizzano indirizzi IP, porte e protocolli come piano di controllo, non sono adatti agli ambienti cloud. La natura dinamica del cloud rende inaffidabili questi controlli di sicurezza statici, perché possono verificarsi cambiamenti in qualsiasi momento e più volte nel corso di una giornata. Per risolvere questo problema, le piattaforme di protezione dei carichi di lavoro applicano la protezione in base alle proprietà del software stesso.

Valutazione continua del rischio

I professionisti della sicurezza sanno che le loro reti aziendali possono essere compromesse, ma molti non sono in grado di comprendere in termini quantitativi il livello di rischio a cui queste reti sottopongono l'organizzazione, in particolare per quanto concerne l'esposizione delle applicazioni. La giusta soluzione di protezione del carico di lavoro è in grado di misurare la superficie di attacco visibile della rete in tempo reale per capire quanti possibili percorsi di comunicazione delle applicazioni sono in uso.

Le migliori pratiche per la protezione dei carichi di lavoro

La protezione dei carichi di lavoro inizia con la selezione della piattaforma giusta. Ecco alcuni suggerimenti per orientarsi verso un potente software di protezione del carico di lavoro:

• Integrazione di pratiche di DevSecOps: una strategia DevSecOps integra la sicurezza in tutto il ciclo di sviluppo del software (SDLC, Software Development Life Cycle). In questo modo, i team DevOps non devono preoccuparsi di potenziali vulnerabilità durante la creazione e la distribuzione delle applicazioni.
• Utilizzo della segmentazione zero trust: la segmentazione è una strategia collaudata che aiuta a limitare l'infiltrazione e il movimento delle minacce informatiche. L'adozione di questa tecnica con policy zero trust aiuta a eliminare il movimento laterale grazie al principio dei privilegi minimi e all'autenticazione sensibile al contesto.
• Adozione di una piattaforma di protezione dei carichi di lavoro cloud (CWPP): una CWPP efficace è in grado di offrire controllo e visibilità uniformi per macchine fisiche e virtuali, container, come Kubernetes, e carichi di lavoro in modalità serverless, ovunque si trovino.

Il ruolo di una piattaforma di protezione dei carichi di lavoro cloud (CWPP)

La segmentazione dei carichi di lavoro è una strategia di protezione fondamentale, perché elimina l'accesso a privilegi eccessivi che è consentito nelle reti piatte. Queste reti permettono agli aggressori di spostarsi lateralmente e di compromettere i carichi di lavoro negli ambienti cloud e nei data center. Segmentando o isolando le applicazioni ed eliminando i percorsi inutili, qualsiasi potenziale compromissione sarà limitata alla risorsa colpita, riducendo significativamente l'impatto di un attacco.

Segmentando le applicazioni e i carichi di lavoro, un'operazione nota anche come microsegmentazione, è possibile creare gruppi intelligenti basati sulle caratteristiche dei carichi di lavoro in comunicazione tra loro. In quanto tale, la microsegmentazione non dipende dalle reti che cambiano dinamicamente o dai requisiti commerciali o tecnici imposti, e questo significa che la sicurezza è più solida e più affidabile.

Cosa può fare Zscaler

Zscaler Workload Segmentation (ZWS) è un modo nuovo e più semplice per segmentare i carichi di lavoro delle applicazioni con un solo clic. ZWS applica ai carichi di lavoro una protezione basata sull'identità, senza la necessità di apportare modifiche alla rete. Zscaler Workload Segmentation fornisce:

• Blocco del movimento laterale di malware e ransomware tra server, carichi di lavoro cloud e desktop e prevenzione delle minacce, grazie alla sicurezza zero trust.
• Microsegmentazione estremamente semplice grazie al machine learning, che automatizza la creazione delle policy e la gestione continua
• Visibilità unificata sulle applicazioni in comunicazione on-premise e nei cloud pubblici

Inoltre, quantifica l'esposizione al rischio in base alla criticità del software in comunicazione e utilizza il machine learning per suggerire il minor numero possibile di policy di sicurezza zero trust, riducendo così drasticamente la probabilità di subire una violazione dei dati e preservando la semplicità di gestione.