O que é proteção de cargas de trabalho na nuvem?
A proteção de cargas de trabalho na nuvem é o processo de manter seguras as cargas de trabalho que se movem entre diferentes ambientes de nuvem. A carga de trabalho inteira deve estar funcional para que um aplicativo com base em nuvem funcione corretamente sem introduzir riscos de segurança. A segurança de cargas de trabalho na nuvem e a proteção delas para serviços de aplicativos são, portanto, fundamentalmente diferentes da segurança de aplicativos em um computador.
Os criminosos cibernéticos estão aumentando o número de ataques de ransomware e visando as empresas. À medida que as infraestruturas de computação em nuvem proliferam, as vulnerabilidades aumentam. As estratégias de segurança que dependem da proteção preventiva dos endpoints (ou que limitam o acesso a dispositivos de endpoints) estão ignorando o que acontece na nuvem. Para se defenderem de ataques cibernéticos, as empresas que usam nuvens privadas e públicas precisam se proteger contra danos no nível da carga de trabalho, não apenas no endpoint.
Visão geral da segurança de cargas de trabalho da VMware
Proteção avançada de cargas de trabalho no data center moderno
Por que a proteção de cargas de trabalho na nuvem é importante?
Uma carga de trabalho consiste em todos os processos e recursos que oferecem suporte a um aplicativo e às interações com ele. Na nuvem, a carga de trabalho inclui o aplicativo, os dados gerados ou inseridos e os recursos de rede que oferecem suporte a uma conexão entre o usuário e o aplicativo. Um aplicativo com base em nuvem não funcionará corretamente se qualquer parte da carga de trabalho for comprometida.
A segurança de cargas de trabalho é especialmente complicada em arquiteturas de data center híbrido que empregam tudo, desde máquinas físicas no local até vários ambientes de infraestrutura como serviço (IaaS, pela sigla em inglês) em nuvem pública e arquiteturas de aplicativos com base em contêineres. A segurança de cargas de trabalho na nuvem é particularmente complexa porque, à medida que as cargas de trabalho passam entre vários fornecedores e hosts, a responsabilidade pela proteção de cargas de trabalho deve ser compartilhada.
Proteção de cargas de trabalho na nuvem com CWPP
A Gartner define uma plataforma de proteção de cargas de trabalho em nuvem (CWPP, pela sigla em inglês) como uma solução de tecnologia "usada principalmente para proteger cargas de trabalho de servidor em ambientes de infraestrutura em nuvem pública como serviço". As CWPPs permitem que vários provedores e clientes de nuvem pública garantam que as cargas de trabalho permaneçam seguras ao passar por seu domínio.
Existem duas maneiras principais de proteger as cargas de trabalho com a CWPP: microssegmentação e hypervisors bare-metal.
Microssegmentação: uma maneira de garantir que as cargas de trabalho estejam protegidas é implementando uma técnica de segurança de rede chamada microssegmentação. Com a microssegmentação, os arquitetos de segurança dividem o data center em segmentos de proteção distintos até o nível de carga de trabalho individual e, em seguida, definem os controles de segurança para cada segmento. A tecnologia de virtualização de redes substitui os firewalls físicos e permite a microssegmentação para definir políticas de segurança flexíveis que isolam e protegem cargas de trabalho individuais. Embora a proteção de endpoints seja projetada para impedir que ameaças entrem em um ambiente, a microssegmentação impede que o malware migre de um servidor para outro.
Hypervisor bare-metal: um hypervisor bare-metal pode oferecer proteção adicional de cargas de trabalho. Um hypervisor é um tipo de software de virtualização que oferece suporte à criação e ao gerenciamento de máquinas virtuais, separando o software de um computador de seu hardware. Um hypervisor bare-metal é instalado diretamente no hardware de uma máquina física, entre o hardware e o sistema operacional. Como um hypervisor cria máquinas virtuais isoladas umas das outras, se uma máquina virtual tiver um problema ou for atacada, o problema será isolado nesse servidor, o que significa que as cargas de trabalho nas outras máquinas virtuais não serão afetadas.
Algumas soluções de CWPP oferecem suporte a camadas de segurança ativadas por hypervisor que são projetadas especificamente para proteger as cargas de trabalho em nuvem.
Qual é a diferença entre a proteção de cargas de trabalho e a segurança de aplicativos?
A segurança de aplicativos refere-se aos aplicativos implantados localmente em desktops com um usuário acessando cada instância dele. As únicas falhas de segurança em aplicativos em desktops existem como vulnerabilidades no código do aplicativo: o restante do ambiente pode ser ignorado. Historicamente, as organizações de TI podiam garantir a segurança dos aplicativos protegendo o desktop e evitando que ameaças o atingissem.
Os aplicativos com base em nuvem exigem uma forma diferente de segurança de aplicativos. A abstração entre o usuário e o aplicativo cria mais oportunidades de vulnerabilidades, especialmente se uma organização não controlar parte do ambiente usando a nuvem pública. Como um aplicativo com base em nuvem não pode funcionar sem que todas as partes da carga de trabalho tenham o funcionamento correto, as empresas devem proteger e monitorar cada parte da carga de trabalho, não apenas o aplicativo.
Os benefícios da proteção de cargas de trabalho
O desafio dos aplicativos com base em nuvem é que uma carga de trabalho pode se mover por vários ambientes, todos pertencentes e protegidos por diferentes fornecedores e tecnologias. As CWPPs podem fornecer proteção de cargas de trabalho nesses ambientes. Há muitos benefícios na implementação da proteção de cargas de trabalho por meio de uma CWPP:
Monitoramento do comportamento das cargas de trabalho: esse monitoramento do comportamento é uma parte importante da proteção de cargas de trabalho na nuvem. As CWPPs fornecem dois aspectos importantes da segurança de cargas de trabalho por meio do monitoramento: detecção e resposta. Ao monitorar o comportamento da carga de trabalho, uma CWPP pode detectar uma intrusão em qualquer lugar em que ela esteja acontecendo e enviar um alerta.
Visibilidade e capacidade de configurar cargas de trabalho: ver o que está acontecendo em cargas de trabalho individuais e poder configurá-las para gerenciar vulnerabilidades é um aspecto importante da proteção.
Consolidação de gerenciamento de logs e monitoramento: quando cada parte da carga de trabalho tem uma tecnologia de segurança diferente associada, pode ser demorado monitorar todas elas. Uma CWPP fornece um painel único de controle que mostra o que está acontecendo com cada parte da carga de trabalho em cada ambiente.
Fortalecimento do sistema e gerenciamento de vulnerabilidades: uma CWPP pode ajudar a eliminar possíveis vetores de ataque identificando aplicativos, permissões, programas, contas, funções, código e outros itens supérfluos que podem representar riscos à segurança.
Proteção de memória: a proteção de memória, incluída apenas em algumas CWPPs, é um controle de segurança emergente que está ganhando importância à medida que os hackers desenvolvem novas técnicas para explorar pontos fracos na memória e contornar facilmente os métodos tradicionais de segurança.
Inteligência de detecção de ameaças atualizada: algumas CWPPs compartilham a inteligência de detecção de ameaças em sua base de clientes, fornecendo um sistema de alerta antecipado para novas ameaças.
O cenário de segurança continua evoluindo, e os sistemas de segurança legados não são mais suficientes para as organizações que usam a nuvem como parte de sua infraestrutura computacional. As empresas precisam planejar a proteção de cargas de trabalho em vários ambientes de nuvem. Uma plataforma de proteção de cargas de trabalho na nuvem pode fornecer visibilidade em vários ambientes enquanto consolida e atua em alertas de segurança por meio um painel.
Soluções e produtos relacionados
VMware Carbon Black Cloud Workload
Reduza a superfície de ataque e proteja os ativos essenciais com uma proteção de carga de trabalho criada especificamente para data centers modernos.