Cloud Workload Protection Platform (CWPP) gemäß der Definition von
Gartner ist eine "Workload-zentrierte Sicherheitslösung, die auf die besonderen Schutzanforderungen" von Workloads in modernen Unternehmensumgebungen ausgerichtet ist.
Zu den Arbeitslasten in modernen Umgebungen gehören heute physische Server, virtuelle Maschinen (VMs), Container und serverlose Arbeitslasten.
Diese Arbeitslasten, die die zugrundeliegende Datenverarbeitung, den Transport (Netzwerk) und die Speicherung der Daten für die Anwendungsfunktionalität bereitstellen, haben sich weiterentwickelt. Wie in Abbildung 1 dargestellt, schrumpfen sie und konzentrieren sich auf eine kleinere, spezifischere Aufgabe, die sich für die Gesamtanwendung anbietet.
Diese Arbeitslasten befinden sich oft vor Ort, in Colocation-Umgebungen wie Rechenzentren von Drittanbietern oder in der öffentlichen Cloud.
Schließlich kann eine Arbeitslast je nach Typ und der von ihr unterstützten Anwendung persistent oder nicht persistent sein. Während man davon ausgeht, dass ein Server jahrelang im Einsatz ist und funktioniert, werden VMs vielleicht monatlich oder wöchentlich neu gestartet und Container werden vielleicht nur einmal verwendet und dann entsorgt.
Die Möglichkeit, Schutz für immer kleiner werdende Workloads zu bieten, die sich vor Ort oder in der Cloud befinden und in der Umgebung verbleiben können oder auch nicht, bedeutet, dass sich die Art der Techniken und Lösungen zu ihrer Sicherung ändern muss.
Aus diesem Grund hat sich CWPP von den Endpoint Protection Platforms (EPP) abgegrenzt. Es ist speziell auf den Schutz von Workloads ausgerichtet, unabhängig von Typ und Standort. Eine gut durchdachte CWPP-Lösung arbeitet auch nahtlos mit einer Cloud Security Posture Management (CSPM)-Lösung zusammen.
![]()
Warum ist CWPP wichtig?
Die Umstellung von Legacy- auf Cloud-native Anwendungen erfolgt nicht automatisch. Unternehmen können eine Anwendung, die sich derzeit vor Ort befindet, nicht "kopieren und in die Cloud einfügen". Hier sind vier Gründe, warum die Cloud Workload Protection Platform (CWPP) wichtig ist:
- Die meisten Unternehmen verfügen über Legacy-Anwendungen und -Infrastrukturen, die eine vollständige Verlagerung von Funktionen in die Cloud verhindern.
- Die meisten Unternehmen nutzen ganz bewusst mehrere Cloud-Anbieter, je nach ihren spezifischen Anforderungen. Infolgedessen arbeiten die meisten Unternehmen - aufgrund der Umstände oder des Designs - in einer hybriden, Multi-Cloud-Umgebung. Dies macht es für Sicherheitsexperten schwierig, zu wissen, zu sehen und zu verwalten, wo sich Anwendungen und Daten in einer fragmentierten Umgebung befinden.
- Heutzutage holen sich Anwendungsentwickler Code von verschiedenen Stellen wie GitHub, nutzen Workloads, um eine Anwendung zu erstellen, und veröffentlichen diese direkt für ihre Zielgruppe der Verbraucher. Dieser Ansatz wird Development Operations (DevOps) genannt und ist ein Zyklus von "kontinuierlicher Innovation und kontinuierlicher Entwicklung" (CI/CD), bei dem sie schnell auf Kunden reagieren und diese Reaktion und Erfahrung für ihre Kunden und Partner innerhalb von Wochen oder Tagen verbessern können.
- Der Tausch von Prozessen gegen Geschwindigkeit und die ständige Verbesserung von Anwendungen bedeutet, dass die Sicherheit nicht länger ein striktes Tor für die Anwendungsproduktion ist. Sicherheitsexperten können nicht mehr wie früher Kontrollen zur Laufzeit der Anwendung durchführen. Das Risiko für Daten und Anwendungen aufgrund der sich ändernden Arbeitslasten, der mangelnden Sichtbarkeit und Kontrolle und der Zunahme der "always on" DevOps-Umgebung macht CWPP zu einer wichtigen Sicherheitslösung im modernen Unternehmen.
![]()
Wie funktioniert das CWPP?
Eine umfassende Cloud Workload Protection Platform (CWPP)-Lösung sollte Ihnen die Möglichkeit bieten, Workloads zu erkennen, die in Ihren On-Premise- und Public Cloud-Umgebungen implementiert wurden. Sie sollten in der Lage sein, alle nicht verwalteten Arbeitslasten, die Sie entdecken, zu verwalten.
Aus der Sicherheitsperspektive sollten Sie in der Lage sein, eine Schwachstellenbewertung des Workloads vorzunehmen, indem Sie ihn mit einem relevanten Satz von Richtlinien vergleichen. Auf der Grundlage des Ergebnisses der Schwachstellenbewertung sollten Sie in der Lage sein, Sicherheitsmaßnahmen wie Integritätsschutz, Unveränderlichkeit oder Whitelisting, Speicherschutz und hostbasierte Intrusion Prevention anzuwenden. Beachten Sie, dass aus einer reinen Sicherheitsperspektive der Anti-Malware-Schutz weniger wichtig ist. Ein Anti-Malware-Schutz kann jedoch eng an die für Ihre Branche geltenden Vorschriften gekoppelt sein, so dass er möglicherweise erforderlich ist.
Es gibt noch einige andere Überlegungen.
In die CI/CD-Pipeline einbinden
Da der Schutz von Workloads nicht immer zur Laufzeit als natürlicher und idealerweise unsichtbarer Teil der Anwendungsentwicklung angewendet werden kann. Indem Sie die Sicherheit weiter auf die linke Seite des Anwendungsprozesses verlagern, können Sie ihre Allgegenwärtigkeit und Wirksamkeit erhöhen.
Ausrichten mit CSPM-Lösungen
CWPP sollte eng mit Cloud Security Posture Management (CSPM) abgestimmt werden oder idealerweise sogar Teil derselben Lösung sein. Während CWPP die Workloads bewertet und die Mittel zu ihrer Absicherung bereitstellt, ist CSPM darauf ausgelegt, dasselbe für die Cloud-Konten zu tun, auf denen diese Workloads bereitgestellt werden. Die beiden Lösungen passen auf ganz natürliche Weise zusammen, so dass sie Teil derselben Benutzererfahrung sein sollten.
Verknüpfung der CWPP-Lösung mit der Infrastruktur
Die CWPP-Lösung sollte nahtlos mit dem Rest Ihrer Sicherheitsinfrastruktur verbunden sein. Während sich CWPP auf den Schutz von Workloads konzentriert, auf denen Anwendungen laufen, konzentriert sich Data Loss Prevention (DLP) auf den Schutz der Daten, die Anwendungen nutzen und speichern. Aus einem anderen Blickwinkel betrachtet, kann ein Security Operations Center (SOC) seine Sicht auf komplexe Angriffe erheblich erweitern, wenn es Angriffe erkennen kann, die aus der Cloud stammen oder sich auf diese ausweiten. Und solange das SOC nicht in der Lage ist, Cloud-native Bedrohungen und Schwachstellen zu erkennen und zu beheben, werden die Ermittler für bestimmte Arten von Angriffen teilweise blind sein.
![]()
Was sind die wichtigsten Vorteile von CWPP?
Die Cloud Workload Protection Platform (CWPP) bietet eine Lösung für die einzigartigen Aspekte der Zero Trust Security für Cloud-Workloads, die Folgendes umfassen:
- Arbeitslasten: Server, VM, Container und serverlos; vor Ort oder in der Cloud; persistent oder nicht-persistent
- Sicherheitseinschränkungen: Zur Laufzeit oder im Entwicklungsprozess
- Hybride Umgebungen: Der Wechsel von der Vor-Ort-Umgebung in die Cloud
- Multi-Cloud-Umgebungen: Nutzung von mehr als einem Cloud-Service-Anbieter im Unternehmen
- Erkennbarkeit und Sichtbarkeit: Workloads in einer hybriden Multi-Cloud-Umgebung finden und verwalten können
Eine umfassende CWPP-Lösung wiederum eignet sich dazu, die Entwicklung von Cloud-nativen Anwendungen zu beschleunigen und die "Macht der Cloud" zu erschließen. Die wichtigsten Vorteile sind:
- Kosten: Geringere Vorlaufkosten, geringere Kosten für Hardware, geringere Wartungs- und Betriebskosten
- Flexibel: Vergrößern und verkleinern Sie die Anwendungskapazität je nach Bedarf
- Verbesserter Kundenservice: Reagieren Sie besser und schneller auf Kundenanfragen und steigern Sie so Ihr Geschäft.
- Benutzerfreundlichkeit: Aufstellen, von überall aus nutzen und Analysen aus Anwendungen sammeln
- Sicherheit: Gemeinsame Verantwortung und Entwicklung der Cloud-Sicherheit
![]()
Skyhigh Cloud Workload Protection Plattform (CWPP)
Die CWPP-Lösung von Skyhigh ist Teil eines umfassenderen Projekts zur Sicherung von Cloud-nativen Anwendungen. Dabei verfolgen wir einen entschieden anderen Ansatz. Unsere ultimativen Ziele sind:
- Konzentrieren Sie sich auf die geschäftlichen Ergebnisse und nicht auf technische Lösungen für verschiedene Teile des Problems.
- Bieten Sie umfassenden Schutz vor Bedrohungen und Daten für alle Workloads, Umgebungen und Cloud-Service-Anbieter.
- Reduzieren Sie den Verwaltungsaufwand, indem Sie die Arbeitsabläufe der Benutzer zu einem kontinuierlichen Kontinuum zusammenfassen, anstatt sie nach Funktion oder Arbeitsaufwand zu trennen.
Aus der Perspektive der Sicherheit wird die CWPP-Lösung von Skyhigh diese Ziele auf der Grundlage von fünf grundlegenden Säulen erreichen:
- Entdeckung und risikobasierte Klassifizierung:
Sie können nicht schützen, was Sie nicht sehen können. Die Erkennung von Workloads, unabhängig davon, was oder wo sie sich befinden, ist der erste Schlüssel zum Risikomanagement. Der nächste Schritt ist die Klassifizierung der Schwachstellen von Konten und Workloads auf der Grundlage des Risikos für Ihr Unternehmen. Wenn Sie diese Risiken im Verhältnis zueinander schnell verstehen, können Sie Ihre Abhilfemaßnahmen schnell priorisieren und so das Gesamtrisiko so schnell wie möglich reduzieren.
- Linke Haltung und Anfälligkeit verschieben:
Indem Sie die Sicherheit in die CI/CD-Pipeline verlagern und es den Entwicklern leicht machen, sie in ihre normalen Anwendungsentwicklungsprozesse einzubinden, und indem Sie sicherstellen, dass die Anwendungen sicher sind, bevor sie überhaupt veröffentlicht werden, verringern Sie das Risiko der Einführung neuer Schwachstellen und minimieren die Bedrohungen für das Unternehmen.
- Zero Trust Richtlinienkontrolle:
Die von CWPP unterstützteCNAPP-Lösung von Skyhigh konzentriert sich auf Zero Trust-Netzwerk- und Workload-Richtlinien. Dieser Ansatz ermöglicht Ihnen nicht nur Analysen darüber, wer auf Ihre Umgebung zugreift und wie - eine wichtige Komponente Ihrer SOC-Strategie -, sondern stellt auch sicher, dass Personen und Dienste über die entsprechenden Berechtigungen verfügen, um notwendige Aufgaben durchzuführen.
- Einheitlicher Schutz vor Bedrohungen:
CWPP vereinheitlicht den Bedrohungsschutz für Workloads in der Cloud und vor Ort. Außerdem werden Schutzmaßnahmen für Workloads und Kontoberechtigungen in einer einzigen Anwendung zusammengefasst. Und schließlich können Sie durch die Verbindung von Cloud-nativem Anwendungsschutz mit XDR vollständige Transparenz, Risikomanagement und Abhilfemaßnahmen für Ihre On-Premise- und Cloud-Infrastrukturen erzielen.
- Governance und Compliance:
Die ideale Lösung zum Schutz von Cloud-nativen Anwendungen umfasst die Fähigkeit, privilegierten Zugriff zu verwalten und Bedrohungen sowohl für Workloads als auch für sensible Daten zu bekämpfen, unabhängig davon, wo sie sich befinden.