O que é segurança de cargas de trabalho na nuvem?

Por que a segurança de cargas de trabalho na nuvem é importante?

À medida que mais organizações se afastam de soluções locais e adotam modelos de negócio digitais baseados em computação na nuvem, seus dados e aplicativos migram para a nuvem por meio de provedores como AWS, Microsoft Azure e Google Cloud. Essa migração apresenta desafios na proteção dos dados em trânsito entre aplicativos e SaaS conforme eles se comunicam em ambientes de nuvem e data centers diferentes, todos conectados pela internet.

Ou seja, quando se trata da proteção de cargas de trabalho na nuvem, existem várias vulnerabilidades para solucionar. Uma solução de segurança de cargas de trabalho na nuvem permite que as organizações identifiquem, gerenciem e protejam essas cargas de trabalho para diminuir os riscos, aumentar a conformidade, garantir maior capacidade de dimensionamento aos aplicativos e melhorar a postura geral de segurança.

Como a segurança de cargas de trabalho na nuvem funciona?

A segurança de cargas de trabalho na nuvem, também conhecida como proteção de cargas de trabalho na nuvem, gira em torno da segmentação de cargas de trabalho, onde as cargas de trabalho de aplicativos são segmentadas em pedaços menores para simplificar e proteger a inspeção do tráfego.

As soluções de segurança de cargas de trabalho na nuvem permitem que as organizações descubram, monitorem e protejam contas na nuvem, instâncias de computação e armazenamento, além do plano de controle. Isso diminui a probabilidade de ocorrerem erros de configuração na implantação, possibilitando desenvolver e lançar mais aplicativos nativos da nuvem em larga escala, além de diminuir os riscos de ocorrerem problemas de segurança cibernética.

Riscos de segurança das cargas de trabalho na nuvem

Em um ambiente moderno e baseado na infraestrutura de nuvem, os aplicativos e serviços deveriam estar (mas muitas vezes não estão) no centro de uma estratégia geral de segurança. A maior parte do tráfego de um ambiente na nuvem se desloca no eixo leste-oeste (dentro do ambiente), e os controles de segurança tradicionais geralmente protegem o tráfego que se desloca no eixo norte-sul (entrando ou saindo do ambiente) por um gateway de perímetro. Portanto não é mais suficiente definir o software por sua rota de tráfego.

Os controles de segurança devem ser centrados nas cargas de trabalho e desvinculados da plataforma na nuvem. É crucial afastar os controles de acesso e as permissões dos caminhos de rede pelos quais os aplicativos trafegam e vinculá-los diretamente à identidade dos aplicativos e serviços de comunicação. Não fazer isso facilita a entrada de ameaças de rede em seus sistemas na nuvem.

Por que estratégias de segurança desatualizadas são insuficientes

As ferramentas de segurança legadas funcionam com base em um modelo de confiança que não é mais relevante no cenário de ameaças atual, à medida que mais aplicativos são hospedados na nuvem e se comunicam pela internet. Os perímetros de segurança de rede estão desaparecendo, e a inspeção de tráfego está mais difícil porque quase todo o tráfego agora é criptografado.

Controles de segurança ultrapassados que não conseguem descriptografar, inspecionar e recriptografar o tráfego podem estar negligenciando ataques cibernéticos como ransomware e outros malwares. Para se defender contra esses ataques, as empresas que utilizam nuvens públicas e privadas precisam de proteção no nível das cargas de trabalho, e não apenas no nível dos terminais.

Principais requisitos de uma plataforma de segurança de cargas de trabalho na nuvem

Vamos explorar as estratégias necessárias para obter uma segurança robusta de cargas de trabalho na nuvem.

A microssegmentação é um método de criação de zonas seguras e isoladas em um data center, rede ou ambiente na nuvem, que permite que as cargas de trabalho sejam individualmente isoladas e protegidas. Ela é projetada para oferecer particionamento granular do tráfego e melhor proteção contra ataques.

Com a microssegmentação, as equipes de segurança de TI podem moldar as configurações de segurança para diferentes tipos de tráfego, criando políticas que limitam os fluxos entre cargas de trabalho para aquelas que são explicitamente permitidas. Aplicar regras de segmentação e políticas granulares no nível das cargas de trabalho ou aplicativos pode reduzir os riscos de um invasor se deslocar de uma carga de trabalho ou aplicativo comprometido para outro sem ser detectado.

Isso não deve ser confundido com a segmentação de rede, que envolve o uso de firewalls de inspeção de estado ou firewalls de nova geração para dividir a rede em pedaços menores e mais fáceis de monitorar. Essa estratégia já foi eficaz no passado, mas tem limitações específicas para ambientes de nuvem e multinuvem.

Outra estratégia importante é o acesso à rede zero trust (ZTNA), também conhecido como perímetro definido por software (SDP). O ZTNA é obtido com um conjunto de tecnologias que opera em um modelo de confiança adaptativa, onde a confiança nunca é implícita, os usuários devem ser verificados e o acesso é concedido com base na necessidade de conhecimento e no privilégio mínimo definido por políticas granulares.

A Gartner prevê que, até 2023, 60% das empresas eliminarão gradualmente suas redes virtuais privadas (VPNs) de acesso remoto em favor do ZTNA. Isso é verdade por uma série de motivos, principalmente pela melhoria de proteção e segurança para cargas de trabalho na nuvem.

A microssegmentação e o ZTNA podem ajudar a proteger o tráfego e os aplicativos de uma organização em tempo de execução, mas usar uma plataforma de proteção de cargas de trabalho na nuvem garantirá a cobertura completa da segurança de cargas de trabalho na nuvem.

Principais benefícios da segurança de cargas de trabalho na nuvem

Essas são algumas das maneiras em que a segurança de cargas de trabalho na nuvem ajuda a diminuir os riscos e simplificar a segurança da sua organização:

Menos complexidade

Em uma arquitetura orientada a serviços, rastrear inventários de ativos e políticas é difícil, e cada alteração de instância na nuvem afeta as dependências, criando problemas de gerenciamento e disponibilidade. Além disso, o mapeamento do fluxo de dados na nuvem é complexo porque os serviços podem mudar de local, aumentando o número de pontos de dados para monitorar e gerenciar. A segurança de cargas de trabalho na nuvem simplifica o rastreamento e a proteção, antecipando o impacto das mudanças ao focar nos aplicativos, e não no ambiente.

Proteção sem falhas

As ferramentas de segurança tradicionais que utilizam endereços IP, portas e protocolos como plano de controle não são ideais para os casos de uso na nuvem. A natureza dinâmica dos serviços na nuvem faz com que esses controles de segurança estáticos sejam pouco confiáveis, pois eles podem ser alterados a qualquer momento. Para combater o problema dos controles baseados em endereço, as plataformas de segurança de cargas de trabalho na nuvem oferecem proteção consistente de cargas de trabalho e não exigem alterações de arquitetura complicadas.

Avaliação de riscos contínua

A maior parte dos profissionais de segurança sabe que suas redes corporativas podem ser comprometidas, mas a maioria deles não sabe quantificar os riscos, especialmente aqueles relacionados à exposição de aplicativos. As soluções de segurança de cargas de trabalho na nuvem podem automaticamente medir sua superfície de ataque de rede visível para entender quantos caminhos de comunicação de aplicativos possíveis estão em uso, quantificar a exposição a riscos com base na importância do software de comunicação e recomendar o menor número de políticas de segurança para reduzir as chances de sofrer uma violação de dados.

Práticas recomendadas de segurança de cargas de trabalho na nuvem

Ao selecionar uma plataforma de segurança de cargas de trabalho na nuvem, certifique-se de que ela pode:

• Proteger as cargas de trabalho desde o desenvolvimento até a execução e permanecer alinhada com o DevOps
• Proteger a conectividade das cargas de trabalho para a internet, data center e outros aplicativos
• Ser executada em uma arquitetura zero trust para todos os usuários e cargas de trabalho de maneira consistente

Por fim, é preciso garantir que a plataforma de segurança de cargas de trabalho na nuvem possa ajudar sua equipe de segurança a responder essas perguntas:

• Quais aplicativos estão se comunicando?
• Quais aplicativos deveriam estar se comunicando?
• Os sistemas corretos estão conversando entre si sem permitir que o tráfego malicioso persista?

As atuais cargas de trabalho na nuvem precisam de uma segurança que ofereça cobertura zero trust abrangente e simplifique o gerenciamento do DevOps e SecOps. Você precisa de uma plataforma comprovada, desenvolvida na nuvem, para a nuvem — uma plataforma que apenas a Zscaler pode fornecer.

Como a Zscaler protege as cargas de trabalho na nuvem

A Zscaler Workload Segmentation™ (ZWS™) é uma nova maneira de segmentar as cargas de trabalho dos aplicativos. Com apenas um clique, você pode melhorar a segurança ao permitir que a ZWS revele os riscos e aplique proteções baseadas na identidade às suas cargas de trabalho — sem fazer qualquer alteração na rede.

A ZWS oferece proteção sem falhas, com políticas que automaticamente se adaptam às mudanças de ambiente, eliminando sua superfície de ataque de rede. Além disso, a Zscaler Workload Segmentation é baseada em API, o que significa que ela pode se integrar às ferramentas de segurança e processos de DevOps existentes, permitindo a segmentação automática com apenas um clique.

Baseada no zero trust, a Zscaler permite que apenas cargas de trabalho verificadas se comuniquem em ambientes de nuvem pública, privada ou híbrida, mitigando os riscos e proporcionando os mais altos níveis de proteção contra violações de dados.

A Zscaler Workload Segmentation inclui:

Proteção baseada na identidade do software

A ZWS vai além dos endereços de rede para verificar a identidade segura do software de aplicativo e cargas de trabalho de comunicação em nuvens públicas ou privadas, nuvens híbridas, data centers locais ou ambientes de contêiner.

Mecanismo de automatização de políticas

A ZWS utiliza aprendizado de máquina para automatizar todo o ciclo de vida das políticas de microssegmentação e proteção de cargas de trabalho. Não há necessidade de criar políticas manualmente durante a implantação ou operações em progresso. A segmentação de cargas de trabalho recomenda políticas novas ou atualizadas quando aplicativos são alterados ou adicionados.

Visibilidade e medição da superfície de ataque

A ZWS cria automaticamente uma topologia de aplicativo em tempo real e um mapa de dependência até o nível do processo. Depois disso, ela destaca os caminhos de aplicativos necessários e os compara aos caminhos de rede totais disponíveis, recomendando políticas para minimizar a superfície de ataque e proteger o que é necessário.