Was ist CWPP? [Cloud Workload Protection Platform]

Eine Cloud Workload Protection Platform (CWPP) ist eine Sicherheitslösung, die kontinuierliche Bedrohungsüberwachung und Schutz für Cloud-Workloads in verschiedenen Arten von Cloud-Umgebungen bietet.

Wiz Expertenteam
6 Minuten Lesezeit

Was ist eine Cloud Workload Protection Platform?

Eine Cloud Workload Protection Platform (CWPP) ist eine Sicherheitslösung, die kontinuierliche Bedrohungsüberwachung und Schutz für Cloud-Workloads in verschiedenen Arten von Cloud-Umgebungen bietet. CWPP schützt Cloud-Workloads, die auf virtualisierten privaten Servern und öffentlicher Cloud-Infrastruktur, lokalen Rechenzentren und serverlosen Workload-Plattformen wie AWS Lambda ausgeführt werden.

Cloud-Workload-Sicherheit , auch als Cloud-Workload-Schutz bekannt, ist eine Reihe von Sicherheitskontrollen zum Schutz Cloud-basierter Workloads.

Es ist dieser umfassende Schutz, der CWPP anderen Cybersicherheitslösungen überlegen macht. Wie Gartner erklärt, übernimmt CWPP die Rolle eines Wächters für Ihre Workloads „ unabhängig vom Standort “.

Was ist eine Cloud-Workload? 

Eine Cloud-Workload ist eine Sammlung von Ressourcen, die zur Ausführung eines bestimmten Geschäftsprozesses oder einer bestimmten Funktion verwendet werden. Diese Ressourcen können virtuelle Maschinen, Container, Datenbanken, Anwendungen und Daten umfassen. Cloud-Workloads können auf einer Vielzahl von Cloud-Plattformen bereitgestellt werden, darunter öffentliche, private Clouds und Hybrid-Cloud-Umgebungen.

Wie funktioniert CWPP?

CWPP kombiniert maschinelles Lernen, Verhaltensanalyse und automatisierte Abwehrmaßnahmen , die alle zusammenarbeiten, um sicherzustellen, dass Ihre Cloud-Workloads sicher sind, egal wo sie ausgeführt werden. Es untersucht sorgfältig winzige Muster und Variationen und versucht herauszufinden, was für Ihr System normal ist. Mit diesem Verständnis ist es in der Lage, alles Ungewöhnliche zu erkennen, das eine Bedrohung darstellen könnte. Es kann sofort eine Warnflagge hissen und Reaktions-Playbooks aktivieren, um eine potenzielle Sicherheitsbedrohung zu stoppen, bevor sie echten Schaden anrichtet.

CWPP muss mit der vollständigen Workload-Transparenz beginnen, nicht nur der Workloads selbst, sondern auch ihrer Verbindungen in der gesamten Umgebung.

Der erste Schritt eines CWPP besteht darin, Workloads zu scannen und etwaige Sicherheitslücken zu finden. Anschließend schlägt es Abhilfemaßnahmen vor, um diese Schwachstellen zu beheben. Sobald bekannte Bedrohungen neutralisiert sind, hält CWPP außerdem nach Bedrohungen Ausschau, die in der Produktion oder während der Laufzeit auftreten können.

Aus betrieblicher Sicht erleichtert CWPP Cybersicherheitsexperten das Leben, da es ihnen einen einzigen zentralen Aussichtspunkt bietet, von dem aus sie ihren gesamten Technologiebestand im Blick haben – egal, ob Cloud, Hybrid oder vor Ort. Anstatt zwischen mehreren Sicherheitstools hin- und herwechseln zu müssen, können sich Cybersicherheitsexperten besser auf die Kernprobleme konzentrieren, die in der gesamten Landschaft ihrer Softwaresysteme angegangen werden müssen.

Profi-Tipp

Dieses Wiz Research-Team hat herausgefunden, dass 58 % der Cloud-Umgebungen mindestens eine öffentlich zugängliche Workload mit einem darin gespeicherten langfristigen Cloud-Schlüssel im Klartext haben . Dies erhöht das Risiko einer lateralen Bewegung im VPC und zwischen VPCs erheblich.

Mehr erfahren

Weitere Informationen

CWPP-Vorteile

Lassen Sie uns die wichtigsten Vorteile untersuchen, durch die CWPP Unternehmen dabei unterstützt, potenzielle Schwachstellen in ihrem gesamten Technologie-Stack durchgängig abzuwehren:

  • Unerschütterliche Transparenz: CWPP bietet Ihnen eine verbesserte Transparenz von Cloud-basierten Anwendungen, sodass Ihre Sicherheitsteams Aktivitäten genau untersuchen, Anomalien identifizieren und mit chirurgischer Präzision vorbeugende Maßnahmen gegen Bedrohungen ergreifen können. So behalten Sie potenzielle Sicherheitsrisiken in Echtzeit im Blick und können sensible Daten und kritische Anwendungen proaktiv schützen.

  • Proaktive Bedrohungserkennung: Die Echtzeit-Bedrohungserkennung von CWPP erkennt und analysiert neu auftretende Bedrohungen und sorgt dafür, dass Sicherheitsverletzungen im Keim erstickt werden. Sie haben die Möglichkeit, auf Vorfälle zu reagieren, sobald sie auftreten, und so den potenziellen Schaden zu verringern, den der Vorfall verursachen kann.

  • Durchsetzung von Richtlinien: CWPP integriert Sicherheitsrichtlinien nahtlos in Ihre gesamte Cloud-Infrastruktur und gewährleistet die Einhaltung gesetzlicher Vorschriften und interner Sicherheitsprotokolle.

  • Compliance-Audits und -Reporting: CWPP gewährleistet die Einhaltung strenger gesetzlicher Rahmenbedingungen, den Schutz vertraulicher Daten und die Gewährleistung der Unversehrtheit kritischer Vorgänge. So können Sie beruhigt sein, denn Sie wissen, dass Ihr Unternehmen vor den Folgen einer Nichteinhaltung geschützt ist.

Wichtige Merkmale, auf die Sie bei einem CWPP achten sollten

Angesichts der Vielzahl der verfügbaren Cybersicherheitslösungen benötigen Sie eine praktische Liste der wesentlichen Funktionen, auf die Sie bei einer leistungsfähigen CWPP-Lösung achten sollten. Sie müssen jede Option sorgfältig prüfen und Kompatibilität und Skalierbarkeit berücksichtigen, bevor Sie Ihre Wahl treffen. 

Hier sind die wichtigsten Must-Haves für Ihre CWPP-Plattform:

Laufzeitschutz: Das Herz und die Seele Ihres CWPP liegt in seiner Fähigkeit, unerschütterlichen Echtzeitschutz zu bieten. Das bedeutet, dass Bedrohungen, die versuchen, in Ihre Cloud-Workloads einzudringen, schnell erkannt und ohne Verzögerung neutralisiert werden. Mit dem Laufzeitschutz in Ihrem CWPP-Toolkit können Sie sicher sein, dass potenzielle Schäden gemildert werden und Ihr Betrieb reibungslos und ohne Unterbrechungen weiterläuft. in your CWPP toolkit, you can rest assured that potential damage is mitigated and your operations continue smoothly without any disruptions.

Bedrohungserkennung und Reaktion auf Vorfälle in Echtzeit : Ein CWPP kann bekannte und unbekannte Bedrohungen und verdächtige Aktivitäten in Ihren Cloud-Umgebungen erkennen, darunter Remotecodeausführung, Malware, Krypto-Mining, Lateral Movement , Rechteausweitung, Container-Escape und mehr.

Erhalten Sie Echtzeitwarnungen, um Ihre Sicherheit gegen eine Vielzahl von Malware zu stärken

Agentenloses Scannen : Wenn Ihre CWPP-Lösungen dies unterstützen, können Sie sich vom Aufwand der Agentenbereitstellung verabschieden und die Vorteile des agentenlosen Scannens in Ihrem gesamten Cloud-Stack nutzen. Agentenloses Scannen vereinfacht die Cloud-Sicherheitsverwaltung, da der Einstieg viel einfacher ist. Darüber hinaus ist es ressourcenschonend und stellt sicher, dass Ihre Cloud-Umgebung im erforderlichen Maßstab optimiert bleibt.

Eine agentenlose Lösung sollte eine vollständige Abdeckung aller PaaS-Ressourcen, virtuellen Maschinen, Container, serverlosen Funktionen oder gespeicherten vertraulichen Daten bieten

Schwachstellenmanagement: Die Schwachstellenanalyse eines CWPP sollte Schwachstellen nach Schweregrad, Ausnutzbarkeit und Wert der betroffenen Assets priorisieren. Dies hilft Unternehmen, sich auf die Schwachstellen zu konzentrieren, die das größte Risiko für ihr Unternehmen darstellen.

CI/CD-Integration: Für eine verstärkte Cloud-Sicherheit in jeder Phase Ihres Softwareentwicklungszyklus (SDLC) ist die nahtlose Integration Ihres CWPP in die Pipeline für kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD) ein Muss. Indem Sie Sicherheitsmaßnahmen in jeden Schritt Ihres Entwicklungsprozesses integrieren, erstellen Sie Anwendungen, die potenziellen Schwachstellen standhalten.

Vorgefertigte Integrationen ermöglichen es Sicherheitsteams, automatisierte Workflows zu erstellen, um Probleme schnell an die richtigen Teams zur Behebung weiterzuleiten.

Compliance-Bewertungen: Eine vollständige CWPP-Lösung sollte auch Ihre Arbeitslasten in allen Compliance-Frameworks kontinuierlich bewerten. Die Ergebnisse sollten in einer Compliance-Heatmap zusammengefasst werden, damit Sicherheitsteams schnell Schwerpunktbereiche bestimmen können.

Beispiel einer Compliance-Heatmap

CWPP vs. CSPM

Im Allgemeinen sind CWPPs und CSPMs ergänzende Tools, die zusammen verwendet werden können, um einen umfassenden Ansatz für die Cloud-Sicherheit bereitzustellen. CWPPs können dazu beitragen, Cloud-Workloads vor Angriffen zu schützen, während CSPMs dazu beitragen können, Fehlkonfigurationen zu verhindern, die Cloud-Workloads anfälliger für Angriffe machen können.

Beispielanwendungsfälle für CWPP

Erkennen von dateilosen Angriffen auf Workloads

Das Wiz-Forschungsteam hat kürzlich einen dateilosen Angriff namens PyLoose entdeckt, der Cloud-Workloads mithilfe eines Python-Skripts angreift, das die dateilose Linux-Technik memfd nutzt. Dateilose Angriffe wie PyLoose sind besonders schwer zu fassen, da sie auf speicherbasierter Ausführung und der Linux-Funktion memfd basieren, was ihre Erkennung, Untersuchung und Zuordnung erschwert.

Glücklicherweise konnte der Wiz-Laufzeitsensor bösartiges Verhalten erkennen, wie z. B. die Übermittlung und Ausführung von Nutzdaten, das sich innerhalb der Arbeitslast abspielt. Unten sehen Sie ein Beispiel für eine Erkennung durch das CWPP:

Runtime Sensor-Alarm für dateilose Ausführung (einschließlich PyLoose)

Sehen Sie sich unten den Blog des Forschungsteams an, um eine Schritt-für-Schritt-Analyse zum Ablauf des Pyloose-Angriffs und seiner Erkennung zu erhalten.

Ein überprivilegierter Benutzer hat

Stellen Sie sich vor, Sie sehen, wie Dienst A auf einen anderen Dienst B mit hoher Priorität zugreift, auf den er normalerweise nicht zugreift. Sie fragen sich, ob etwas nicht stimmt. Ihr CWPP kann Ihnen Einblick in jeden Dienst, seine Berechtigungen und wie Sie diese sichern können, geben. 

Sie verwenden Ihre CWPP-Lösung, um tiefer einzudringen und herauszufinden, dass Dienst A Lese- und Schreibzugriff auf Dienst B hat und nur Lesezugriff benötigt. Sie haben alle Informationen, die Sie benötigen, um die Berechtigungen von Dienst A zu reduzieren und ihm beim nächsten Mal ein dynamisches Geheimnis mit Lesezugriff auf Dienst B zuzuweisen. CWPP bietet Ihnen diesen entscheidenden Kontext und ermöglicht Ihnen die Einrichtung der richtigen Zugriffskontrollen.

Aufdecken von Cloud-Fehlkonfigurationen und Erkennen von Drift

Die effektive Verwaltung von Hostkonfigurationen in den heutigen komplexen und weitläufigen Anwendungsinfrastrukturen ist eine komplexe Herausforderung, die zu Schwachstellen und Fehlkonfigurationen führen kann. CWPP hilft bei der Bewältigung dieser Herausforderung mit benutzerdefinierten Hostkonfigurationsregeln .

Benutzerdefinierte Hostkonfigurationsregeln sind wie eine Lupe für die Blackboxes, bei denen es sich häufig um virtuelle Maschinen handelt. Diese Regeln identifizieren Fehlkonfigurationen und ermöglichen Ihnen, die Konfiguration näher zu betrachten, ohne eine bestimmte Ressource untersuchen zu müssen.

Beispiel eines benutzerdefinierten Regeleditors, der die Einbeziehung einer Vielzahl von Kriterien ermöglicht, von der Prüfung des Dateiinhalts bis hin zu Berechtigungstests

Mit benutzerdefinierten Host-Konfigurationsregeln können Benutzer maßgeschneiderte Logik erstellen, die während automatisierter Workload-Scans ohne Agenten ausgeführt wird. Dies bedeutet, dass manuelle Befehle für virtuelle Maschinen oder Anwendungsdateien nicht mehr erforderlich sind, wodurch eine umfassende Abdeckung der gesamten Cloud-Umgebung gewährleistet wird.

Benutzerdefinierte Regeln können auch automatisch auf jede neue Arbeitslast angewendet werden und feststellen, ob das Betriebssystem oder die Cloud-Anwendung falsch konfiguriert ist. Wenn sich die Konfiguration im Laufe der Zeit aufgrund von Benutzereingriffen oder böswilligen Absichten ändert, prüft ein CWPP die Änderungen und warnt Sie, wenn es zu einer Konfigurationsabweichung kommt .

CWPP ist nur ein Teil der Gleichung

In der sich ständig weiterentwickelnden Cloud-Landschaft dürfen Sie die Bedeutung von CWPPs nicht unterschätzen. Mit CWPP an Ihrer Seite erhalten Sie umfassende Transparenz und proaktive Bedrohungserkennung für Ihre Workloads – aber die Cloud-Sicherheit endet hier nicht.

Eine ganzheitliche Cloud-Sicherheitsstrategie umfasst eine Kombination aus Cloud-Lösungen, darunter:

  • CWPP zum End-to-End-Schutz von Workloads

  • Cloud Infrastructure Entitlement Management (CIEM) zur Verwaltung von Berechtigungen im großen Maßstab

  • Cloud Security Posture Management ( CSPM )  zur sicheren Verwaltung von Konfiguration und Ressourcen

Zusammen wird diese Kombination von Lösungen als Cloud-native Application Protection Platform (CNAPP) bezeichnet . Der Einsatz einer modernen CNAPP-Lösung kann Ihnen helfen, mit der sich schnell verändernden Cloud-Landschaft und der Komplexität einer fragmentierten Technologielandschaft Schritt zu halten.

Um selbst zu sehen, wie eine CNAPP-Lösung die Vorteile von Einzelprodukten auf einer Plattform konsolidiert, vereinbaren Sie eine Demo mit unseren Wiz-Produktexperten.

Sichern Sie Ihre Workloads von der Build-Zeit bis zur Laufzeit

Erfahren Sie, warum CISOs der am schnellsten wachsenden Unternehmen ihre Cloud mit Wiz sichern. Demo anfordern

Demo anfordern 

Häufig gestellte Fragen zu CWPP