Che cos'è una piattaforma di protezione dei carichi di lavoro cloud (CWPP)

Perché una CWPP è importante?

In genere, le tecnologie legacy basate sulla rete non permettono di ottenere buoni risultati negli ambienti cloud. La maggior parte delle aziende ospita le applicazioni su una combinazione di provider di servizi cloud (CSP) e data center privati; per questo motivo, le tecnologie legacy basate sulla rete non riescono a fornire la visibilità completa e uniforme di cui le aziende hanno bisogno per i propri carichi di lavoro. Le imprese moderne devono collocare le applicazioni, i carichi di lavoro e i servizi al centro dei propri piani di sicurezza.

È fondamentale ricordare infatti che le piattaforme di protezione degli endpoint non sono state concepite per proteggere i carichi di lavoro, bensì laptop, desktop e dispositivi mobili, e di conseguenza possono mettere a rischio i dati aziendali. Una vera CWPP viene realizzata da zero per proteggere i carichi di lavoro sul cloud, e non si limita a essere un riadattamento di una tecnologia legacy progettata per adempiere a uno scopo del tutto diverso.

Inoltre, la sicurezza dei carichi di lavoro deve essere proattiva, non reattiva. Ad esempio, è meglio eseguire una scansione dei carichi di lavoro cloud al momento della distribuzione per verificare la presenza di vulnerabilità ed errori di configurazione, dato che questi ultimi spesso espongono le aziende a un rischio persino maggiore rispetto alla compromissione dei carichi di lavoro.

Cosa bisogna ricercare in una CWPP

Con l'evoluzione delle imprese, è sempre più necessario disporre di una CWPP. Esistono molte soluzioni sul mercato, ma non tutte sono piattaforme complete; quindi, quando si confrontano diverse soluzioni di CWPP, ecco alcune cose da tenere a mente:

• Nel prossimo futuro, la maggior parte delle infrastrutture aziendali sarà costituita da un'architettura ibrida multicloud, quindi una CWPP efficace deve proteggere le macchine fisiche e virtuali, i container e i carichi di lavoro in modalità serverless.
• La gestione di una CWPP deve poter avvenire da un'unica console, gestita attraverso un unico set di API.
• Una soluzione CWPP completa dovrebbe esporre tutte le sue funzionalità tramite API, per facilitare l'automazione negli ambienti cloud.
• I fornitori di CWPP dovrebbero essere in grado di condividere una roadmap e un progetto architetturale per la protezione serverless.

Considerazioni sulla CWPP per i responsabili della sicurezza

Tralasciando per un attimo le caratteristiche del prodotto, è importante considerare come incorporare le funzionalità della CWPP per ottenere una protezione dei carichi di lavoro cloud che si adatti al futuro. Alcuni suggerimenti:

• Visibilità e controllo: assicurati che l'architettura fornisca una visibilità e un controllo uniformi su tutti i carichi di lavoro, indipendentemente dalla loro posizione, dimensione o architettura.
• Protezione dei container: considera i provider di CWPP in grado di offrire la sicurezza dei container o un piano di azione chiaro per la protezione serverless e il servizio di gestione del profilo di sicurezza cloud (CSPM) per individuare le configurazioni rischiose.
• Scansione e conformità: la scansione e la conformità dei carichi di lavoro devono essere estese ai processi DevOps nell'ambito di un approccio DevSecOps (in particolare con i processi di sviluppo e distribuzione su PaaS basati su container e con funzione serverless).
• Principi zero trust: se possibile, per la sicurezza dei carichi di lavoro, usa un approccio di rifiuto automatico in fase di runtime, anche se solo in modalità di rilevamento, anziché una strategia basata su antivirus.
• Flessibilità: sviluppa un'architettura flessibile per situazioni in cui non è possibile utilizzare agenti di runtime o in cui non avrebbe senso farlo.

La CWPP secondo Zscaler

Un componente fondamentale della piattaforma Zscaler è Zscaler Workload Communications, che offre una sicurezza zero trust completa per i workload cloud. Prima di stabilire la connettività a Internet, app SaaS o workload privati, la piattaforma Zscaler ispeziona tutto il traffico inline per proteggerlo dalle minacce informatiche e dalla perdita dei dati, stabilisce l'identità e il contesto della richiesta di accesso e applica tutte le policy appropriate. 

Zscaler Workload Communications offre alla tua organizzazione il potere di:

• Proteggere le applicazioni cloud critiche per il business: previeni gli attacchi 0-day, la perdita dei dati e gli attacchi ransomware diretti alle applicazioni critiche e garantisci la continuità delle operazioni aziendali.
• Eliminare le VPN site-to-site: usa lo zero trust e applica policy di accesso a privilegi minimi quando connetti i workload cloud situati su VPC/VNet, regioni o cloud pubblici diversi.
• Accelerare le integrazioni di fusioni e acquisizioni: ottimizza l'integrazione che segue fusioni e acquisizioni e consenti l'accesso trasversale alle applicazioni senza collegare le reti. Definisci e amministra un profilo di sicurezza universale per proteggere i workload tra diversi VPC, regioni e cloud pubblici.
• Proteggere l'infrastruttura desktop virtuale sul cloud: proteggi la VDI persistente e non persistente fornita dall'infrastruttura cloud applicando policy per controllare l'accesso ad applicazioni private e siti esplicitamente consentiti.