¿Qué es la protección de cargas de trabajo de nube?
La protección de cargas de trabajo de nube es el proceso de velar por la seguridad de las cargas de trabajo que se desplazan por distintos entornos de nube. Para que una aplicación basada en la nube funcione correctamente sin presentar riesgos de seguridad, toda la carga de trabajo debe funcionar. Por lo tanto, la seguridad de las cargas de trabajo de nube y la protección de las cargas de trabajo para los servicios de aplicaciones son totalmente diferentes de la seguridad de aplicaciones en una máquina de escritorio.
Los ciberdelincuentes están llevando a cabo cada vez más ataques con programas de secuestro contra empresas. A medida que proliferan las infraestructuras informáticas de nube, aumentan las vulnerabilidades. Las estrategias de seguridad que se basan en proteger los terminales de forma preventiva o en limitar el acceso a los terminales están pasando por alto lo que sucede en la nube. Para defenderse de los ciberataques, las empresas que utilizan nubes privadas y públicas deben centrarse en protegerse de los daños en las cargas de trabajo y no solo en los terminales.
Descripción de la seguridad de cargas de trabajo de VMware
Protección avanzada para cargas de trabajo de los centros de datos modernos
¿Por qué es importante la protección de cargas de trabajo de nube?
Una carga de trabajo está formada por todos los procesos y recursos que respaldan una aplicación y las interacciones con ella. En la nube, la carga de trabajo incluye la aplicación, los datos generados por una aplicación o introducidos en ella, y los recursos de red que posibilitan la conexión entre el usuario y la aplicación. Una aplicación basada en la nube no funcionará correctamente si alguna parte de la carga de trabajo se ve comprometida.
La seguridad de cargas de trabajo es especialmente complicada en las arquitecturas de centros de datos híbridos que emplean todo tipo de recursos, desde máquinas físicas locales hasta múltiples entornos de infraestructura como servicio (IaaS) de nube pública y arquitecturas de aplicaciones basadas en contenedores. La seguridad de las cargas de trabajo de nube es particularmente compleja porque, dado que las cargas de trabajo pasan por varios proveedores y hosts, la responsabilidad de protegerlas debe compartirse.
Protección de cargas de trabajo de nube con CWPP
Gartner define una plataforma de protección de cargas de trabajo de nube (CWPP) como una solución tecnológica utilizada principalmente para proteger las cargas de trabajo de los servidores en entornos de infraestructura de nube pública como servicio. Las CWPP permiten que múltiples proveedores y clientes de nube pública garanticen la seguridad de las cargas de trabajo cuando pasan por su dominio.
Hay dos formas principales de proteger las cargas de trabajo con una CWPP: la microsegmentación y los hipervisores bare metal.
Microsegmentación: una forma de asegurarse de que las cargas de trabajo estén protegidas es implementar una técnica de seguridad de red llamada «microsegmentación». Mediante esta microsegmentación, los arquitectos de seguridad dividen el centro de datos en distintos segmentos de seguridad hasta el nivel de carga de trabajo individual y, a continuación, definen los controles de seguridad para cada segmento. La tecnología de virtualización de red sustituye a los cortafuegos físicos y permite que la microsegmentación defina políticas de seguridad flexibles que aíslen y protejan las cargas de trabajo individuales. Mientras que la protección de los terminales está diseñada para evitar que las amenazas accedan a un entorno, la microsegmentación impide que los programas maliciosos migren de un servidor a otro dentro del entorno.
Hipervisor bare metal: un hipervisor bare metal puede ofrecer protección adicional para las cargas de trabajo. Un hipervisor es un tipo de software de virtualización que permite crear y gestionar máquinas virtuales separando el software de un ordenador de su hardware. Un hipervisor bare metal se instala directamente en el hardware de una máquina física, entre el hardware y el sistema operativo. Dado que un hipervisor crea máquinas virtuales que están aisladas entre ellas, si una máquina virtual tiene un problema o la atacan, el problema se aísla en ese servidor, lo que significa que las cargas de trabajo de otras máquinas virtuales no se ven afectadas.
Algunas soluciones CWPP admiten capas de seguridad con hipervisor diseñadas específicamente para proteger las cargas de trabajo de nube.
¿En qué se diferencia la protección de cargas de trabajo de la seguridad de aplicaciones?
La seguridad de aplicaciones se refiere a las aplicaciones que se implementan localmente en escritorios, donde solamente un usuario accede a cada instancia de la aplicación. Los únicos fallos de seguridad en las aplicaciones de los escritorios son las vulnerabilidades dentro del código de las aplicaciones; el resto del entorno se puede ignorar. Tradicionalmente, las organizaciones de TI podían garantizar la seguridad de las aplicaciones protegiendo el escritorio y evitando cualquier amenaza a este entorno.
Las aplicaciones basadas en la nube requieren una forma diferente de seguridad de aplicaciones. La desvinculación entre el usuario y la aplicación crea más oportunidades de vulnerabilidades, sobre todo si una organización no controla parte del entorno con el uso de la nube pública. Dado que una aplicación basada en la nube no puede funcionar sin que todas las partes de la carga de trabajo funcionen correctamente, las empresas deben proteger y supervisar cada parte de la carga de trabajo, no solo la aplicación.
Ventajas de la protección de cargas de trabajo
El desafío de las aplicaciones basadas en la nube es que una carga de trabajo puede desplazarse por varios entornos diferentes, todos bajo la propiedad y la protección de diferentes proveedores y tecnologías. Las CWPP pueden proteger las cargas de trabajo en estos entornos. Estas son las muchas ventajas que ofrece la implementación de la protección de cargas de trabajo a través de una CWPP:
Supervisión del comportamiento de las cargas de trabajo: la supervisión del comportamiento de las cargas de trabajo es una parte importante de la protección de cargas de trabajo de nube. Las CWPP proporcionan dos aspectos importantes de la seguridad de cargas de trabajo a través de la supervisión de las cargas: detección y respuesta. Al supervisar el comportamiento de las cargas de trabajo, una CWPP puede detectar una intrusión allá donde se produzca y enviar una alerta.
Visibilidad de las cargas de trabajo y capacidad de configurarlas: ver lo que sucede en cargas de trabajo concretas y poder configurarlas para gestionar las vulnerabilidades es un aspecto importante de la protección de cargas de trabajo.
Supervisión y gestión de registros consolidadas: cuando cada parte de la carga de trabajo lleva asociada una tecnología de seguridad distinta, supervisarlas todas puede llevar mucho tiempo. Una CWPP proporciona un solo panel de control que muestra lo que sucede en cada parte de la carga de trabajo en cada entorno.
Refuerzo del sistema y gestión de vulnerabilidades: una CWPP podría ayudarle a eliminar posibles vectores de ataque mediante la identificación de aplicaciones, permisos, programas, cuentas, funciones o código superfluos, entre otros elementos, que podrían representar riesgos de seguridad.
Protección de la memoria: la protección de la memoria, incluida en un número reducido de CWPP, es un control de seguridad emergente que está cobrando importancia a medida que los hackers desarrollan nuevas técnicas para aprovechar los puntos débiles de la memoria y eludir fácilmente los métodos de seguridad tradicionales.
Inteligencia actualizada para la detección de amenazas: algunas CWPP comparten la inteligencia para la detección de amenazas en toda su base de clientes, lo que proporciona un sistema de alerta temprana para las nuevas amenazas.
El panorama de seguridad sigue evolucionando y los sistemas de seguridad heredados ya no bastan para las organizaciones que utilizan la nube como parte de su infraestructura informática. Las empresas deben planificar la protección de las cargas de trabajo en múltiples entornos de nube. Una plataforma de protección de cargas de trabajo de nube puede proporcionar visibilidad de varios entornos, a la vez que consolida las alertas de seguridad y responde desde un solo panel de gestión.
Productos y soluciones relacionados
VMware Carbon Black Cloud Workload
Reduzca la superficie de ataque y proteja sus activos esenciales con una solución de protección de las cargas de trabajo diseñada expresamente para el centro de datos moderno.