Recursos > Glosario de términos de seguridad > ¿Qué es la seguridad de la carga de trabajo en la nube?

¿Qué es la seguridad de la carga de trabajo en la nube?

Definición de la seguridad de la carga de trabajo en la nube

La seguridad de la carga de trabajo en la nube es una solución de seguridad diseñada para proteger cargas de trabajo en bases de datos, contenedores como Kubernetes, máquinas virtuales (VM) y servidores físicos a medida que se mueven a través de entornos en la nube.

 

¿Por qué es importante la seguridad de la carga de trabajo en la nube?

A medida que más organizaciones se alejan de las soluciones locales y pasan a modelos de negocio digitales centrados en la computación en la nube, sus datos y aplicaciones se transfieren a la nube a través de proveedores de nube como AWS, Microsoft Azure y Google Cloud. Esta migración presenta desafíos para proteger los datos que se mueven entre aplicaciones y SaaS mientras se comunican entre sí en diferentes entornos de nube y centros de datos, todos conectados a través de Internet.

Es decir, hay que solucionar muchas vulnerabilidades cuando se trata de proteger las cargas de trabajo en la nube. Una solución de seguridad de la carga de trabajo en la nube permite a las organizaciones identificar, administrar y proteger estas cargas de trabajo para reducir el riesgo, aumentar el cumplimiento, garantizar una mayor escalabilidad de las aplicaciones y mejorar la postura general de seguridad.

 

¿Cómo funciona la seguridad de la carga de trabajo en la nube?

La seguridad de la carga de trabajo en la nube, también conocida como protección de la carga de trabajo en la nube, gira en torno a la segmentación de la carga de trabajo, en la que las cargas de trabajo de las aplicaciones se dividen en elementos más pequeños para simplificar y proteger la inspección del tráfico.

Las soluciones de seguridad de la carga de trabajo en la nube permiten a las organizaciones detectar, supervisar y proteger las cuentas en la nube, las instancias de computación y almacenamiento, y el plano de control. Esto disminuye la probabilidad de que se produzcan errores de configuración en el momento de la implantación, lo que permite desarrollar y lanzar más aplicaciones nativas de la nube a escala, al tiempo que se reduce el riesgo de problemas de ciberseguridad.

 

Riesgos de seguridad de las cargas de trabajo en la nube

En un entorno moderno impulsado por la infraestructura en la nube, las aplicaciones y los servicios deben ser una parte esencial de la estrategia general de seguridad, aunque a menudo no es así. La mayor parte del tráfico en un entorno de nube se mueve de este a oeste (dentro del entorno) y los controles de seguridad tradicionales generalmente protegen el tráfico que se mueve de norte a sur (dentro o fuera del entorno) a través de una puerta de enlace perimetral, por lo que ya no es suficiente definir el software por su ruta de tráfico.

Los controles de seguridad deben estar centrados en las cargas de trabajo y desvinculados de la plataforma en la nube. Es crucial alejar los controles de acceso y los permisos de las rutas de red por las que viajan las aplicaciones y vincularlos directamente a la identidad de las aplicaciones y los servicios que se comunican. No hacerlo hace que resulte más fácil para las amenazas transmitidas por la red entrar en sus sistemas en la nube.

 

Por qué las estrategias de seguridad obsoletas no son suficientes

Las herramientas de seguridad heredadas funcionan con un modelo de confianza que ya no es adecuado para gestionar el panorama actual de las amenazas, ya que cada vez más aplicaciones residen en la nube y se comunican a través de Internet. Los perímetros de seguridad de la red están desapareciendo y la inspección del tráfico es más difícil porque casi todo el tráfico está cifrado. Los controles de seguridad anticuados que no pueden descifrar, inspeccionar y volver a cifrar el tráfico podrían estar pasando por alto ciberataques como el ransomware y otros programas maliciosos.

Para defenderse contra estos ataques, las organizaciones que utilizan nubes privadas y públicas deben centrarse en protegerse a nivel de carga de trabajo, no solo en el punto final.

 

Para defenderse de los ciberataques, las empresas que utilizan nubes privadas y públicas deben centrarse en protegerse de los daños a nivel de la carga de trabajo, no solo en el punto final.
VMWare

Requisitos clave de una plataforma de seguridad de la carga de trabajo en la nube

Analicemos las estrategias necesarias para disfrutar de una potente seguridad de la carga de trabajo en la nube.

La microsegmentación es un método para crear zonas seguras y aisladas dentro de un centro de datos, red o entorno de nube que permite que las cargas de trabajo se aíslen y protejan individualmente. Está diseñada para permitir la partición granular del tráfico y así obtener una mejor protección contra los ataques.

Con la microsegmentación, los equipos de seguridad de TI pueden adaptar la configuración de seguridad a los diferentes tipos de tráfico, creando políticas que limitan los flujos entre las cargas de trabajo a los que están explícitamente permitidos. Aplicar reglas de segmentación y políticas granulares a la carga de trabajo o aplicación puede reducir el riesgo de que un atacante se mueva sin ser detectado de una carga de trabajo o aplicación comprometida a otra.

La microsegmentación no debe confundirse con la segmentación de red, que implica el uso de firewalls de inspección de estado o firewalls de última generación para dividir la red en trozos más pequeños y fáciles de supervisar. Esta estrategia fue eficaz en el pasado, pero tiene limitaciones en entornos de nube y multinube.

Otra estrategia clave es el acceso a la red de confianza cero (ZTNA), también conocido como perímetro definido por software (SDP). ZTNA se obtiene a partir de un conjunto de tecnologías que operan en un modelo de confianza adaptable, donde la confianza nunca es implícita, los usuarios deben ser verificados y el acceso se otorga en base a la necesidad, con los menores niveles de privilegios posibles y según políticas granulares.

Gartner predice que, en 2023, el 60 % de las empresas habrán eliminado sus redes privadas virtuales (VPN) de acceso remoto en favor de ZTNA. Esto es cierto por varios motivos, pero sobre todo por la mejora de la protección y la seguridad de las cargas de trabajo en la nube.

Tanto la microsegmentación como ZTNA pueden ayudar a proteger el tráfico y las aplicaciones de una organización en tiempo de ejecución, pero el uso de una plataforma de protección de cargas de trabajo en la nube garantizará una cobertura completa de la seguridad de dichas cargas.

 

Las soluciones de seguridad de la carga de trabajo en la nube permiten a las organizaciones descubrir, supervisar y proteger las cuentas en la nube, las instancias de computación y almacenamiento, y el plano de control. Esto permite desarrollar e implantar más aplicaciones a escala, al tiempo que se reduce el riesgo de introducir problemas de seguridad y se mejora la postura general de seguridad y cumplimiento.
AWS

Principales ventajas de la seguridad de la carga de trabajo en la nube

Estas son algunas de las formas en las que la seguridad de la carga de trabajo en la nube le ayuda a disminuir el riesgo y a simplificar la seguridad de su organización:
 

Menor complejidad

En una arquitectura orientada a los servicios, el seguimiento de inventarios de activos y políticas es difícil, y cada cambio de instancia en la nube afecta a las dependencias, creando problemas de gestión y disponibilidad. Además, la asignación de flujo de datos en una nube es compleja porque los servicios pueden cambiar de ubicación, lo que aumenta el número de puntos de datos que se deben supervisar y administrar. La seguridad de las cargas de trabajo en la nube simplifica el seguimiento y la protección, y se anticipa al impacto del cambio al centrarse en las aplicaciones y no en su entorno.
 

Protección sin fisuras

Las herramientas de seguridad tradicionales que utilizan direcciones IP, puertos y protocolos como plano de control no son idóneas para el uso en la nube. La naturaleza dinámica de los servicios en la nube hace que estos controles de seguridad estáticos sean poco confiables porque pueden cambiar en cualquier momento. Para contrarrestar el problema de los controles basados en direcciones, las plataformas de seguridad de las cargas de trabajo en la nube ofrecen una protección uniforme de las cargas de trabajo y no requieren cambios estructurales complejos.
 

Evaluación continua de los riesgos

La mayoría de los profesionales de la seguridad saben que sus redes corporativas son vulnerables, pero la mayoría no puede cuantificar los riesgos (particularmente los relacionados con la exposición de las aplicaciones). Las soluciones de seguridad de la carga de trabajo en la nube pueden medir automáticamente la superficie de ataque visible de su red para determinar las posibles vías activas de comunicaciones de las aplicaciones, cuantificar la exposición al riesgo en función de la relevancia del software que se comunica y recomendar el menor número de políticas de seguridad para reducir el riesgo de infracción de datos.

 

Mejores prácticas de seguridad para las cargas de trabajo en la nube

Al seleccionar una plataforma de seguridad de las cargas de trabajo en la nube, asegúrese de que esta pueda:

  • Proteger las cargas de trabajo desde la creación hasta el tiempo de ejecución mientras permanece alineada con DevOps.
  • Conectar de forma segura las cargas de trabajo en la nube a Internet, al centro de datos y a otras aplicaciones.
  • Ejecutarse en una arquitectura de confianza cero para todos los usuarios y cargas de trabajo de manera uniforme.

En última instancia, asegúrese de que su plataforma de seguridad de la carga de trabajo en la nube pueda ayudar a su equipo de seguridad a responder estas preguntas:

  • ¿Qué aplicaciones se están comunicando?
  • ¿Cuáles deben comunicarse?
  • ¿Los sistemas adecuados se comunican entre sí sin permitir el tráfico malicioso?

Las cargas de trabajo en la nube actuales necesitan una seguridad que proporcione una cobertura completa de confianza cero y que, al mismo tiempo, simplifique la gestión para DevOps y SecOps. Lo que necesita es una plataforma probada construida en la nube y para la nube: una plataforma que solo Zscaler puede proporcionar.

 

Zscaler Workload Segmentation tiene el potencial de ser el producto perfecto para todas las empresas del mundo. A pesar de que en la actualidad hay muchas herramientas de seguridad exclusivas y personalizadas, sigo afirmando que Zscaler Workload Segmentation las supera con creces. Y lo que es aún mejor: lo hace con una facilidad de uso increíble.
John Arsneault, CIO de Goulston & Storrs

Cómo protege Zscaler las cargas de trabajo en la nube

Zscaler Workload Segmentation™ (ZWS™) es una nueva forma de segmentar las cargas de trabajo de las aplicaciones. Con un solo clic, puede mejorar la seguridad permitiendo que ZWS revele el riesgo y aplique la protección basada en la identidad a sus cargas de trabajo, sin hacer ningún cambio en la red.

ZWS proporciona una protección sin fisuras con políticas que se adaptan automáticamente a los cambios del entorno, por lo que elimina la superficie de ataque de su red. Además, Zscaler Workload Segmentation se basa en API, lo que significa que puede integrarse con las herramientas de seguridad existentes y los procesos de DevOps y que, por lo tanto, permite conseguir una segmentación automática con un solo clic.

Basado en la confianza cero, Zscaler permite que solo las cargas de trabajo verificadas se comuniquen en su entorno de nube pública, privada o híbrida, lo que mitiga el riesgo y ofrece el nivel más alto de protección frente a filtraciones de datos.

Zscaler Workload Segmentation incluye:

Protección basada en la identidad del software

ZWS busca más allá de las direcciones de red para verificar la identidad segura de las cargas de trabajo y el software de aplicaciones que se comunican, en nubes públicas o privadas, nubes híbridas, centros de datos en las instalaciones o entornos de contenedores. 

Un motor de automatización de políticas

ZWS utiliza el aprendizaje automático para automatizar todo el ciclo de vida de las políticas de microsegmentación y protección de cargas de trabajo. No hay necesidad de elaborar la política manualmente durante el despliegue o las operaciones en curso. La segmentación de la carga de trabajo recomienda políticas nuevas o actualizadas cuando se añaden aplicaciones o se cambian las ya existentes.

Visibilidad y medición de la superficie de ataque

ZWS crea automáticamente una topología de aplicación en tiempo real y un mapa de dependencia hasta el nivel del proceso. A continuación, resalta las rutas de aplicación requeridas y las compara con el total de rutas de red disponibles, y recomienda políticas para minimizar la superficie de ataque y proteger lo que sea necesario.

¿Desea obtener más información sobre cómo Zscaler Workload Segmentation puede proteger su organización? Solicite una demostración para empezar.

Evite que las aplicaciones se vean comprometidas y que se produzcan filtraciones de datos con la segmentación de la carga de trabajo

Vea cómo funciona
Zscaler Workload Segmentation

Goulston & Storrs aumenta la seguridad de los datos de los clientes con Zscaler Workload Segmentation

Lea el estudio de caso
Goulston & Storrs aumenta la seguridad de los datos de los clientes con ZscalerTM Workload Segmentation

En qué se diferencia la microsegmentación de la segmentación de red

Conozca la diferencia
En qué se diferencia la microsegmentación de la segmentación de red