O que é proteção de cargas de trabalho?

Por que a proteção de cargas de trabalho é importante?

Os aplicativos na nuvem se tornaram fundamentais para as operações das empresas, e seria difícil para os funcionários trabalhar sem eles. Para aumentar a produtividade dos departamentos, as empresas estão adotando serviços na nuvem, como infraestruturas de nuvem, de fornecedores como Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform. É comum que as organizações utilizem serviços de SaaS, PaaS e IaaS de fornecedores diferentes, criando um ambiente multinuvem.

À medida que as organizações de todo o mundo migraram suas operações de data centers locais para a nuvem, a proteção de cargas de trabalho na nuvem se tornou uma das principais prioridades das equipes de segurança.

Foco em segurança

Os provedores de serviços na nuvem mencionados acima (especialmente os maiores) possuem robustos recursos integrados de segurança cibernética, e costumam promover suas infraestruturas seguras como uma vantagem competitiva. No entanto, esses provedores de nuvem utilizam modelos de responsabilidade compartilhada, em que os provedores de nuvem são responsáveis pela segurança da própria infraestrutura na nuvem, enquanto seus clientes têm responsabilidade pelo conteúdo na nuvem e o que está sendo transmitido — ou seja, os aplicativos, cargas de trabalho e dados.

Para esse fim, há no mercado uma diversidade de soluções de segurança para proteção de cargas de trabalho em trânsito de e para a nuvem. Elas se tornaram cada vez mais populares, à medida que ficou claro que as arquiteturas de segurança tradicionais não conseguem acompanhar as ameaças modernas. Para entender os motivos disso, vamos brevemente analisar como as cargas de trabalho eram protegidas anteriormente e como suas necessidades de proteção mudaram com o passar do tempo.

Como tradicionalmente protegíamos nossas cargas de trabalho

As tecnologias legadas baseadas em rede, como firewalls e máquinas virtuais, ofereciam proteção adequada às cargas de trabalho quando a empresa operava em ambientes locais e as equipes de TI tinham um volume de dados muito menor para gerenciar. Esses métodos se mantiveram relativamente estáveis porque os ataques cibernéticos não eram tão avançados ou intrusivos como são agora e, além disso, o uso de aplicativos na nuvem ainda não era tão difundido.

Não é preciso dizer que o mundo se transformou desde a virada da década. Agora, os funcionários trabalham de qualquer lugar e a nuvem e os aplicativos nativos da nuvem se tornaram necessários para a produtividade diária.

Os profissionais de TI e segurança descobriram que a tecnologia legada não é adequada para ambientes na nuvem. Esses ambientes são elásticos, superficialmente acoplados à infraestrutura e não possuem um perímetro estático para posicionar os controles de segurança. Além disso, a maioria das empresas utiliza uma combinação de provedores de serviços na nuvem e data centers para hospedar aplicativos e comunicar cargas de trabalho, complicando a tarefa de obter visibilidade consistente sobre elas.

Isso significa que os aplicativos e serviços precisam estar no centro, e não nas margens, do planejamento de segurança.

A dinâmica em mudança

Os controles devem ser vinculados diretamente à identidade dos aplicativos e serviços de comunicação, e não aos caminhos de rede que os aplicativos percorrem. Definir o software por seu endereço ou rota de tráfego não é mais suficiente — controles baseados em endereço são suscetíveis a alterações, especialmente em um ambiente de nuvem, e forçam as equipes de segurança a criar cada vez mais regras para compensar isso.

A natureza efêmera da nuvem apresenta vários desafios para as equipes de segurança. As tecnologias de segurança legadas são baseadas em um modelo de confiança que não é mais válido no cenário de ameaças atual. Os perímetros praticamente desapareceram, a criptografia dificulta a inspeção do tráfego e a classificação de dados distribuídos exige muitos recursos. Ao mesmo tempo, todos esses desafios tornam a nuvem bastante atraente aos invasores.

Ameaças comuns na proteção de cargas de trabalho

À medida que a nuvem cresceu, o número de ameaças aos seus dados cresceu com ela. O cenário atual de ameaças possui uma ampla variedade de ataques poderosos e elusivos que, sem uma proteção de cargas de trabalho adequada, podem facilmente causar estragos em uma organização. Algumas dessas ameaças incluem:

• Ransomware na nuvem: os ambientes na nuvem não são imunes a ataques de malware e ransomware, que se infiltram nesses ambientes para sequestrar dados sigilosos em troca de pagamentos de resgate.
• Ataques à cadeia de suprimentos: esses ataques buscam obter acesso implantando backdoors em produtos, geralmente softwares, que as organizações atacadas utilizam. Isso permite aos invasores distribuir correções automatizadas ou atualizações de software com trojans, abrindo as portas para ataques de malware e de outros tipos.
• Perda de dados: embora não seja uma “ameaça” por definição, esse é um dos maiores riscos da computação na nuvem. A perda de dados é geralmente causada por pontos cegos na proteção, o que pode levar à exposição desses dados, seja por erro do usuário ou por atos maliciosos.

Além de evitar esses e outros riscos na nuvem, a proteção de cargas de trabalho oferece outros benefícios importantes que abordaremos na próxima seção.

Benefícios de segurança da proteção de cargas de trabalho

Ao adicionar controles em torno de aplicativos específicos, e não em torno de cada dispositivo ou usuário, a proteção de cargas de trabalho ajuda a responder essas perguntas:

• Quais aplicativos estão se comunicando?
• Quais aplicativos deveriam estar se comunicando?
• Os sistemas corretos estão conversando entre si sem permitir que o tráfego malicioso persista?

Com conhecimento sobre essas questões, é possível permitir que apenas cargas de trabalho verificadas se comuniquem em seus ambientes de nuvem públicos, privados e híbridos, reduzindo os riscos e oferecendo o mais alto nível de proteção contra violação de dados. Essas são algumas das vantagens de segurança que uma proteção de cargas de trabalho eficaz oferece à sua equipe:

Menos complexidade

Rastrear ativos e inventários de políticas é uma tarefa difícil, e o mapeamento do fluxo de dados na nuvem é complexo, pois os serviços podem mudar de local, aumentando o número de pontos de dados que devem ser monitorados e gerenciados. A proteção de cargas de trabalho simplifica o rastreamento e a proteção, além de antecipar o impacto causado por mudanças ao focar nos aplicativos, e não no ambiente, em que elas estão se comunicando.

Proteção consistente, independentemente do local

As ferramentas tradicionais de segurança que utilizam endereços IP, portas e protocolos como plano de controle não são adequadas para ambientes na nuvem. A natureza dinâmica da nuvem torna esses controles de segurança estáticos não confiáveis, pois eles podem ser alterados a qualquer momento e por diversas vezes ao longo de um dia. Para combater esse problema, as plataformas de proteção de cargas de trabalho designam a proteção com base nas propriedades do próprio software.

Avaliação de riscos contínua

Os profissionais de segurança sabem que suas redes corporativas são vulneráveis ao comprometimento, mas a maioria deles não sabe quantificar o nível de risco que essas redes representam para a organização, especialmente em relação à exposição de aplicativos. A solução de proteção de cargas de trabalho correta pode medir sua superfície de ataque de rede visível em tempo real para entender quantos caminhos de comunicação de aplicativos possíveis estão em uso.

Práticas recomendadas para a proteção de cargas de trabalho

A proteção de cargas de trabalho começa com a escolha da plataforma certa. Essas são algumas dicas para ajudar a guiar você em direção a um software de proteção de cargas de trabalho potente:

• Integrar práticas de DevSecOps: uma estratégia de DevSecOps integra a segurança em todo o ciclo de vida de desenvolvimento do software (SDLC). Isso garantirá que as equipes de DevOps não precisem se preocupar com possíveis vulnerabilidades ao desenvolver e implantar aplicativos.
• Usar segmentação com zero trust: a segmentação já é uma estratégia comprovada para ajudar a conter a infiltração e movimentação de ameaças cibernéticas, e a segmentação com políticas de zero trust servirá para eliminar essas movimentações com base nos princípios de privilégio mínimo e da autenticação sensível ao contexto.
• Adotar uma plataforma de proteção de cargas de trabalho na nuvem (CWPP): uma CWPP eficaz pode oferecer controle e visibilidade consistentes para máquinas físicas e virtuais, contêineres como Kubernetes e cargas de trabalho sem servidor, onde quer que elas estejam.

A função de uma plataforma de proteção de cargas de trabalho na nuvem (CWPP)

A segmentação de cargas de trabalho é uma estratégia de proteção fundamental para as cargas de trabalho, pois elimina os acessos em excesso que as redes planas permitem. As redes planas permitem que os invasores movimentem-se lateralmente e comprometam as cargas de trabalho em ambientes na nuvem e em data centers. Ao segmentar ou isolar aplicativos e eliminar rotas desnecessárias, qualquer possível comprometimento será contido ao ativo afetado, essencialmente reduzindo o “raio da explosão”.

A segmentação de aplicativos e cargas de trabalho, também conhecida como microssegmentação, permite criar grupos inteligentes de cargas de trabalho com base nas características das cargas de trabalho que se comunicam entre si. Dessa forma, a microssegmentação não depende de redes que mudam dinamicamente nem de requisitos técnicos ou comerciais colocados nelas, o que significa que ela oferece uma segurança mais robusta e confiável.

Como a Zscaler pode ajudar

A Zscaler Workload Segmentation (ZWS) é uma maneira nova e muito mais simples de segmentar as cargas de trabalho dos aplicativos com um clique. A ZWS aplica às cargas de trabalho proteção baseada na identidade sem fazer qualquer alteração na rede. A Zscaler Workload Segmentation oferece:

• Evita a movimentação lateral de malware e ransomware em servidores, cargas de trabalho na nuvem e desktops, além de impedir ameaças com a segurança zero trust
• Microssegmentação simples exclusiva, promovida pelo aprendizado de máquina, que automatiza a criação de políticas e o gerenciamento contínuo
• Visibilidade unificada sobre a comunicação de aplicativos locais e em nuvens públicas

Ela também quantifica a exposição a riscos com base na importância do software que se comunica e utiliza aprendizado de máquina para recomendar o menor número de políticas de segurança zero trust, reduzindo drasticamente as suas chances de sofrer uma violação de dados enquanto mantém a facilidade de gerenciamento.