Zpedia 

/ ¿Qué es la protección de cargas de trabajo?

¿Qué es la protección de cargas de trabajo?

La protección de cargas de trabajo es la suma de controles y protocolos de seguridad en la nube que protegen las comunicaciones de cargas de trabajo entre entornos. La protección de las cargas de trabajo, un proceso estrechamente vinculado a la seguridad de las cargas de trabajo en la nube, mitiga las vulnerabilidades causadas por riesgos inherentes a la seguridad, como las configuraciones erróneas. También es un elemento clave de la gestión de la postura de seguridad en la nube (CSPM).

protección de la carga de trabajo
Seguridad en la nubeProtección de datos
  1. Por qué es importante
  2. Seguridad de carga de trabajo tradicional
  3. Amenazas comunes
  4. Ventajas
  5. Mejores prácticas
  6. El papel de una CWPP
  7. Zscaler
  8. Recursos sugeridos
  9. Temas relacionados

¿Por qué es importante la protección de cargas de trabajo?

Las aplicaciones en la nube se han vuelto fundamentales para las operaciones comerciales y a los empleados les resultaría difícil hacer su trabajo si no tuviesen acceso a ellas. Para aumentar la productividad departamental, las empresas están adoptando servicios en la nube como la infraestructura en la nube de proveedores como Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform. A menudo, las organizaciones combinan servicios SaaS, PaaS e IaaS de una variedad de proveedores, creando un entorno multinube.

A medida que las organizaciones de todo el mundo han trasladado sus operaciones de sus instalaciones a la nube, la protección de las cargas de trabajo en la nube se ha convertido en una prioridad para los equipos de seguridad.

Especial énfasis en la seguridad

Los proveedores de servicios en la nube mencionados anteriormente (especialmente los más grandes) tienen una ciberseguridad potente e integrada, y a menudo promocionan sus infraestructuras seguras como una ventaja competitiva. Sin embargo, estos proveedores de nube utilizan modelos de responsabilidad compartida, en los que los proveedores de nube son responsables de la seguridad de la propia infraestructura de nube, mientras que los clientes de nube tienen la responsabilidad de lo que reside en la nube y lo que se comunica, es decir, las aplicaciones, las cargas de trabajo y los datos.

Para ello, ahora hay una gran variedad de soluciones de seguridad en el mercado para proteger las cargas de trabajo que viajan hacia y desde la nube. Se han hecho cada vez más populares al quedar claro que las arquitecturas de seguridad tradicionales no están a la altura de las amenazas modernas. Para entender por qué, veamos brevemente cómo se protegían las cargas de trabajo en el pasado y cómo han cambiado con el tiempo sus necesidades de protección.

Cómo protegíamos tradicionalmente nuestras cargas de trabajo

Las tecnologías heredadas basadas en la red, como los cortafuegos o las máquinas virtuales, daban una protección adecuada de la carga de trabajo cuando los negocios se hacían en las instalaciones y los equipos de TI tenían un volumen de datos mucho menor del que preocuparse. Estos métodos resistieron relativamente bien porque los ciberataques no eran tan avanzados o intrusivos como ahora y, además, el uso de las aplicaciones en la nube aún no era omnipresente.

Ni que decir tiene que el mundo es distinto desde que cambiamos de década. Ahora los empleados no solo trabajan desde todas partes, sino que la nube y las aplicaciones nativas en ella se han vuelto necesarias para la productividad diaria.

Los profesionales de la informática y la seguridad han descubierto que la tecnología heredada no se adapta bien a los entornos de la nube. Estos entornos son elásticos, están poco acoplados a la infraestructura y carecen de un perímetro estático en el que colocar los controles de seguridad. Además, la mayoría de las empresas combinan proveedores de servicios en la nube con el centro de datos para alojar aplicaciones y comunicar flujos de trabajo, lo que complica la tarea de obtener visibilidad consistente sobre ellos.

Esto significa que las aplicaciones y los servicios deben estar en el centro, y no en los márgenes, de la planificación de la seguridad.

La dinámica cambiante

En lugar de en las rutas de red por las que pasan las aplicaciones, los controles deben estar vinculados directamente a la identidad de las aplicaciones y los servicios que se comunican. Ya no basta con definir el software por su dirección o ruta de tráfico: los controles basados en la dirección son susceptibles de cambiar, especialmente en un entorno de nube, lo que obliga a los equipos de seguridad a crear más y más reglas para compensar.

La naturaleza efímera de la nube presenta múltiples desafíos para los equipos de seguridad. Las tecnologías de seguridad heredadas se basan en un modelo de confianza que ya no es válido en el panorama de amenazas actual. Los perímetros casi han desaparecido, el cifrado dificulta la inspección del tráfico y la clasificación de los datos distribuidos requiere abundantes recursos. Al mismo tiempo, todos estos desafíos hacen que la nube sea especialmente atractiva para los atacantes.

Quote

Las empresas que utilizan plataformas de protección de puntos finales (EPP) diseñadas exclusivamente para proteger los dispositivos de los usuarios finales (por ejemplo, ordenadores de sobremesa y portátiles) con el fin de proteger la carga de trabajo del servidor están poniendo en riesgo los datos y las aplicaciones de la empresa.

Gartner

Guía de mercado para plataformas de protección de cargas de trabajo en la nube

Amenazas comunes en la protección de la carga de trabajo

A medida que la nube ha crecido, también lo ha hecho el número de amenazas a sus datos. El panorama de amenazas actual contempla una amplia gama de ataques potentes y esquivos que, sin una protección adecuada de la carga de trabajo, pueden causar estragos fácilmente en una organización. Algunas de estas amenazas incluyen:

  • Ransomware en la nube: los entornos de nube no son inmunes a los ataques de malware y ransomware, que se infiltran en ellos para mantener como rehenes datos confidenciales a cambio de rescates.
  • Ataques a la cadena de suministro: estos ataques buscan obtener acceso implantando una puerta trasera en los productos, generalmente software, que utilizan las organizaciones objetivo. Esto permite a los atacantes entregar parches automatizados o actualizaciones de software "troyanizadas" que abren la puerta al malware y otros ataques.
  • Pérdida de datos: aunque no es una amenaza por definición, es uno de los mayores riesgos de la computación en la nube. La pérdida de datos suele deberse a puntos ciegos en la protección, lo que puede hacer que dichos datos queden expuestos, ya sea por un error del usuario o por acción maliciosa.

Además de prevenir estos y otros riesgos de la nube, la protección de la carga de trabajo ofrece otros beneficios sustanciales, que trataremos en la siguiente sección.

Ventajas de seguridad de la protección de cargas de trabajo

Al agregar controles a aplicaciones específicas, en lugar de a cada dispositivo o usuario, la protección de la carga de trabajo le ayuda a responder preguntas como:

  • ¿Qué aplicaciones se comunican?
  • ¿Cuáles deberían comunicarse?
  • ¿Los sistemas correctos se comunican entre sí sin permitir que persista el tráfico malicioso?

Al tener la respuesta a estas preguntas, puede permitir que solo las cargas de trabajo verificadas se comuniquen en su entorno de nube pública, privada o híbrida para mitigar el riesgo y ofrecer el más alto nivel de protección contra infracciones de datos. Estas son algunas de las formas en que la protección eficaz de la carga de trabajo le brinda a su equipo una ventaja de seguridad:

Complejidad reducida

El seguimiento de activos e inventarios de políticas es difícil, y la asignación del flujo de datos en una nube es complejo porque los servicios pueden cambiar de ubicación, lo que aumenta la cantidad de puntos de datos que deben supervisarse y gestionarse. La protección de la carga de trabajo simplifica el seguimiento y la protección y anticipa el impacto del cambio centrándose en las aplicaciones en lugar del entorno en el que se comunican.

Protección consistente independientemente de la ubicación

Las herramientas de seguridad tradicionales que utilizan direcciones IP, puertos y protocolos como plano de control no son adecuadas para los entornos en la nube. La naturaleza dinámica de la nube hace que estos controles de seguridad estáticos no sean fiables, ya que pueden cambiar en cualquier momento y varias veces a lo largo de un día. Para contrarrestar este problema, las plataformas de protección de cargas de trabajo designan la protección en función de las propiedades del propio software.

Evaluación continua del riesgo

Los profesionales de la seguridad saben que sus redes corporativas pueden verse vulneradas, pero la mayoría no puede cuantificar el nivel de riesgo que estas redes representan para la organización, particularmente en relación con la exposición a las aplicaciones. La solución de protección de carga de trabajo adecuada puede medir su superficie de ataque de red visible en tiempo real para comprender cuántas vías de comunicación de aplicaciones posibles están en uso.

Quote

En todos los casos, la solución debe ser compatible con la creciente necesidad de "microsegmentación" basada en la identidad (una segmentación más granular y definida por software, también conocida como segmentación de red de confianza cero).

Gartner

Guía de mercado para plataformas de protección de cargas de trabajo en la nube

Quote

Con la asignación de la topología de Zscaler Workload Segmentation, tengo una representación precisa de nuestro entorno en constante cambio y puedo eliminar las posibles rutas de ataque que ponen en riesgo los datos de los clientes.

John Arsneault, Director de información de Goulston & Storrs

Mejores prácticas para la protección de la carga de trabajo

Para proteger las cargas de trabajo, el primer paso es seleccionar la plataforma adecuada. A continuación se ofrecen algunos consejos que le ayudarán a tener un potente software de protección de cargas de trabajo:

  • Integra las prácticas de DevSecOps : una estrategia DevSecOps integra la seguridad en todo el ciclo de vida de desarrollo de software (SDLC). Esto garantizará que los equipos de DevOps no tengan que preocuparse por posibles vulnerabilidades al crear e implementar aplicaciones.
  • Utiliza la segmentación zero trust: la segmentación ya es una estrategia probada para ayudar a frenar la infiltración y el movimiento de amenazas cibernéticas, y la segmentación con políticas de zero trust servirá para eliminar dicho movimiento basándose en principios de privilegios mínimos y autenticación sensible al contexto.
  • Adopta una plataforma de protección de cargas de trabajo en la nube (CWPP): una CWPP eficaz puede ofrecer control y visibilidad consistentes para máquinas físicas, máquinas virtuales, contenedores como Kubernetes y cargas de trabajo sin servidor, dondequiera que estén.

El papel de una plataforma de protección de la carga de trabajo en la nube (CWPP)

La segmentación de la carga de trabajo es una estrategia de protección central para las cargas de trabajo, ya que elimina el acceso excesivo que permiten las redes planas. Estas redes permiten a los atacantes moverse lateralmente y comprometer las cargas de trabajo en entornos de nube y centros de datos. Al segmentar (o aislar) las aplicaciones y eliminar las vías innecesarias, cualquier compromiso potencial se limitará al activo afectado, lo que hace que se reduzca esencialmente el radio de explosión.

La segmentación de aplicaciones y cargas de trabajo, también conocida como microsegmentación, le permite crear grupos inteligentes de cargas de trabajo en función de las características de las cargas de trabajo que se comunican entre sí. Como tal, la microsegmentación no depende de redes que cambian dinámicamente ni de los requisitos comerciales o técnicos que se les imponen, lo que significa que es una seguridad más sólida y fiable.

    Cómo puede ayudar Zscaler

    Zscaler Workload Communications es una forma nueva y mucho más sencilla de segmentar cargas de trabajo de aplicaciones con un solo clic. ZWS aplica protección basada en identidad a sus cargas de trabajo, sin hacer ningún cambio en la red. Estos son los beneficios de Zscaler Workload Communications:

    • Prevención del movimiento lateral de malware y ransomware entre servidores, cargas de trabajo en la nube y escritorios, y detención de las amenazas con seguridad zero trust.
    • Microsegmentación excepcionalmente simple, impulsada por el aprendizaje automático, que automatiza la creación de políticas y la gestión continua
    • Visibilidad unificada de las aplicaciones que se comunican en las instalaciones y en nubes públicas.

    También cuantifica la exposición al riesgo en función de la criticidad del software de comunicación y utiliza el aprendizaje automático para recomendar la menor cantidad de políticas de seguridad zero trust, lo que reduce drásticamente la probabilidad de una infracción de datos y al mismo tiempo sigue siendo fácil de administrar.

    promotional background

    Proteja el tráfico de la carga de trabajo a Internet, multinube y multirregión para sus cargas de trabajo en la nube de misión crítica con Zscaler Workload Communications.

    Solicitar una demoMás información

    Recursos sugeridos

    Zscaler Workload Communications (comunicaciones de carga de trabajo de Zscaler)
    Vea nuestras soluciones
    ¿Qué es una plataforma de protección de cargas de trabajo en la nube (CWPP)?
    Lea el artículo
    Desplácese hacia la izquierda y hacia abajo con CWPP
    Leer el blog
    CNPP y protección de cargas de trabajo en la nube
    01 / 02