Plataforma de proteção de carga de trabalho em nuvem (CWPP), conforme definido por
Gartner é uma "solução de segurança centrada no volume de trabalho que visa os requisitos de proteção únicos" dos volumes de trabalho em ambientes empresariais modernos.
As cargas de trabalho em ambientes modernos evoluíram para incluir servidores físicos, máquinas virtuais (VMs), contentores e cargas de trabalho sem servidor.
Estas cargas de trabalho fornecem a computação subjacente, o transporte (rede) e o armazenamento dos dados que fornecem a funcionalidade da aplicação evoluíram. Tal como ilustrado na Figura 1, estão a diminuir, concentrando-se numa tarefa mais pequena e mais específica que se presta à aplicação global.
Estas cargas de trabalho residem frequentemente no local, em ambientes do tipo colocation, como centros de dados de terceiros, ou na nuvem pública.
Finalmente, dependendo do seu tipo e da aplicação que suporta, uma carga de trabalho pode ser persistente ou não persistente. Enquanto se espera que um servidor esteja instalado e a funcionar durante anos, as VMs podem ser activadas mensalmente ou semanalmente e os contentores podem ser utilizados apenas uma vez e descartados.
A capacidade de aplicar proteção a cargas de trabalho cada vez menores que podem estar no local ou na nuvem e que podem ou não persistir no ambiente significa que a própria natureza das técnicas e soluções para as proteger tem de mudar.
Como resultado, a CWPP evoluiu para se distinguir das plataformas de proteção de pontos finais (EPP). Está especificamente centrada na proteção de cargas de trabalho, independentemente do tipo ou da localização. Uma solução CWPP bem arquitetada também funcionará perfeitamente com uma solução de Gerenciamento de Postura de Segurança na Nuvem (CSPM).
![]()
Porque é que a CWPP é importante?
A transformação de aplicações legadas para aplicações nativas da nuvem não é automática. As organizações não podem "copiar e colar" para a nuvem um aplicativo que está atualmente no local. Aqui estão quatro razões pelas quais a Plataforma de proteção de carga de trabalho na nuvem (CWPP) é importante:
- A maioria das empresas tem aplicações e infra-estruturas antigas que impedem uma transferência completa da funcionalidade para a nuvem.
- A maioria das organizações está a usar deliberadamente vários fornecedores de nuvem, dependendo das suas necessidades específicas. Como resultado, a maioria das empresas, por circunstância ou design, está a trabalhar num ambiente híbrido e multi-nuvem. Isso torna difícil para os profissionais de segurança saber, ver e gerenciar onde os aplicativos e dados estão em um ambiente fragmentado.
- Hoje em dia, os programadores de aplicações pegam em código de uma variedade de locais como o GitHub, aproveitam cargas de trabalho para criar uma aplicação e publicam-na diretamente para o seu público-alvo de consumidores. Esta abordagem é designada por Operações de Desenvolvimento (DevOps) e é um ciclo de "inovação contínua e desenvolvimento contínuo" (CI/CD) em que pode responder rapidamente aos clientes e melhorar essa resposta e experiência para os seus clientes e parceiros em semanas ou dias.
- A troca do processo pela velocidade e a melhoria constante das aplicações significa que a segurança já não é uma porta estrita para a produção de aplicações. Os profissionais de segurança não podem aplicar controlos em tempo de execução das aplicações como costumavam fazer. O risco para os dados e aplicações devido à natureza mutável das cargas de trabalho, à falta de visibilidade e controlo e ao aumento do ambiente DevOps "sempre ligado" faz do CWPP uma importante solução de segurança na empresa moderna.
![]()
Como é que a CWPP funciona?
Uma solução abrangente da Cloud Workload Protection Platform (CWPP) deve dar-lhe a capacidade de descobrir cargas de trabalho que foram implementadas nos seus ambientes locais e de nuvem pública. Deve ser capaz de adicionar a capacidade de gerir quaisquer cargas de trabalho não geridas que descubra.
Do ponto de vista da segurança, deve ser capaz de fazer uma avaliação da vulnerabilidade da carga de trabalho, comparando-a com um conjunto relevante de políticas. Com base no resultado da avaliação de vulnerabilidades, deverá ser capaz de aplicar segurança como a proteção da integridade, imutabilidade ou lista branca, proteção da memória e prevenção de intrusões com base no anfitrião. Note que, de uma perspetiva de segurança pura, a proteção anti-malware é menos crítica. No entanto, a proteção anti-malware pode estar estreitamente ligada aos regulamentos que regem o seu sector e pode ser necessária.
Existem várias outras considerações.
Incorporar no pipeline CI/CD
Uma vez que as protecções de carga de trabalho nem sempre podem ser aplicadas em tempo de execução como uma parte natural e idealmente invisível do desenvolvimento de aplicações. Ao deslocar a segurança mais para a esquerda do processo da aplicação, pode aumentar a sua ubiquidade e eficácia.
Alinhe-se com as soluções CSPM
O CWPP deve estar estreitamente alinhado ou, idealmente, fazer parte da mesma solução que o Cloud Security Posture Management (CSPM). Enquanto o CWPP avalia as cargas de trabalho e fornece os meios para as proteger, o CSPM foi concebido para fazer o mesmo com as contas na nuvem em que essas cargas de trabalho são implementadas. As duas soluções encaixam-se muito naturalmente, pelo que devem fazer parte da mesma experiência do utilizador.
Ligue a solução CWPP à infraestrutura
A solução CWPP deve ligar-se perfeitamente ao resto da sua infraestrutura de segurança. Enquanto o CWPP se concentra na proteção de cargas de trabalho que executam aplicações, o Data Loss Prevention (DLP) concentra-se na proteção dos dados que as aplicações utilizam e armazenam. De uma perspetiva diferente, um Centro de Operações de Segurança (SOC) pode enriquecer significativamente a sua visão de ataques complexos se conseguir detetar os que têm origem ou se estendem à nuvem. E até que o SOC possa detetar e corrigir ameaças e vulnerabilidades nativas da nuvem, os investigadores ficarão parcialmente cegos para certos tipos de ataques.
![]()
Quais são os principais benefícios da CWPP?
A Cloud Workload Protection Platform (CWPP) fornece uma solução para abordar os aspectos exclusivos da Segurança Zero Trust para cargas de trabalho na nuvem, que incluem:
- Cargas de trabalho:Servidor, VM, contentor e sem servidor; no local ou na nuvem; persistente ou não persistente
- Restrições de segurança: Em tempo de execução ou no processo de desenvolvimento
- Ambientes híbridos: Movimentação do local para a nuvem
- Ambientes multi-nuvem: Utilização empresarial de mais do que um fornecedor de serviços na nuvem
- Capacidade de descoberta e visibilidade: Ser capaz de encontrar e gerenciar cargas de trabalho em um ambiente híbrido e de várias nuvens
Uma solução CWPP abrangente, por sua vez, presta-se a acelerar o desenvolvimento de aplicações nativas da nuvem e a desbloquear o "poder da nuvem". Os principais benefícios incluem:
- Custo: Custos iniciais mais baixos, custo reduzido de hardware, menos despesas de manutenção e operacionais
- Flexibilidade: Aumente e reduza a capacidade da aplicação, de acordo com a procura
- Serviço ao cliente melhorado: Responda melhor e mais rapidamente aos pedidos dos clientes, gerando mais negócios
- Facilidade de utilização: Levante-se, utilize a partir de qualquer lugar e recolha análises a partir de aplicações
- Segurança: Responsabilidade partilhada e evolução da segurança na nuvem
![]()
Plataforma de proteção de carga de trabalho em nuvem da Skyhigh (CWPP)
A solução CWPP da Skyhigh faz parte de um esforço mais amplo para proteger aplicativos nativos da nuvem. Estamos a adotar uma abordagem decididamente diferente ao fazê-lo. Nossos objetivos finais são:
- Concentre-se nos resultados comerciais e não nas soluções técnicas para as diferentes partes do problema.
- Forneça proteção abrangente contra ameaças e dados em todas as cargas de trabalho, ambientes e provedores de serviços de nuvem.
- Reduza as despesas gerais de gestão sintetizando os fluxos de trabalho dos utilizadores numa continuidade contínua, em vez de os separar por função ou tipo de carga de trabalho.
Do ponto de vista da segurança, a solução CWPP da Skyhigh irá cumprir esses objectivos com base em cinco pilares fundamentais:
- Descoberta e classificação baseada no risco:
Você não pode proteger o que não pode ver. Descobrir cargas de trabalho, independentemente do que ou onde elas estejam, é a primeira chave para gerenciar riscos. O próximo passo é classificar as vulnerabilidades de contas e cargas de trabalho com base no risco para a sua organização. Se conseguir compreender rapidamente esses riscos em relação uns aos outros, pode dar prioridade à sua correção, reduzindo o risco global o mais rapidamente possível.
- Mude a postura e a vulnerabilidade à esquerda:
Ao mover a segurança para o pipeline CI/CD e facilitar a sua incorporação pelos programadores nos seus processos normais de desenvolvimento de aplicações, garantindo que as aplicações são seguras antes de serem publicadas, reduz a possibilidade de introduzir novas vulnerabilidades e minimiza as ameaças à organização.
- Controlo de políticas Zero Trust:
Asolução CNAPP da Skyhigh suportada pelo CWPP concentra-se em políticas de rede e carga de trabalho Zero Trust. Esta abordagem não só lhe permite obter análises sobre quem está a aceder ao seu ambiente e como - um componente importante da sua estratégia SOC - mas também garante que as pessoas e os serviços têm as permissões adequadas para executar as tarefas necessárias.
- Proteção unificada contra ameaças:
O CWPP unifica a proteção contra ameaças entre cargas de trabalho na nuvem e no local. Ele também sintetiza proteções de carga de trabalho e permissões de conta no mesmo movimento. Finalmente, ao ligar a proteção de aplicações nativas da cloud ao XDR, pode ter visibilidade total, gestão de riscos e remediação nas suas infra-estruturas no local e na cloud.
- Governança e conformidade:
A solução ideal para proteger aplicativos nativos da nuvem inclui a capacidade de gerenciar o acesso privilegiado e abordar a proteção contra ameaças para cargas de trabalho e dados confidenciais, independentemente de onde eles residam.