Recursos > Glosario de términos de seguridad > ¿Qué es la protección de la carga de trabajo

¿Qué es la protección de cargas de trabajo?

¿Qué es la protección de cargas de trabajo?

En el mundo de la seguridad, todos están familiarizados con los conceptos de protección frente a amenazas cibernéticas y protección de datos. Tanto si estas protecciones se ofrecen desde una plataforma de seguridad en la nube como si se gestionan mediante dispositivos en un centro de datos o en una puerta de enlace regional, básicamente impiden que amenazas entren en la red y evitan que se filtren datos confidenciales. La protección de la carga de trabajo es un tipo diferente de control de seguridad que tiene que ver con proteger las comunicaciones que se producen entre las aplicaciones, como el software ERP en una nube que se comunica con una base de datos en otra, una aplicación de línea de negocio que se comunica con el software financiero y las herramientas de colaboración o una aplicación de gestión de proyectos que intercambia datos con el software CAD. Las posibilidades son infinitas.

Las aplicaciones en la nube se han vuelto fundamentales para las operaciones comerciales y a los empleados les resultaría difícil hacer su trabajo si no tuviesen acceso a ellas. Según cambia el equilibrio en favor de lo nativo de la nube y no de lo local, la protección de la carga de trabajo en la nube se está convirtiendo en una prioridad principal para los equipos de seguridad.

Los proveedores de servicios en la nube (especialmente los de mayor tamaño) tienen una seguridad sólida e integrada y a menudo promueven sus infraestructuras seguras como una ventaja competitiva. Pero, aunque los proveedores de nube son responsables de la seguridad de la nube, los clientes de la nube (bajo el modelo de responsabilidad compartida) tienen la responsabilidad de lo que reside en la nube y lo que se está comunicando, es decir, sus aplicaciones, cargas de trabajo y datos.

Por qué los controles tradicionales no funcionan para las aplicaciones en la nube

Las tecnologías heredadas basadas en la red no se implementan bien en los entornos de la nube, que son elásticos, están poco vinculados a la infraestructura y carecen de un perímetro estático en el que colocar los controles de seguridad. Además, la mayoría de las empresas utilizan una combinación de múltiples proveedores de servicios en la nube y el centro de datos para alojar aplicaciones, lo que complica su capacidad para obtener una visibilidad coherente de las cargas de trabajo. Por sí mismas, deben situar las aplicaciones y los servicios en el centro del plan de seguridad. 

En lugar de en las rutas de red por las que pasan las aplicaciones, los controles deben estar vinculados directamente a la identidad de las aplicaciones y los servicios que se comunican. Ya no basta con definir el software por su dirección o ruta de tráfico. Esto se debe a que los controles basados en direcciones son susceptibles de cambio, especialmente en un entorno de nube, lo que significa que los equipos de seguridad deben crear un número creciente de reglas para compensar el cambio continuo.

La naturaleza efímera de la nube presenta múltiples desafíos para los equipos de seguridad. Las tecnologías de seguridad heredadas se basan en un modelo de confianza que ya no es válido en el panorama de amenazas actual. Los perímetros han desaparecido, el cifrado dificulta la inspección del tráfico y la clasificación de los datos distribuidos requiere abundantes recursos. Todos estos desafíos hacen que la nube sea especialmente atractiva para los atacantes.

Las empresas que utilizan plataformas de protección de puntos finales (EPP) diseñadas exclusivamente para proteger los dispositivos de los usuarios finales (por ejemplo, ordenadores de sobremesa y portátiles) con el fin de proteger la carga de trabajo del servidor están poniendo en riesgo los datos y las aplicaciones de la empresa.

Gartner, Guía de mercado para plataformas de protección de carga de trabajo en la nube

La protección a nivel de aplicación ofrece múltiples ventajas

Al añadir controles alrededor de aplicaciones específicas, en lugar de alrededor de cada dispositivo o usuario, la protección de la carga de trabajo le ayuda a responder preguntas como las siguientes: ¿Qué aplicaciones se están comunicando? ¿Cuáles deben comunicarse? ¿Están hablando entre sí los sistemas correctos sin permitir que el tráfico malicioso permanezca? 

Al conocer la respuesta a estas cuestiones, puede permitir que únicamente las cargas de trabajo verificadas se comuniquen en su entorno de nube pública, privada o híbrida, mitigando el riesgo y ofreciendo el máximo nivel de protección frente a la infracción de datos.

 

Menor complejidad

El seguimiento de activos e inventarios de políticas es difícil, y las dependencias se ven afectadas cada vez que cambia una instancia en la nube, lo que puede generar problemas de gestión y disponibilidad. Además, la asignación de flujos de datos en una nube es un proceso complejo porque los servicios pueden cambiar de ubicación, lo que aumenta el número de puntos de datos que se deben supervisar y administrar. 

En cambio, la protección de la carga de trabajo simplifica el seguimiento y la protección, y anticipa el impacto del cambio al centrarse en las aplicaciones y no en el entorno en el que se comunican. 

 

Protección consistente independientemente de la ubicación

Las herramientas de seguridad tradicionales que utilizan direcciones IP, puertos y protocolos como plano de control no son adecuadas para los entornos en la nube. La naturaleza dinámica de la nube hace que estos controles de seguridad estáticos no sean fiables, ya que pueden cambiar en cualquier momento y varias veces a lo largo de un día. Para contrarrestar el problema de los controles basados en las direcciones, la protección de la carga de trabajo identifica criptográficamente el software basándose en propiedades inmutables que los atacantes no pueden explotar. 

Con las políticas centradas en la identidad y la confianza cero de Zscaler, puede proporcionar una protección consistente de la carga de trabajo sin ningún tipo de cambio arquitectónico engorroso. También puede aplicar las políticas de segmentación de aplicaciones recomendadas con un solo clic, y todas sus cargas de trabajo basadas en la nube estarán protegidas de manera uniforme e independiente de su ubicación de la red.

 

Evaluación continua de los riesgos

La mayoría de los profesionales de la seguridad saben que sus redes corporativas son vulnerables y pueden verse comprometidas, pero la mayoría no puede cuantificar el nivel de riesgo que estas redes representan para la organización, particularmente en relación con la exposición a las aplicaciones. Zscaler mide automáticamente la superficie de ataque visible de su red para entender cuántas posibles vías de comunicación de aplicaciones están en uso. También cuantifica la exposición al riesgo en función de cuán crítico es el software que se comunica, y utiliza el aprendizaje automático para recomendar el menor número de políticas de seguridad de confianza cero, lo que reduce drásticamente la probabilidad de que se produzca una filtración de datos, a la vez que resulta fácil de gestionar.

En todos los casos, la solución debe ser compatible con la creciente necesidad de "microsegmentación" basada en la identidad (una segmentación más granular y definida por software, también conocida como segmentación de red de confianza cero).

Gartner, Guía de mercado para plataformas de protección de carga de trabajo en la nube

Con la asignación de la topología de Zscaler Workload Segmentation, tengo una representación precisa de nuestro entorno en constante cambio y puedo eliminar las posibles rutas de ataque que ponen en riesgo los datos de los clientes.

John Arsneault, CIO de Goulston & Storrs

El papel de la segmentación en la protección de la carga de trabajo

La segmentación de la carga de trabajo es una estrategia de protección central para las cargas de trabajo, ya que elimina el acceso excesivo que permiten las redes planas. Estas redes permiten a los atacantes moverse lateralmente y comprometer las cargas de trabajo en entornos de nube y centros de datos. Al segmentar (o aislar) las aplicaciones y eliminar las vías innecesarias, cualquier compromiso potencial se limitará al activo afectado, lo que hace que se reduzca esencialmente el "radio de explosión".

La segmentación de aplicaciones y cargas de trabajo (también conocida como microsegmentación) le permite crear grupos inteligentes de cargas de trabajo basados en las características de las cargas de trabajo que se comunican entre sí. Como tal, la microsegmentación no depende de las redes que cambian dinámicamente ni de los requisitos empresariales o técnicos que se les imponen, lo que significa que es una seguridad más sólida y fiable.

Zscaler Workload Segmentation (ZWS) es una forma nueva y mucho más sencilla de segmentar cargas de trabajo de aplicaciones con un solo clic. ZWS aplica protección basada en la identidad a sus cargas de trabajo, sin ningún cambio en la red. Zscaler Workload Segmentation proporciona lo siguiente:

  • Evita el movimiento lateral del malware y el ransomware en los servidores, las cargas de trabajo en la nube y los ordenadores de sobremesa, y detiene las amenazas con una seguridad de confianza cero.
  • Microsegmentación genuinamente sencilla, impulsada por el aprendizaje automático, que automatiza la creación de políticas y la gestión continua.
  • Visibilidad unificada de las aplicaciones que se comunican en sus instalaciones y en las nubes públicas

Zscaler Workload Segmentation

Más información
Zscaler Workload Segmentation

Confianza Cero con un solo clic

Leer la hoja de datos
Confianza Cero con un solo clic

Goulston & Storrs elevan la seguridad de los datos de los clientes con Zscaler Workload Segmentation

Lea el estudio de caso
Goulston & Storrs elevan la seguridad de los datos de los clientes con Zscaler Workload Segmentation