Una CWPP (Cloud Workload Protection Platform) aiuta quando si è in difficoltà nel monitorare i carichi di lavoro in molte sedi che costituiscono un ambiente IT complesso e moderno. È un tipo di protezione strategico per una sicurezza del cloud più ampia.
Un punto di forza chiave è la salvaguardia dei carichi di lavoro, indipendentemente da dove, o in quale forma, vengono eseguiti.
Una CWPP li monitora automaticamente e continuamente con una attenzione speciale che la differenzia da altri strumenti di sicurezza, spesso mirati a proteggere più le reti o altri componenti dell’infrastruttura. Un carico di lavoro può essere un server fisico, un server virtuale, una funzione serverless, un contenitore o qualcos’altro: qualunque risorsa necessaria per supportare e distribuire un’applicazione.
Spesso i carichi di lavoro si trovano in ambienti ibridi e multi-cloud. Per i team di sicurezza diventa quindi difficile averne piena visibilità. Le CWPP possono essere un utile rimedio a questo problema di visibilità, offrendo un monitoraggio continuo anche se in esecuzione on-premise, in uno o più ambienti cloud o in una loro combinazione.
Obiettivi delle CWPP
Una CWPP nasce per lavorare in modo autonomo e identificare i carichi di lavoro, per poi anche esaminarli alla ricerca di vulnerabilità. Quando lo strumento valuta che un carico di lavoro non è adeguatamente protetto, può applicare standard di sicurezza appropriati. Questi controlli di sicurezza automatizzati assumono maggiore importanza poiché sempre più organizzazioni adottano l’integrazione continua/consegna continua, che è la pratica dello sviluppo e del rilascio attivo e iterativo del software. Le aziende che vogliono gestire il monitoraggio del carico di lavoro sapendo che terrà il passo con i rilasci rapidi, devono investire nell’automazione di un CWPP. Serve essere in grado di identificare configurazioni errate e altre vulnerabilità di sicurezza nel software prima del rilascio. Idealmente, questi avvisi arrivano abbastanza presto nel processo da non rallentare indebitamente i progressi del team di sviluppo.
A seconda dello strumento, una CWPP potrebbe adottare un approccio basato su agenti. In questo caso, lo strumento installa sensori software nel carico di lavoro per monitorare da vicino il suo comportamento di runtime. Mentre questi agenti forniscono una maggiore visibilità, aggiungono complessità e possono ridurre le prestazioni delle risorse.
Mentre una CWPP lavora insieme ad altri strumenti di sicurezza, il suo ruolo è unico. Si differenzia dalla gestione unificata degli endpoint, che si occupa principalmente del controllo dei dispositivi. La CWPP, è bene tener epèresente, ha una missione separata rispetto allo strumento di gestione della postura della sicurezza del cloud (CSPM), che cerca di identificare problemi di compliance, configurazioni errate o altre debolezze nell’infrastruttura cloud. Uno strumento classificato come piattaforma di protezione delle applicazioni native per il cloud (CNAPP), nel frattempo, si concentra sulla sicurezza dell’applicazione stessa.
Molti esperti di sicurezza cloud incoraggiano a utilizzare CWPP di concerto con CSPM, CNAPP e altri prodotti di sicurezza. Questo approccio fornisce una difesa più completa contro le minacce alla sicurezza senza fine.
Funzionalità di CWPP
I vantaggi più importanti dei CWPP includono le seguenti:
- Ampia visibilità. Sapendo quali carichi di lavoro sono in esecuzione su cloud privato, cloud ibrido, cloud pubblico e ambienti multi-cloud, un team di sicurezza è in grado di comprendere più pienamente cosa sta cercando di proteggere.
- Immutabilità del carico di lavoro. Qualcuno che cerca di ottenere l’accesso illecito ai sistemi può farsi strada oltre le misure di sicurezza apportando modifiche ai server utilizzati da un carico di lavoro distribuito. Le caratteristiche di immutabilità vietano tali modifiche.
- Protezione contro i malware. Le scansioni automatiche individuano l’arrivo di malware.
- Supervisione dell’applicazione. Questa protezione blocca automaticamente l’installazione di qualsiasi software che non è nell’elenco delle applicazioni approvate.
- Monitoraggio della configurazione. I carichi di lavoro che non sono configurati in modo sicuro forniscono agli intrusi un facile accesso. Il monitoraggio della configurazione può avvisare un team di sicurezza di configurazioni errate e talvolta suggerire correzioni.
- Isolamento del carico di lavoro. Alcuni strumenti utilizzano una tecnica nota come microsegmentazione per isolare i carichi di lavoro. Questo limita ciò che può essere condiviso tra i carichi di lavoro, rendendoli obiettivi meno invitanti.
Sfide con gli strumenti CWPP
Per valutare le offerte di questo tipo di soluzioni è importante considerare anche alcune potenziali complicazioni:
- Compatibilità. La maggior parte delle organizzazioni utilizza molti tipi di applicazioni, carichi di lavoro, architetture cloud e piattaforme cloud. Far sì che tutti questi lavorino efficacemente con un particolare strumento di protezione del carico di lavoro potrebbe essere una sfida.
- Integrazione. Per essere efficace, uno strumento CWPP deve integrarsi con gli altri controlli di sicurezza e strumenti che un’organizzazione ha già in atto.
- Scalabilità. Un’azienda di successo può aspettarsi che il numero di carichi di lavoro cloud che esegue cresca negli anni a venire. Uno strumento di sicurezza del carico di lavoro deve essere scalato per adattarsi a tale crescita.
- Selezione dello strumento. Identificare uno o più prodotti per proteggere i carichi di lavoro cloud e le applicazioni cloud è un compito complesso. Ogni fornitore include diverse funzionalità nei propri strumenti. Alcuni propongono di fare tutto; altri prodotti sono più focalizzati su compiti specifici. Questo rende il confronto tra loro una sfida.
