Piattaforma di protezione del carico di lavoro del cloud (CWPP) come definito da
Gartner è una "soluzione di sicurezza incentrata sul carico di lavoro che si rivolge ai requisiti di protezione unici" dei carichi di lavoro negli ambienti aziendali moderni.
I carichi di lavoro negli ambienti moderni si sono evoluti per includere server fisici, macchine virtuali (VM), container e carichi di lavoro serverless.
Questi carichi di lavoro forniscono l'elaborazione, il trasporto (rete) e l'archiviazione dei dati sottostanti che forniscono la funzionalità dell'applicazione si sono evoluti. Come illustrato nella Figura 1, si stanno riducendo, concentrandosi su un compito più piccolo e più specifico che si presta all'applicazione complessiva.
Questi carichi di lavoro risiedono spesso in sede, in ambienti di tipo colocation come i data center di terzi o nel cloud pubblico.
Infine, a seconda del tipo e dell'applicazione che supporta, un carico di lavoro può essere persistente o non persistente. Mentre ci si aspetta che un server rimanga al suo posto e funzioni per anni, le macchine virtuali possono essere avviate mensilmente o settimanalmente e i container possono essere utilizzati una sola volta e poi scartati.
La capacità di applicare la protezione a carichi di lavoro sempre più ridotti, che possono essere on-premise o nel cloud e possono o meno persistere nell'ambiente, significa che la natura stessa delle tecniche e delle soluzioni per proteggerli deve cambiare.
Di conseguenza, la CWPP si è evoluta per essere distinta dalle Piattaforme di Protezione Endpoint (EPP). Si concentra specificamente sulla protezione dei carichi di lavoro, indipendentemente dal tipo o dalla posizione. Una soluzione CWPP ben strutturata funzionerà perfettamente anche con una soluzione di Cloud Security Posture Management (CSPM).
![]()
Perché il CWPP è importante?
La trasformazione da applicazioni legacy a cloud-native non è automatica. Le organizzazioni non possono "copiare e incollare" nel cloud un'applicazione che attualmente è in sede. Ecco quattro motivi per cui la Cloud Workload Protection Platform (CWPP) è importante:
- La maggior parte delle aziende ha applicazioni e infrastrutture legacy che impediscono un movimento completo delle funzionalità verso il cloud.
- La maggior parte delle organizzazioni utilizza deliberatamente più fornitori di cloud, a seconda delle proprie esigenze specifiche. Di conseguenza, la maggior parte delle aziende, per circostanza o per progetto, lavora in un ambiente ibrido e multi-cloud. Questo rende difficile per i professionisti della sicurezza conoscere, vedere e gestire dove si trovano le applicazioni e i dati in un ambiente frammentato.
- Oggi gli sviluppatori di applicazioni prendono il codice da una serie di luoghi come GitHub, sfruttano i carichi di lavoro per creare un'applicazione e pubblicarla direttamente al loro pubblico di consumatori. Questo approccio si chiama Development Operations (DevOps) ed è un ciclo di "innovazione continua e sviluppo continuo" (CI/CD) in cui possono rispondere rapidamente ai clienti e migliorare la risposta e l'esperienza per i loro clienti e partner in settimane o giorni.
- Il compromesso tra processo e velocità e il costante miglioramento delle applicazioni significa che la sicurezza non è più un cancello rigido per la produzione di applicazioni. I professionisti della sicurezza non possono applicare i controlli al momento dell'esecuzione dell'applicazione, come potevano fare in passato. Il rischio per i dati e le applicazioni dovuto alla natura mutevole dei carichi di lavoro, alla mancanza di visibilità e di controllo e all'ascesa dell'ambiente DevOps "always on" rende il CWPP una soluzione di sicurezza importante nell'azienda moderna.
![]()
Come funziona il CWPP?
Una soluzione completa di Cloud Workload Protection Platform (CWPP) dovrebbe offrirle la possibilità di scoprire i carichi di lavoro che sono stati implementati nei suoi ambienti on-premise e nel cloud pubblico. Dovrebbe essere in grado di aggiungere la capacità di gestire qualsiasi carico di lavoro non gestito che scopre.
Dal punto di vista della sicurezza, dovrebbe essere in grado di effettuare una valutazione della vulnerabilità del carico di lavoro, confrontandolo con una serie di criteri pertinenti. In base al risultato della valutazione delle vulnerabilità, dovrebbe essere in grado di applicare una protezione come la protezione dell'integrità, l'immutabilità o il whitelisting, la protezione della memoria e la prevenzione delle intrusioni basata sull'host. Si noti che da una prospettiva di sicurezza pura, la protezione anti-malware è meno critica. L'anti-malware può essere strettamente legato alle normative che regolano il suo settore, tuttavia potrebbe essere richiesto.
Ci sono diverse altre considerazioni.
Incorporare nella pipeline CI/CD
Poiché le protezioni del carico di lavoro non possono sempre essere applicate in fase di esecuzione, come parte naturale e idealmente invisibile dello sviluppo dell'applicazione. Spostando la sicurezza più a sinistra del processo applicativo, è possibile aumentarne l'ubiquità e l'efficacia.
Si allinei con le soluzioni CSPM
Il CWPP dovrebbe essere strettamente allineato con la soluzione di Cloud Security Posture Management (CSPM), o addirittura idealmente farne parte. Mentre il CWPP valuta i carichi di lavoro e fornisce i mezzi per metterli in sicurezza, il CSPM è progettato per fare lo stesso per gli account cloud in cui questi carichi di lavoro sono distribuiti. Le due soluzioni si integrano in modo molto naturale, quindi dovrebbero far parte della stessa esperienza utente.
Collegare la soluzione CWPP all'infrastruttura
La soluzione CWPP deve collegarsi perfettamente al resto della sua infrastruttura di sicurezza. Mentre il CWPP si concentra sulla protezione dei carichi di lavoro che eseguono le applicazioni, Data Loss Prevention (DLP) si concentra sulla protezione dei dati che le applicazioni utilizzano e memorizzano. Da un'altra prospettiva, un Security Operations Center (SOC) può arricchire in modo significativo la sua visione di attacchi complessi se è in grado di rilevare quelli che hanno origine o si estendono nel cloud. Finché il SOC non sarà in grado di rilevare e rimediare alle minacce e alle vulnerabilità cloud-native, gli investigatori saranno parzialmente ciechi di fronte ad alcuni tipi di attacchi.
![]()
Quali sono i vantaggi principali del CWPP?
La Cloud Workload Protection Platform (CWPP) offre una soluzione per affrontare gli aspetti unici della Zero Trust Security per i carichi di lavoro nel cloud, che comprendono:
- Carichi di lavoro: server, macchine virtuali, container e serverless; on-premise o nel cloud; persistenti o non persistenti.
- Vincoli di sicurezza: In fase di esecuzione o nel processo di sviluppo
- Ambienti ibridi: Passaggio dall'on-premise al cloud
- Ambienti multi-cloud: Uso aziendale di più di un provider di servizi cloud
- Scopribilità e visibilità: Essere in grado di trovare e gestire i carichi di lavoro in un ambiente ibrido e multi-cloud.
Una soluzione CWPP completa, a sua volta, si presta ad accelerare lo sviluppo di applicazioni cloud-native e a liberare la "potenza del cloud". I vantaggi principali includono:
- Costi: Costi iniziali più bassi, costo ridotto dell'hardware, manutenzione e spese operative ridotte.
- Flessibilità: Aumentare e diminuire la capacità dell'applicazione, in base alla domanda.
- Servizio clienti migliorato: Risponde meglio e più velocemente alle richieste dei clienti, incrementando il business.
- Facilità d'uso: si alza, si usa da qualsiasi luogo e raccoglie analisi dalle applicazioni.
- Sicurezza: Responsabilità condivisa ed evoluzione della sicurezza del cloud
![]()
Piattaforma di protezione del carico di lavoro del cloud Skyhigh (CWPP)
La soluzione CWPP di Skyhigh fa parte di uno sforzo più ampio per proteggere le applicazioni cloud-native. Nel farlo, adottiamo un approccio decisamente diverso. I nostri obiettivi finali sono:
- Si concentri sui risultati aziendali piuttosto che sulle soluzioni tecniche ai diversi aspetti del problema.
- Fornisce una protezione completa delle minacce e dei dati su tutti i carichi di lavoro, gli ambienti e i provider di servizi cloud.
- Ridurre le spese di gestione sintetizzando i flussi di lavoro degli utenti in un continuum continuo, anziché separarli per funzione o tipo di carico di lavoro.
Da un punto di vista della sicurezza, la soluzione CWPP di Skyhigh realizzerà questi obiettivi sulla base di cinque pilastri fondamentali:
- Scoperta e classificazione basata sul rischio:
Non si può proteggere ciò che non si vede. Scoprire i carichi di lavoro, indipendentemente da cosa o dove si trovano, è la prima chiave per gestire il rischio. Il passo successivo consiste nel classificare le vulnerabilità degli account e dei carichi di lavoro in base al rischio per la sua organizzazione. Se riesce a comprendere rapidamente questi rischi in relazione tra loro, può dare rapidamente la priorità alla riparazione, riducendo il rischio complessivo il più rapidamente possibile.
- Spostare la postura e la vulnerabilità a sinistra:
Spostare la sicurezza nella pipeline CI/CD e renderla facile da incorporare per gli sviluppatori nei loro normali processi di sviluppo delle applicazioni e garantire che le applicazioni siano sicure prima di essere pubblicate riduce la possibilità di introdurre nuove vulnerabilità e minimizza le minacce per l'organizzazione.
- Controllo delle politiche Zero Trust:
Lasoluzione CNAPP di Skyhigh, supportata da CWPP, si concentra sulle politiche di rete e di carico di lavoro Zero Trust. Questo approccio non solo le consente di ottenere analisi su chi accede al suo ambiente e come - un componente importante della sua strategia SOC - ma garantisce anche che le persone e i servizi abbiano le autorizzazioni appropriate per eseguire le attività necessarie.
- Protezione dalle minacce unificata:
Il CWPP unifica la protezione dalle minacce tra i carichi di lavoro nel cloud e on-premise. Inoltre, sintetizza le protezioni dei carichi di lavoro e le autorizzazioni degli account nello stesso movimento. Infine, collegando la protezione delle applicazioni cloud-native a XDR, è in grado di avere una visibilità completa, la gestione dei rischi e la bonifica delle infrastrutture on-premise e cloud.
- Governance e conformità:
La soluzione ideale per proteggere le applicazioni cloud-native include la capacità di gestire l'accesso privilegiato e di affrontare la protezione dalle minacce sia per i carichi di lavoro che per i dati sensibili, indipendentemente da dove risiedono.