¿Qué es una plataforma de protección de cargas de trabajo en la nube (CWPP)?

Definición de plataforma de protección de cargas de trabajo en la nube

Una plataforma de protección de cargas de trabajo en la nube (CWPP) es una solución de seguridad construida para abordar las necesidades de seguridad de las cargas de trabajo en entornos modernos híbridos, de múltiples nubes y de centros de datos. Una CWPP eficaz puede ofrecer un control y una visibilidad uniformes para dispositivos físicos, máquinas virtuales, contenedores y cargas de trabajo sin servidor, estén donde estén.

Una CWPP debe escanear para detectar vulnerabilidades conocidas al desplegar una carga de trabajo, así como proteger las cargas de trabajo de los ataques en tiempo de ejecución mediante una combinación de protección de la integridad del sistema, microsegmentación basada en la identidad, control de aplicaciones, protección de la memoria, supervisión del comportamiento, prevención de intrusiones basada en el host y protección antimalware opcional.

 

¿Por qué es importante una CWPP?

Las tecnologías heredadas basadas en la red generalmente no se adaptan bien en los entornos en la nube. La mayoría de las empresas combinan proveedores de servicios en la nube (CSP) y centros de datos privados para alojar aplicaciones, lo que dificulta que las tecnologías heredadas basadas en la red proporcionen la visibilidad uniforme y completa que las empresas necesitan para sus cargas de trabajo. Las empresas modernas necesitan poner sus aplicaciones, cargas de trabajo y servicios en el centro de sus planes de seguridad.

Es crucial, ya que las plataformas de protección de puntos finales originalmente se desarrollaron para proteger principalmente equipos portátiles, equipos de escritorio y dispositivos móviles, y no cargas de trabajo en la nube, que pueden poner en riesgo los datos empresariales. Se ha construido una verdadera CWPP desde cero para proteger las cargas de trabajo en la nube, sin reutilizar simplemente una tecnología heredada creada para otro uso.

Además, la seguridad de las cargas de trabajo debe ser proactiva, no reactiva. Por ejemplo, es mejor analizar las cargas de trabajo en la nube en el momento de la implementación en busca de vulnerabilidades y configuraciones incorrectas, dado que estas últimas a menudo presentan un mayor riesgo para las organizaciones que el hecho de que se comprometan las cargas de trabajo.

 

Qué buscar en una CWPP

A medida que las empresas evolucionan, la necesidad de una CWPP sigue creciendo. Hay muchas opciones en el mercado, no todas ellas plataformas completas, por lo que si está comparando diferentes soluciones de CWPP, a continuación le indicamos algunos aspectos que debe tener en cuenta:

  • En un futuro próximo, la mayor parte de la infraestructura empresarial será híbrida, con arquitectura multinube, por lo que una CWPP eficaz necesita proteger las máquinas físicas, las virtuales, los contenedores y las cargas de trabajo sin servidor.
  • Debería poder gestionar una CWPP desde una consola, gestionada a través de un único conjunto de API.
  • Una oferta completa de CWPP debería exponer toda su funcionalidad a través de API para facilitar la automatización en entornos de nube.
  • Los proveedores de CWPP deberían poder compartir una hoja de ruta y un diseño de arquitectura para la protección sin servidor.

 

Consideraciones de la CWPP para los responsables de seguridad

Dejando de lado las características del producto, es importante considerar cómo incorporar la funcionalidad de una CWPP para lograr la protección de la carga de trabajo en la nube en el futuro. Algunas recomendaciones:

  • Visibilidad y control: asegúrese de que su arquitectura le proporcione visibilidad y control constantes de todas las cargas de trabajo, independientemente de su ubicación, tamaño o arquitectura.
  • Protección de contenedores: considere la posibilidad de que los proveedores de CWPP proporcionen seguridad de contenedores o tengan un soporte claramente planificado para la protección sin servidores, y que ofrezcan una gestión de la postura de seguridad en la nube (CSPM) integrada para identificar las configuraciones de riesgo.
  • Análisis y cumplimiento: el análisis de la carga de trabajo y el cumplimiento deben extenderse a DevOps como parte de un enfoque DevSecOps (especialmente con el desarrollo y el despliegue basados en contenedores y en la función sin servidor PaaS).
  • Principios de confianza cero: utilice un enfoque que deniegue por defecto para la proteger la carga de trabajo cuando sea posible en el momento de la ejecución (incluso solo en el modo de detección) en lugar de una estrategia basada en antivirus.
  • Flexibilidad: realice diseños que tengan en cuenta escenarios de CWPP en los que no se puedan usar agentes en tiempo de ejecución o en los que no tienen sentido.

 

Zscaler y CWPP

Un componente clave de la plataforma Zscaler es Zscaler Cloud Protection, que ofrece servicios esenciales para proteger cargas de trabajo, incluidos:

  • Gestión de la postura de seguridad en la nube: la mala configuración de las aplicaciones en la nube es una de las fuentes más comunes de pérdida de datos en la nube. Zscaler CSPM identifica y corrige rápidamente las malas configuraciones de las aplicaciones en entornos IaaS, PaaS y SaaS.
  • Acceso a la red de confianza cero (ZTNA): cualquier elemento que exponga a los usuarios y a las aplicaciones a Internet (por ejemplo, las VPN) puede aumentar el riesgo de que su red sea descubierta y atacada. Cada cortafuegos o herramienta orientada a Internet amplía su superficie de ataque. Zscaler Private Access™, un servicio ZTNA, ofrece a su personal, socios y terceros un acceso seguro a las aplicaciones en la nube sin colocarlas en su red ni exponer sus aplicaciones a Internet. 
  • Conectividad segura sin importar qué se conecta a qué: extender su red a las nubes públicas con VPN de sitio a sitio es costoso, peligroso y complicado. Por el contrario, Zscaler Cloud Connector proporciona conectividad de aplicación a aplicación y de aplicación a Internet de confianza cero en nubes híbridas y múltiples, lo que elimina la complejidad y el coste de los centros, los cortafuegos virtuales, las VPN y las políticas estáticas basadas en la red.
  • Segmentación de la carga de trabajo: la segmentación de la red basada en IP aumenta su riesgo de exposición y movimiento lateral porque está mal equipada para manejar cargas de trabajo en la nube que cambian dinámicamente. Zscaler Workload Segmentation proporciona una rápida microsegmentación de las cargas de trabajo de las aplicaciones, permitiéndole identificar rápidamente el riesgo, aplicar la segmentación y actualizar automáticamente las políticas, sin cambios en la red y con un 90 % menos de políticas de microsegmentación.

Zscaler for Workloads constituye los servicios de Zscaler Cloud Protection, incluidos Zscaler Private Access, Zscaler Cloud Connector y Zscaler Workload Segmentation, que a su vez forman una plataforma de protección de cargas de trabajo en la nube completa y preparada para el futuro.

 

Recursos adicionales