Zpedia 

/ Cosa si intende per protezione dei carichi di lavoro?

Cosa si intende per protezione dei carichi di lavoro?

La protezione dei carichi di lavoro consiste nell'insieme di controlli di sicurezza e protocolli che proteggono le comunicazioni tra gli ambienti. Connessa alla sicurezza dei carichi di lavoro nel cloud, la protezione dei carichi di lavoro mitiga le vulnerabilità causate da rischi intrinseci alla sicurezza, come le configurazioni errate. È anche un elemento chiave del cloud security posture management (CSPM).
Protezione dei carichi di lavoro
Sicurezza sul cloudProtezione dati
  1. Perché è importante?
  2. Sicurezza tradizionale dei carichi di lavoro
  3. Minacce comuni
  4. Vantaggi
  5. Best practice
  6. Il ruolo di una CWPP
  7. Zscaler
  8. Risorse suggerite
  9. Argomenti correlati

Perché la protezione dei carichi di lavoro è importante?

Le applicazioni cloud sono diventate fondamentali per le operazioni aziendali, e i dipendenti si troverebbero in difficoltà se dovessero svolgere il proprio lavoro senza potervi accedere. Per aumentare la produttività dei reparti, le aziende stanno adottando vari servizi cloud, come l'infrastruttura cloud fornita da Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform. Spesso le organizzazioni combinano servizi SaaS, PaaS e IaaS di molteplici fornitori, creando così ambienti multicloud.

Dato che le organizzazioni di tutto il mondo stanno passando da attività prevalentemente on-premise al cloud, la protezione dei carichi di lavoro cloud è diventata una priorità assoluta per i team di sicurezza.

L'attenzione sulla sicurezza

Questi provider di servizi cloud (soprattutto quelli più grandi) dispongono di misure di sicurezza solide e integrate, e spesso promuovono le proprie infrastrutture sicure come un vantaggio competitivo. Tuttavia, in questi casi vengono utilizzati modelli di responsabilità condivisa, in cui i provider sono responsabili della sicurezza dell'infrastruttura cloud stessa, mentre i clienti hanno la responsabilità di ciò che risiede nel cloud e che comunica, ovvero le applicazioni, i carichi di lavoro e i dati.

A tal fine, oggi sono disponibili sul mercato numerose soluzioni di sicurezza per proteggere i carichi di lavoro che viaggiano da e verso il cloud. Sono sempre più diffusi perché è chiaro che le architetture di sicurezza tradizionali non riescono a tenere il passo con le minacce moderne. Per capire i motivi di questa situazione, analizziamo brevemente come venivano protetti i carichi di lavoro in passato e come sono cambiate le loro esigenze di protezione nel tempo.

Le soluzioni tradizionali di protezione dei carichi di lavoro

Le tecnologie legacy basate sulla rete, come firewall o macchine virtuali, fornivano una protezione adeguata quando tutte le attività si svolgevano on-premise e i team IT avevano un volume di dati molto più ridotto di cui preoccuparsi. Questi metodi hanno resistito relativamente bene, perché in passato gli attacchi informatici non erano così avanzati o invasivi come lo sono oggi e, inoltre, l'uso delle applicazioni cloud non era ancora diffuso.

Inutile dire che il mondo è leggermente cambiato rispetto al decennio scorso. Non solo perché oggi i dipendenti lavorano ovunque, ma anche perché le applicazioni cloud e native del cloud sono diventate necessarie per la produttività quotidiana.

I professionisti dell'IT e della sicurezza hanno scoperto che la tecnologia legacy non sono efficaci in ambienti cloud. Questi ambienti sono elastici, non strettamente vincolati all'infrastruttura e mancano di un perimetro statico sul quale posizionare i controlli di sicurezza. Inoltre, la maggior parte delle aziende utilizza una combinazione di più provider di servizi cloud e data center per ospitare le applicazioni e far comunicare i carichi di lavoro, e questo complica la capacità di ottenere una visibilità uniforme.

Significa che le applicazioni e i servizi devono essere al centro, anziché ai margini della pianificazione della sicurezza.

Una dinamica in costante cambiamento

I controlli non dovrebbero essere collocati sui percorsi di rete attraversati dalle applicazioni, ma dovrebbero essere direttamente legati all'identità delle app e dei servizi che comunicano. Non è più sufficiente definire il software in base all'indirizzo o al percorso del traffico: soprattutto in un ambiente cloud, i controlli basati sugli indirizzi sono soggetti a cambiamenti che i team di sicurezza cercano di compensare creando sempre più regole.

La natura effimera del cloud pone molteplici sfide per i team addetti alla sicurezza. Le tecnologie di sicurezza legacy si basano su un modello di attendibilità che non è più adatto all'attuale panorama delle minacce. I perimetri sono praticamente scomparsi, la crittografia rende difficile l'ispezione del traffico e la classificazione di dati distribuiti comporta l'impiego intensivo di risorse. Allo stesso tempo, tutti questi aspetti rendono il cloud particolarmente interessante per gli aggressori.

Testimonianza

Le aziende che utilizzano soluzioni EPP (Endpoint Protection Platform, piattaforma di protezione degli endpoint), progettate esclusivamente per proteggere i dispositivi degli utenti finali (ad esempio, desktop, laptop), per la protezione dei carichi di lavoro dei server, stanno mettendo a rischio i dati e le applicazioni aziendali.

Gartner

Guida di mercato sulle piattaforme di protezione dei carichi di lavoro cloud

Minacce comuni nella protezione dei carichi di lavoro

Con la crescita del cloud, è cresciuto anche il numero di minacce per i dati che si trovano al suo interno. Il panorama odierno di minacce è costituito da un'ampia gamma di attacchi sfuggenti e potenti che, senza un'adeguata protezione dei carichi di lavoro, possono facilmente devastare un'organizzazione. Alcune di queste minacce includono:

  • Ransomware sul cloud: gli ambienti cloud non sono immuni agli attacchi malware e ransomware, che si infiltrano in questi ambienti per tenere in ostaggio i dati sensibili in cambio del pagamento di un riscatto.
  • Attacchi alla catena di approvvigionamento: questi attacchi cercano di ottenere l'accesso generando una backdoor nei prodotti (solitamente dei software) utilizzati dalle organizzazioni target. Questo consente agli aggressori di applicare patch automatiche o aggiornamenti software in cui è stato inserito un trojan per aprire la strada a malware e altri attacchi.
  • Perdita di dati: anche se non si tratta di una "minaccia" vera e propria, rappresenta uno dei maggiori rischi del cloud computing. La perdita di dati è spesso causata da punti ciechi nella protezione, che espongono i dati a causa di errori degli utenti o di azioni dolose.

Oltre a prevenire questi e altri rischi per il cloud, la protezione dei carichi di lavoro offre anche altri importanti vantaggi che tratteremo nella prossima sezione.

Vantaggi della protezione dei carichi di lavoro

Aggiungendo controlli per applicazioni specifiche anziché per ogni singolo dispositivo o utente, la protezione dei carichi di lavoro aiuta a rispondere a domande come le seguenti:

  • Quali applicazioni stanno comunicando?
  • Quali applicazioni dovrebbero comunicare?
  • Sono i sistemi corretti a comunicare tra loro, senza consentire al traffico dannoso di persistere?

Grazie alle risposte a queste domande, è possibile consentire solamente ai carichi di lavoro verificati di comunicare nell'ambiente cloud pubblico, privato o ibrido dell'azienda, mitigando così i rischi e offrendo il massimo livello di protezione dalle violazioni dei dati. Ecco alcuni dei modi attraverso cui una protezione efficace dei carichi di lavoro è in grado di offrire al tuo team un vantaggio di sicurezza:

Minore complessità

Monitorare le risorse e gli inventari delle policy è complicato, e mappare i flussi di dati in un cloud è un'operazione complessa, perché i servizi possono cambiare posizione e aumentare così il numero di punti di dati da controllare e gestire. Oltre a semplificare il monitoraggio e le attività di difesa, la protezione dei carichi di lavoro anticipa l'impatto del cambiamento, perché si concentra sulle applicazioni anziché sull'ambiente in cui esse comunicano.

Protezione uniforme, indipendentemente dalla posizione

Gli strumenti di sicurezza tradizionali, che utilizzano indirizzi IP, porte e protocolli come piano di controllo, non sono adatti agli ambienti cloud. La natura dinamica del cloud rende inaffidabili questi controlli di sicurezza statici, perché possono verificarsi cambiamenti in qualsiasi momento e più volte nel corso di una giornata. Per risolvere questo problema, le piattaforme di protezione dei carichi di lavoro applicano la protezione in base alle proprietà del software stesso.

Valutazione continua del rischio

I professionisti della sicurezza sanno che le loro reti aziendali possono essere compromesse, ma molti non sono in grado di quantificare il rischio a cui queste reti sottopongono l'organizzazione, in particolare per quanto concerne l'esposizione delle applicazioni. La giusta soluzione di protezione dei carichi di lavoro è in grado di misurare la superficie di attacco visibile della rete in tempo reale per capire quanti possibili percorsi di comunicazione delle applicazioni sono in uso.

Testimonianza

In tutti i casi, la soluzione dovrebbe supportare il crescente requisito di "microsegmentazione" basata sull'identità (una segmentazione più granulare e definita da software, chiamata anche segmentazione zero trust della rete).

Gartner

Guida di mercato sulle piattaforme di protezione dei carichi di lavoro cloud

Testimonianza

Grazie alla mappatura della topologia di Zscaler Workload Segmentation, dispongo di una rappresentazione accurata del nostro ambiente in continua evoluzione e posso eliminare i potenziali percorsi di attacco che mettono a rischio i dati dei clienti.

John Arsneault, CIO, Goulston & Storrs

Best practice per la protezione dei carichi di lavoro

La protezione dei carichi di lavoro inizia con la selezione della piattaforma giusta. Ecco alcuni suggerimenti per orientarsi verso il software di protezione dei carichi di lavoro più adatto alla tua organizzazione:

  • Integrazione delle pratiche di DevSecOps: una strategia DevSecOps integra la sicurezza in tutto il ciclo di sviluppo del software (SDLC, Software Development Life Cycle). In questo modo, i team di DevOps non devono preoccuparsi di potenziali vulnerabilità durante la creazione e la distribuzione delle applicazioni.
  • Utilizzo della segmentazione zero trust: la segmentazione è una strategia collaudata che aiuta a limitare l'infiltrazione e il movimento delle minacce informatiche. L'adozione di questa tecnica con policy zero trust aiuta a eliminare il movimento laterale grazie al principio dei privilegi minimi e all'autenticazione sensibile al contesto.
  • Adozione di una piattaforma di protezione dei carichi di lavoro cloud (CWPP): una CWPP efficace è in grado di offrire controllo e visibilità uniformi per macchine fisiche e virtuali, container, come Kubernetes, e carichi di lavoro in modalità serverless, ovunque si trovino.

Il ruolo di una piattaforma di protezione dei carichi di lavoro cloud (CWPP)

La segmentazione dei carichi di lavoro è una strategia di protezione fondamentale, perché elimina l'accesso a privilegi eccessivi che è consentito nelle reti piatte. Queste reti permettono agli aggressori di spostarsi lateralmente e di compromettere i carichi di lavoro negli ambienti cloud e nei data center. Segmentando o isolando le applicazioni ed eliminando i percorsi inutili, qualsiasi potenziale compromissione sarà limitata alla risorsa colpita, riducendo significativamente l'impatto di un attacco.

Segmentando le applicazioni e i carichi di lavoro, un'operazione nota anche come microsegmentazione, è possibile creare gruppi intelligenti basati sulle caratteristiche dei carichi di lavoro in comunicazione tra loro. In quanto tale, la microsegmentazione non dipende dalle reti che cambiano dinamicamente o dai requisiti commerciali o tecnici imposti, e questo significa che la sicurezza è più solida e più affidabile.

Cosa può fare Zscaler

Zscaler Workload Communications è un modo nuovo e molto più semplice per segmentare i workload delle applicazioni in un solo clic. ZWS applica ai workload una protezione basata sull'identità, senza la necessità di apportare modifiche alla rete. Zscaler Workload Communications offre:

  • Blocco del movimento laterale di malware e ransomware tra server, carichi di lavoro cloud e desktop e prevenzione delle minacce, grazie alla sicurezza zero trust.
  • Microsegmentazione estremamente semplice grazie al machine learning, che automatizza la creazione delle policy e la gestione continua
  • Visibilità unificata sulle applicazioni in comunicazione on-premise e nei cloud pubblici

Inoltre, quantifica l'esposizione al rischio in base alla criticità del software in comunicazione e utilizza il machine learning per suggerire il minor numero possibile di policy di sicurezza zero trust, riducendo così drasticamente la probabilità di subire una violazione dei dati e preservando la semplicità di gestione.

Proteggi il traffico dei workload critici su Internet e tra regioni e cloud diversi con Zscaler Workload Communications.

Risorse suggerite

Zscaler Workload Communications
Visualizza le nostre soluzioni
Che cos'è una piattaforma di protezione dei carichi di lavoro cloud (CWPP)
Leggi l'articolo
Shift left e shift down con la CWPP
Leggi il blog
CNAPP e protezione dei carichi di lavoro cloud

01 / 02