Cos'è la protezione dei carichi di lavoro nel cloud?

La protezione dei carichi di lavoro nel cloud è il processo di protezione dei carichi di lavoro che si spostano tra diversi ambienti cloud. L'intero carico di lavoro deve essere funzionale a un'applicazione basata su cloud perché questa possa essere eseguita correttamente senza introdurre rischi per la sicurezza. Pertanto, la sicurezza dei carichi di lavoro nel cloud e la protezione dei carichi di lavoro per i servizi delle app sono fondamentalmente diverse dalla sicurezza delle applicazioni su una macchina desktop.

I criminali informatici stanno aumentando il numero di attacchi ransomware e prendendo di mira le aziende. Con la proliferazione delle infrastrutture di cloud computing, le vulnerabilità aumentano. Le strategie di sicurezza che si basano sulla protezione preventiva degli endpoint o sulla limitazione dell'accesso ai dispositivi endpoint non considerano ciò che accade nel cloud. Per difendersi dagli attacchi informatici, le aziende che utilizzano private cloud e public cloud devono concentrarsi sulla protezione dai danni a livello di carico di lavoro, non solo a livello di endpoint.

Panoramica sulla sicurezza dei carichi di lavoro VMware

Protezione avanzata dei carichi di lavoro per i data center moderni

Perché la protezione dei carichi di lavoro nel cloud è importante?

Un carico di lavoro è costituito da tutti i processi e le risorse che supportano un'applicazione e le interazioni associate. Nel cloud, il carico di lavoro include l'applicazione, i dati che genera o immessi in essa e le risorse di rete che supportano una connessione tra l'utente e l'applicazione. Un'applicazione basata su cloud non funzionerà correttamente se una parte del carico di lavoro è compromessa.

La sicurezza dei carichi di lavoro è particolarmente complicata nelle architetture di data center ibridi che utilizzano di tutto, dalle macchine fisiche on-premise agli ambienti IaaS (Infrastructure-as-a-Service) su public cloud, fino alle architetture di applicazioni basate su container. La sicurezza dei carichi di lavoro nel cloud è particolarmente complessa perché quando i carichi di lavoro vengono trasferiti tra più vendor e host, la responsabilità della loro protezione deve essere condivisa.

Protezione dei carichi di lavoro nel cloud con CWPP

Gartner definisce una piattaforma di protezione dei carichi di lavoro nel cloud (CWPP) come una soluzione tecnologica "utilizzata principalmente per proteggere i carichi di lavoro dei server in ambienti di Infrastructure-as-a-Service su public cloud". Le CWPP consentono a più public cloud provider e clienti di assicurare che i carichi di lavoro rimangano protetti quando attraversano il loro dominio.

Esistono due modi principali per proteggere i carichi di lavoro con CWPP: microsegmentazione e hypervisor bare-metal.

Microsegmentazione: un modo per assicurare la protezione dei carichi di lavoro consiste nell'implementare una tecnica per la sicurezza della rete denominata microsegmentazione Con la microsegmentazione, gli architetti della sicurezza dividono il data center in segmenti di sicurezza distinti fino al livello del singolo carico di lavoro e definiscono poi i controlli di sicurezza per ciascun segmento. La tecnologia di virtualizzazione della rete sostituisce i firewall fisici e consente la microsegmentazione per definire policy di sicurezza flessibili che isolano e proteggono i singoli carichi di lavoro. Mentre la protezione degli endpoint è concepita per impedire alle minacce di entrare in un ambiente, la microsegmentazione impedisce al malware di migrare da un server all'altro all'interno dell'ambiente.

Hypervisor bare-metal: Un hypervisor bare-metal può offrire una protezione aggiuntiva del carico di lavoro. Un hypervisor è un tipo di software di virtualizzazione che supporta la creazione e la gestione di macchine virtuali separando il software di un computer dal relativo hardware. Un hypervisor bare-metal viene installato direttamente sull'hardware di una macchina fisica, tra l'hardware e il sistema operativo. Dal momento che un hypervisor crea macchine virtuali isolate l'una dall'altra, se una macchina virtuale ha un problema o viene attaccata, il problema è isolato rispetto su quel server, il che significa che i carichi di lavoro sulle altre macchine virtuali non sono interessati.

Alcune soluzioni CWPP supportano i layer di sicurezza abilitati per hypervisor concepiti specificamente per proteggere i carichi di lavoro nel cloud.

In che modo la protezione dei carichi di lavoro si differenzia dalla sicurezza delle applicazioni?

La sicurezza delle applicazioni si riferisce alle applicazioni distribuite localmente sui desktop con un utente che accede a ciascuna istanza dell'applicazione. Le uniche falle di sicurezza nelle applicazioni sui desktop sono le vulnerabilità all'interno del codice dell'applicazione: il resto dell'ambiente può essere ignorato. Storicamente, le organizzazioni IT potevano garantire la sicurezza delle applicazioni proteggendo il desktop e impedendo alle minacce di raggiungerlo.

Le applicazioni basate su cloud richiedono una forma diversa di sicurezza delle applicazioni. L'astrazione tra l'utente e l'applicazione crea maggiori opportunità di vulnerabilità, soprattutto se un'organizzazione non controlla parte dell'ambiente utilizzando il public cloud. Poiché un'applicazione basata su cloud non può funzionare se tutte le parti del carico di lavoro non funzionano correttamente, le aziende devono proteggere e monitorare ogni parte del carico di lavoro, non solo l'applicazione.

I vantaggi della protezione dei carichi di lavoro

La sfida delle applicazioni basate su cloud è che un carico di lavoro può spostarsi in diversi ambienti, tutti di proprietà e sotto la protezione di vendor e tecnologie diversi. Le CWPP possono fornire protezione dei carichi di lavoro in questi ambienti. L'implementazione della protezione dei carichi di lavoro tramite CWPP offre molti vantaggi:

Monitoraggio comportamentale dei carichi di lavoro: il monitoraggio comportamentale dei carichi di lavoro è una parte importante della protezione dei carichi di lavoro nel cloud. Le CWPP forniscono due importanti aspetti della sicurezza dei carichi di lavoro attraverso il monitoraggio degli stessi: rilevamento e risposta. Monitorando il comportamento del carico di lavoro, una CWPP può rilevare un'intrusione ovunque si verifichi e inviare un avviso.

Visibilità sui carichi di lavoro e possibilità di configurarli: vedere cosa accade nei singoli carichi di lavoro ed essere in grado di configurarli per gestire le vulnerabilità è un aspetto importante della protezione dei carichi di lavoro.

Monitoraggio e gestione dei registri consolidati: quando a ogni parte del carico di lavoro è associata una tecnologia di sicurezza diversa, il monitoraggio di tutte le parti può richiedere molto tempo. Una CWPP fornisce un unico punto di monitoraggio che mostra ciò che accade in ogni parte del carico di lavoro in ogni ambiente.

Rafforzamento del sistema e gestione delle vulnerabilità: una CWPP può aiutare a eliminare i potenziali vettori di attacco identificando applicazioni, autorizzazioni, programmi, account, funzioni, codice e così via superflui che potrebbero comportare rischi per la sicurezza.

Protezione della memoria: la protezione della memoria, inclusa solo in alcune CWPP, è un controllo di sicurezza emergente che sta acquisendo importanza man mano che gli hacker sviluppano nuove tecniche per sfruttare i punti deboli della memoria e aggirare facilmente i metodi di sicurezza tradizionali.

Intelligence aggiornata sulle minacce: alcune CWPP condividono l'intelligence sulle minacce con la loro base di clienti, fornendo un sistema di allerta precoce per le nuove minacce.

Il panorama della sicurezza continua a evolversi e i sistemi di sicurezza legacy non sono più sufficienti per le organizzazioni che utilizzano il cloud come parte della loro infrastruttura di elaborazione. Le aziende devono pianificare la protezione dei carichi di lavoro in più ambienti cloud. Una piattaforma di protezione dei carichi di lavoro nel cloud può fornire visibilità in più ambienti consolidando e affrontando gli avvisi di sicurezza da un'unica dashboard.

Soluzioni e prodotti correlati

VMware Carbon Black Cloud Workload

Riduci la superficie di attacco e proteggi gli asset critici con una protezione dei carichi di lavoro creata appositamente per i data center moderni.