TechTarget Tech InDepth

Cloud workload protection platform come strategia di sicurezza

Vantaggi e funzionalità dei sistemi CWPP, un nuovo approccio nell’implementazione della sicurezza adatto alle VM e agli ambienti cloud. Con una panoramica dei principali fornitori

Pubblicato il 18 Ago 2021

Cloud workload protection

Non molto tempo fa, quando gli amministratori della sicurezza distribuivano un’applicazione, potevano essere certi che le cose sarebbero rimaste statiche. Per intenderci, un’applicazione distribuita su un host fisico in locale si sarebbe trovata nella stessa condizione in cui era stata lasciata – stesso host, stessa rete, stessa configurazione, stesso substrato tecnologico – anche a due settimane di distanza. Negli ecosistemi moderni, invece, questa è l’eccezione piuttosto che la regola. Un workload potrebbe essere distribuito su una VM o su un cloud privato oggi ed eseguito su un container Docker in un ambiente cloud pubblico all’indomani.

Dal punto di vista della sicurezza, questa è una sfida importante. Ad esempio, se si presume un monitoraggio costante tramite un sistema di rilevamento delle intrusioni di rete nell’ambiente in cui è distribuito un carico di lavoro, cosa succede quando il workload viene spostato per l’esecuzione in un ambiente diverso che non fa il monitoraggio? La situazione è ulteriormente complicata dall’aumento del multicloud. Al giorno d’oggi è raro che un’organizzazione si affidi a un solo provider IaaS o PaaS. Più facile che il supporto di una sola applicazione coinvolga due o tre, o anche più, diversi provider e ambienti. Ciò aumenta la complessità e rende difficile garantire che i controlli giusti vengano implementati nei posti giusti per i workload giusti.

In questo scenario, sta emergendo una nuova categoria di sistemi di sicurezza che promette di essere d’aiuto. Come? Unificando la gestione di più fornitori cloud, impacchettando assieme controlli e workload e assicurando che i controlli siano progettati per essere cloud-native. Parliamo delle cloud workload protection platforms (CWPPs), una strategia per l’implementazione della sicurezza che aiuta nelle sfide del cloud. In questo articolo facciamo una panoramica di funzionalità e fornitori, partendo da quanto scrivono gli analisti.

Cosa sono le cloud protection platforms

Il termine CWPP, coniato da Gartner, si riferisce a strategie di sicurezza progettate per la protezione cloud native dei workload. Prima però bisogna capire che cosa è un workload. In generale, con la definizione “carico di lavoro” si fa riferimento a un’unità atomica di funzionalità o capacità, assieme a tutto ciò che è necessario per eseguirla, ad esempio dati, connettività di rete, ecc. È un’unità di funzionalità cloud.

In pratica, un carico di lavoro può essere qualsiasi cosa. Potrebbe essere un’API che fa parte di un’applicazione, oppure un componente che gestisce l’elaborazione di back-end, oppure ancora potrebbe essere il front-end per un’applicazione aziendale interna. I workload possono essere VM, ad esempio in uno IaaS tradizionale o in un cloud privato, oppure possono essere applicazioni containerizzate, ad esempio un’applicazione e il relativo middleware di supporto in esecuzione all’interno di un motore di container, come Docker.

L’idea alla base di una CWPP è fornire un meccanismo per proteggere i workload in modo coerente; cioè in un modo adatto a più ambienti cloud, incluso il cloud privato o ibrido di un’organizzazione; e in un modo che abbia identici sicurezza e livello di riduzione del rischio, indipendentemente dal contesto.

I 3 vantaggi principali delle CWPP

I vantaggi di una CWPP sono chiari e di tre tipi soprattutto.

1. Complessità ridotta

Poiché i CWPP mirano alla sicurezza cloud-native, esse forniscono anche protezioni nel cloud che potrebbero essere più difficili e più costose da realizzare con strumenti legacy. Molti strumenti legacy sono stati progettati attorno a un endpoint gestito da un server fisico; non sono stati progettati pensando alla virtualizzazione o ai container, e ancor meno per l’uso in PaaS serverless o come servizio. Di base, i sistemi CWPP forniscono il livello di sicurezza preventivato anche quando vengono eseguiti all’interno di un container o di una macchina virtuale in cui non si controllano i livelli inferiori dello stack tecnologico.

2. Compattezza/coerenza

La compattezza è rilevante dato il modo in cui la maggior parte delle organizzazioni utilizza il cloud. Ad esempio, dal punto di vista dell’utilizzo, l’architettura dei microservizi ha portato a carichi di lavoro più numerosi e più piccoli. DevOps ha portato a ridurre la durata di ogni singolo carico di lavoro, poiché i carichi di lavoro vengono abbattuti e sostituiti con quelli più recenti in base alla cadenza di rilascio; e il multi-cloud e il cloud ibrido hanno portato a diversi ambienti utilizzati in tandem. Ciò equivale a una visibilità ridotta a lungo termine, a meno che non vengano intraprese azioni per prevenirla. I CWPP forniscono una visualizzazione più coerente, indipendentemente dal numero di carichi di lavoro presenti o da dove si trovano.

3. Portabilità

Il terzo vantaggio è la portabilità, vale a dire sicurezza indipendentemente da dove si trovi o cosa ci sia in un workload. Ad esempio, un workload in esecuzione in un hypervisor locale oggi che viene spostato in un provider IaaS domani o un container in esecuzione in uno IaaS dedicato che passa ad AWS Fargate o Azure Container Instances.

Funzionalità e fornitori di CWPP

È importante notare che non tutti i prodotti CWPP offrono tutti e tre i vantaggi contemporaneamente. Alcuni sistemi sono specifici del service provider, con portabilità limitata; alcuni sono mirati a workload virtuali ma non a contenitori, limitando così la coerenza; e altri si concentrano solo su un sottoinsieme di controlli di sicurezza, ad esempio la scansione delle vulnerabilità, la crittografia o la gestione della configurazione.

Data l’ampia portata, esistono numerosi prodotti CWPP che si differenziano a seconda della proposta di sicurezza che offrono e anche di come la offrono. Alcuni strumenti sono disponibili presso i cloud provider. Ad esempio, il Centro sicurezza di Azure di Microsoft mira a fornire una gestione della sicurezza coerente, compresa la visibilità a livello di rete, la valutazione della configurazione e la protezione dalle minacce, su più sistemi operativi. È disponibile anche Amazon Inspector, che aiuta nei problemi di vulnerabilità e configurazione.

Altre offerte più ampie sono di operatori della sicurezza consolidati e di lunga data, come Prisma Cloud di Palo Alto Networks, che si concentra sulla segmentazione dei carichi di lavoro e fornisce funzionalità di sicurezza aggiuntive sia ai container sia ai workload virtualizzati. Alcuni CWPP sono più specifici, concentrandosi su un sottoinsieme più piccolo del problema, come la capacità di rilevamento degli attacchi per Capsule8 o la scansione delle vulnerabilità basata su container per Anchore.

Questi sono, ovviamente, solo un sottoinsieme del gran numero di vendor. Dal punto di vista di un professionista della sicurezza, comprendere i cambiamenti nel mercato e cosa implicano tali cambiamenti è utile e prezioso.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati