Wiz
Tutti gli articoli

Che cosa è CWPP? [Cloud Workload Protection Platform]

Team di esperti Wiz
7 minuti di lettura
Guida a Container SecurityProva Wiz CWPP

Che cos'è una piattaforma di protezione dei carichi di lavoro nel cloud?

Una piattaforma di protezione dei carichi di lavoro cloud (CWPP) è una soluzione di sicurezza che fornisce monitoraggio continuo delle minacce e protezione per i carichi di lavoro cloud in diversi tipi di ambienti cloud. CWPP protegge i carichi di lavoro cloud in esecuzione su server privati ​​virtualizzati e infrastrutture cloud pubbliche, data center on-premise e piattaforme di carichi di lavoro serverless come AWS Lambda.

La sicurezza dei carichi di lavoro nel cloud , nota anche come protezione dei carichi di lavoro nel cloud, è un insieme di controlli di sicurezza volti a proteggere i carichi di lavoro basati sul cloud.

È questa protezione completa che rende CWPP un gradino sopra altre soluzioni di sicurezza informatica. Come spiega Gartner, CWPP assume il ruolo di guardiano per i tuoi carichi di lavoro " indipendentemente dalla posizione ".

The Forrester Wave™: sicurezza del carico di lavoro nel cloud, primo trimestre 2024

Scopri perché Forrester ha posizionato Wiz al primo posto tra le soluzioni attualmente disponibili e lo ha nominato Strong Performer.

Scarica il rapporto

Cos'è un carico di lavoro cloud? 

Un carico di lavoro cloud è una raccolta di risorse utilizzate per eseguire uno specifico processo o funzione aziendale. Queste risorse possono includere macchine virtuali, contenitori, database, applicazioni e dati. I carichi di lavoro cloud possono essere distribuiti su una varietà di piattaforme cloud, tra cui cloud pubblici, privati ​​e ambienti cloud ibridi.

Come funziona il CWPP?

CWPP combina apprendimento automatico, analisi comportamentale e difese automatizzate , il tutto lavorando insieme per garantire che i carichi di lavoro cloud siano sicuri, indipendentemente da dove vengano eseguiti. Esamina attentamente piccoli modelli e variazioni, cercando di capire cosa è normale per il tuo sistema. Con questa comprensione, è in grado di individuare qualsiasi cosa insolita che potrebbe essere una minaccia. Può immediatamente sollevare una bandiera rossa e attivare playbook di risposta per fermare una potenziale minaccia alla sicurezza prima che causi danni reali.

CWPP deve iniziare con una visibilità completa del carico di lavoro, non solo dei carichi di lavoro stessi, ma anche delle loro interconnessioni nell'ambiente

Il primo passo per un CWPP è analizzare i carichi di lavoro e trovare eventuali vulnerabilità di sicurezza. Quindi suggerisce azioni correttive per gestire queste vulnerabilità. Infine, una volta neutralizzate le minacce note, il CWPP tiene d'occhio anche le minacce che potrebbero presentarsi in produzione o durante il runtime.

Da un punto di vista operativo, CWPP semplifica la vita ai professionisti della sicurezza informatica, poiché fornisce loro un unico punto di osservazione centralizzato da cui visualizzare l'intero patrimonio tecnologico, che sia cloud, ibrido o on-premise. Invece di cambiare contesto tra più strumenti di sicurezza, i professionisti della sicurezza informatica ottengono una maggiore attenzione sui problemi chiave che devono essere affrontati nell'intero panorama dei loro sistemi software.

Suggerimento professionale

Consiglio da professionista Questo team di Wiz Research ha scoperto che il 58% degli ambienti cloud ha almeno un carico di lavoro esposto pubblicamente con una chiave cloud a lungo termine in chiaro archiviata al suo interno. Ciò aumenta notevolmente il rischio di movimento laterale nella VPC e tra le VPC.

Saperne di più

Ulteriori informazioni

Vantaggi CWPP

Esploriamo i principali vantaggi attraverso i quali CWPP consente alle organizzazioni di difendersi da potenziali vulnerabilità nell'intero stack tecnologico:

  • Visibilità spietata: CWPP ti offre una visibilità migliorata delle applicazioni basate su cloud, in modo che i tuoi team di sicurezza possano esaminare le attività, identificare anomalie e adottare misure preventive contro le minacce con precisione chirurgica. Ciò ti consente di rimanere al passo con i potenziali rischi per la sicurezza in tempo reale e di salvaguardare in modo proattivo i dati sensibili e le applicazioni critiche.

  • Rilevamento proattivo delle minacce: il rilevamento delle minacce in tempo reale di CWPP riconosce e analizza le minacce emergenti e garantisce che le violazioni della sicurezza vengano stroncate sul nascere. Ti dà il vantaggio di rispondere agli incidenti non appena si verificano, riducendo il potenziale danno che l'incidente può causare.

  • Applicazione delle policy: CWPP integra perfettamente le policy di sicurezza nell'intera infrastruttura cloud e garantisce la conformità agli obblighi normativi e ai protocolli di sicurezza interni.

  • Auditing e reporting di conformità: CWPP assicura l'aderenza a rigidi quadri normativi, salvaguardando i dati sensibili e assicurando la sacralità delle operazioni critiche. In questo modo, puoi stare tranquillo, sapendo che la tua organizzazione è protetta dalle conseguenze della non conformità.

Frost & Sullivan Frost Radar™: Piattaforme di protezione del carico di lavoro nel cloud, 2023

In questo rapporto Frost & Sullivan offre spunti e consigli per valutare e adottare le soluzioni CWPP per proteggere i carichi di lavoro nel cloud.

Scarica PDF

Caratteristiche principali da ricercare in un CWPP

Con il numero di soluzioni di sicurezza informatica disponibili, hai bisogno di un pratico elenco di funzionalità essenziali da ricercare in una soluzione CWPP valida. Dovrai esaminare attentamente ogni opzione e considerare compatibilità e scalabilità prima di fare la tua scelta. 

Ecco i principali elementi imprescindibili per la tua piattaforma CWPP:

Protezione runtime: il cuore e l'anima del tuo CWPP risiedono nella sua capacità di fornire una protezione in tempo reale incrollabile. Ciò significa che le minacce che tentano di infiltrarsi nei tuoi carichi di lavoro cloud vengono rapidamente rilevate e neutralizzate senza alcun ritardo. Con la protezione runtime nel tuo toolkit CWPP, puoi stare certo che i potenziali danni vengono mitigati e le tue operazioni continuano senza intoppi e senza interruzioni.

Rilevamento delle minacce e risposta agli incidenti in tempo reale : un CWPP può rilevare minacce note e sconosciute e attività sospette nei tuoi ambienti cloud, tra cui esecuzione di codice remoto, malware, crypto-mining, movimento laterale , escalation dei privilegi, container escape e altro ancora.

Ricevi avvisi in tempo reale per rafforzare la tua sicurezza contro una varietà di malware

Scansione senza agente : se le tue soluzioni CWPP la supportano, puoi dire addio alla seccatura dell'implementazione dell'agente e godere dei vantaggi della scansione senza agente nell'intero stack cloud. La scansione senza agente semplifica la gestione della sicurezza del cloud, poiché è molto più facile da usare. Inoltre, è a basso consumo di risorse, assicurando che il tuo ambiente cloud rimanga ottimizzato su larga scala.

Una soluzione senza agente dovrebbe offrire una copertura completa su risorse PaaS, macchine virtuali, contenitori, funzioni senza server o dati sensibili archiviati

Gestione delle vulnerabilità: la valutazione delle vulnerabilità di un CWPP dovrebbe dare priorità alle vulnerabilità in base alla loro gravità, sfruttabilità e valore delle risorse che influenzano. Ciò aiuta le organizzazioni a concentrarsi sulle vulnerabilità che rappresentano il rischio maggiore per la loro organizzazione.

Integrazione CI/CD: per una sicurezza cloud rafforzata in ogni fase del ciclo di vita dello sviluppo software (SDLC), l'integrazione fluida del CWPP nella pipeline di integrazione continua e distribuzione continua (CI/CD) è un must. Intrecciando misure di sicurezza in ogni fase del processo di sviluppo, crei applicazioni che resistono a potenziali vulnerabilità.

Le integrazioni predefinite consentono ai team di sicurezza di creare flussi di lavoro automatizzati per indirizzare rapidamente i problemi ai team giusti per la risoluzione

Valutazioni di conformità: una soluzione CWPP completa dovrebbe anche valutare continuamente i carichi di lavoro in tutti i framework di conformità. I ​​risultati dovrebbero essere compilati in una mappa di calore di conformità per consentire ai team di sicurezza di determinare rapidamente le aree di interesse.

Esempio di mappa di calore della conformità

The Container Security Buyer's Guide

Ensure the container security solutions you're considering can deploy the full set of capabilities required to secure all your hosts, vms, containers, and serverless Functions

Download Now

CWPP contro CSPM

In generale, CWPP e CSPM sono strumenti complementari che possono essere utilizzati insieme per fornire un approccio completo alla sicurezza del cloud. I CWPP possono aiutare a proteggere i carichi di lavoro del cloud dagli attacchi, mentre i CSPM possono aiutare a prevenire configurazioni errate che possono rendere i carichi di lavoro del cloud più vulnerabili agli attacchi.

Accademia Wiz

CSPM vs. CWPP: Should You Use One or Both?

Leggi di più

Esempi di casi d'uso per CWPP

Rilevamento di attacchi senza file che prendono di mira i carichi di lavoro

Il team di ricerca Wiz ha recentemente scoperto un attacco fileless denominato PyLoose, che prende di mira i carichi di lavoro cloud utilizzando uno script Python che sfrutta la tecnica fileless di Linux memfd. Gli attacchi fileless, come PyLoose , sono particolarmente elusivi a causa della loro dipendenza dall'esecuzione basata sulla memoria e dalla funzionalità memfd di Linux, il che li rende più difficili da rilevare, investigare e attribuire.

Fortunatamente, il sensore runtime Wiz è stato in grado di rilevare comportamenti dannosi, come la consegna e l'esecuzione del payload, che si svolgono all'interno del carico di lavoro. Di seguito è riportato un esempio di rilevamento dal CWPP:

Avviso del sensore di runtime per l'esecuzione senza file (incluso PyLoose)

Consulta il blog del team di ricerca qui sotto per un'analisi dettagliata di come si è svolto l'attacco Pyloose e di come è stato rilevato.

Blog di Wiz

PyLoose: Python-based fileless malware targets cloud workloads to deliver cryptominer

Leggi di più

Un utente con privilegi eccessivi ha limitato

Immagina di vedere il servizio A accedere a un altro servizio ad alta priorità B, a cui solitamente non accede. Ti chiedi se qualcosa non va. Il tuo CWPP è in grado di darti informazioni su ogni servizio, i suoi permessi e come puoi proteggerli. 

Utilizzi la tua soluzione CWPP per scavare a fondo e scoprire che il servizio A ha accesso in lettura e scrittura al servizio B e richiede un accesso in sola lettura. Hai tutte le informazioni necessarie per ridurre i privilegi del servizio A e fornirgli un segreto dinamico con accesso in sola lettura al servizio B la volta successiva. CWPP ti fornisce questo contesto cruciale e ti consente di mettere in atto i controlli di accesso appropriati

Rilevamento della configurazione errata delle nuvole e rilevamento della deriva

La gestione efficace delle configurazioni host nelle infrastrutture applicative complesse e intricate di oggi è una sfida complessa che può portare a vulnerabilità e configurazioni errate. CWPP aiuta ad affrontare questa sfida con regole di configurazione host personalizzate .

Le regole di configurazione host personalizzate sono come una lente di ingrandimento per le scatole nere che spesso sono macchine virtuali. Queste regole identificano le configurazioni errate e consentono di ingrandire la configurazione senza dover limitare l'ambito a una risorsa specifica.

Esempio di un editor di regole personalizzato che consente di includere una varietà di criteri, dai test del contenuto dei file ai test delle autorizzazioni

Le regole di configurazione host personalizzate consentono agli utenti di creare una logica su misura che viene eseguita durante scansioni automatizzate e senza agente del carico di lavoro. Ciò significa che i comandi manuali su macchine virtuali o file di applicazione non sono più necessari, garantendo una copertura completa nell'intero cloud estate.

Le regole personalizzate possono anche essere applicate automaticamente a qualsiasi nuovo carico di lavoro e determinare se il sistema operativo o l'applicazione cloud sono configurati in modo errato. Quindi, se nel tempo la configurazione cambia a causa dell'intervento dell'utente o di intenti malevoli, un CWPP controllerà le modifiche e ti avviserà se c'è una deriva della configurazione .

Il CWPP è solo una parte dell'equazione

Nel panorama del cloud in continua evoluzione, non puoi sottovalutare l'importanza dei CWPP. Con CWPP al tuo fianco, ottieni un'ampia visibilità e un rilevamento proattivo delle minacce nei tuoi carichi di lavoro, ma la sicurezza del cloud non si ferma qui.

Una strategia olistica di sicurezza cloud prevede una combinazione di soluzioni cloud tra cui:

  • CWPP per proteggere i carichi di lavoro end-to-end

  • Gestione dei diritti dell'infrastruttura cloud (CIEM) per gestire le autorizzazioni su larga scala

  • Gestione della postura di sicurezza del cloud ( CSPM )  per la gestione sicura della configurazione e delle risorse

Insieme, questa combinazione di soluzioni è definita piattaforma di protezione delle applicazioni cloud-native (CNAPP) . Adottare una moderna soluzione CNAPP può aiutarti a tenere il passo con il panorama cloud in rapida evoluzione e la complessità di un panorama tecnologico frammentato.

Per scoprire di persona come una soluzione CNAPP consolida i vantaggi dei prodotti singoli in un'unica piattaforma, programma una demo con i nostri esperti di prodotto Wiz.

Proteggi i tuoi carichi di lavoro, dalla fase di compilazione a quella di esecuzione

Scopri perché i CISO delle aziende in più rapida crescita proteggono il loro cloud con Wiz.

Richiedi una demo 

CWPP FAQs