Ressourcen > Sicherheit – Glossar > Was ist unter einer CWPP zu verstehen?

Was ist eine Cloud Workload Protection Platform (CWPP)?

Begriffsklärung: Cloud Workload Protection Platform

Eine Cloud Workload Protection Platform (CWPP) ist eine Workload-orientierte Sicherheitslösung zum zuverlässigen Schutz von Workloads in hybriden, Multicloud- und Rechenzentrumsumgebungen. Eine effektive CWPP gewährleistet standortübergreifend einheitliche Kontrolle und Transparenz für physische und virtuelle Maschinen, Container und serverlose Workloads.

Eine CWPP sollte bei der Bereitstellung von Workloads auf bekannte Sicherheitsrisiken scannen und sie während der Laufzeit schützen. Gewährleisten lässt sich dies durch einen mehrschichtigen Ansatz aus Lösungen zum Schutz der Systemintegrität, identitätsbasierter Mikrosegmentierung, Anwendungskontrolle, Speicherschutz, Verhaltensüberwachung, hostbasierten Intrusion-Prevention-Systemen sowie optionalem Anti-Malware-Schutz.

 

Warum ist eine CWPP wichtig?

Im Allgemeinen lassen sich netzwerkbasierte Legacy-Technologien nur schwer auf Cloud-Umgebungen übertragen. Bei der Mehrzahl der Unternehmen werden Anwendungen teils von Cloud-Anbietern, teils in eigenen Rechenzentren gehostet. Unter diesen Vorzeichen können netzwerkbasierte Lösungen kaum die erforderliche konsistente und komplette Transparenz gewährleisten. Ein zukunftsfähiges Unternehmen muss Anwendungen, Workloads und Services bei der Planung von Sicherheitsinitiativen in den Mittelpunkt stellen.

Plattformen zum Schutz von Endgeräten wurden ursprünglich für Laptops, Desktops und Mobilgeräte konzipiert. Wenn sie stattdessen zum Schutz von Cloud-Workloads verwendet werden, kann dies ein Risiko für Unternehmensdaten darstellen. Statt auf zweckentfremdete Legacy-Technologien als Behelfslösung zurückzugreifen, empfiehlt sich der Einsatz einer echten CWPP, die von Grund auf zur Absicherung von Workloads in der Cloud entwickelt wurde.

Wichtig ist auch, dass Workload-Sicherheit nicht reaktiv sein darf, sondern proaktiv sein sollte. So ist es sinnvoll, Cloud-Workloads nach Möglichkeit bei der Bereitstellung nach Sicherheitsrisiken und Fehlkonfigurationen zu scannen, die häufig ein größeres Risiko darstellen als kompromittierte Workloads.

 

Auswahlkriterien: Was sollte eine CWPP leisten können?

Zur Unterstützung des Unternehmenswachstums und Geschäftsausbaus ist eine CWPP unverzichtbar. Nicht alle der zahlreichen im Handel erhältlichen Plattformen stellen einen vollumfänglichen Funktionsumfang bereit. Beim Vergleich unterschiedlicher CWPP-Lösungen sollten Sie daher insbesondere auf folgende Punkte achten:

  • In naher Zukunft wird die Mehrzahl der Unternehmen mit hybriden Multicloud-Architekturen arbeiten. Entsprechend muss eine effektive CWPP sowohl physische Maschinen als auch VMs, Container und serverlose Workloads schützen.
  • Die CWPP sollte sich über eine zentrale Konsole und einen einzigen Satz von APIs verwalten lassen.
  • Zu einer gelungenen CWPP gehört, dass sämtliche Funktionen über APIs abrufbar sind, um die Automatisierung in Cloud-Umgebungen zu erleichtern.
  • CWPP-Anbieter sollten einen Entwicklungsplan und eine Architektur für den Schutz serverloser Workloads vorlegen können.

 

Darauf sollten Sicherheitsbeauftragte bei der Auswahl einer CWPP achten:

Über die Produktmerkmale hinaus sollten Sie sich unbedingt auch Gedanken darüber machen, wie Sie CWPP-Funktionen am effektivsten in Ihre IT-Umgebung integrieren, um zukunftsfähigen Schutz für Cloud-Workloads zu gewährleisten. Hier ein paar Empfehlungen dazu:

  • Transparenz und Kontrolle: Achten Sie darauf, konsistente Transparenz und Kontrolle über sämtliche Workloads zu behalten – unabhängig von der jeweiligen Hosting-Umgebung, Größe und Architektur.
  • Container-Schutz: Bei der Auswahl der richtigen CWPP-Lösung sollten Sie sich für einen Anbieter entscheiden, der sowohl integrierte CSPM-Funktionen (Cloud Security Posture Management) zur Erkennung riskanter Konfigurationen als auch Container-Sicherheit bereitstellt bzw. einen überzeugenden Entwicklungsplan für die Unterstützung serverloser Workloads vorlegen kann.
  • Scans und Compliance: Im Rahmen eines DevSecOps-Ansatzes sollten Scan- und Compliance-Funktionen bereits in der DevOps-Phase eingesetzt werden, und zwar insbesondere bei containerbasierter und serverloser Entwicklung und Bereitstellung auf PaaS-Basis.
  • Zero-Trust-Prinzipien: Anstelle einer auf Virenschutz basierenden Strategie sollte in Laufzeitumgebungen – zumindest im Erkennungsmodus – nach Möglichkeit ein Zero-Trust-Ansatz zum Schutz von Workloads eingesetzt werden, der Verbindungsanforderungen standardmäßig blockiert.
  • Flexibilität: Bei der Planung der Architektur sollten Sie auch Anwendungsfälle für CWPPs berücksichtigen, in denen der Einsatz von Runtime-Agents entweder nicht möglich oder nicht sinnvoll ist.

 

CWPP von Zscaler

Als Schlüsselkomponente der Zscaler-Plattform stellt Zscaler Cloud Protection unverzichtbare Services zum Schutz von Workloads bereit:

  • Cloud Security Posture Management: Falsch konfigurierte Cloud-Anwendungen zählen zu den Hauptursachen von Datenverlusten in der Cloud. Zscaler CSPM erkennt und korrigiert Fehlkonfigurationen von Anwendungen in IaaS-, PaaS- und SaaS-Umgebungen.
  • Zero Trust Network Access (ZTNA): Durch Exposition von Usern und Anwendungen im Internet, z. B. beim Einsatz von VPNs, erhöht sich das Risiko, dass Ihr Netzwerk von Bedrohungsakteuren erkannt und angegriffen wird: Jede Firewall bzw. jedes Tool, die/das im Internet sichtbar ist, vergrößert die Angriffsfläche Ihrer Organisation. Zscaler Private Access™ ist ein ZTNA-Service, der Ihren Mitarbeitern, Geschäftspartnern und externen Dritten sicheren Zugriff auf Cloud-Anwendungen ermöglicht, ohne ihnen Zugang zu Ihrem Netzwerk zu gewähren oder Ihre Anwendungen im Internet zu exponieren. 
  • Sichere Verbindungen zwischen allen Entitäten und Ressourcen: Die Erweiterung des Unternehmensnetzwerks auf öffentliche Cloud-Umgebungen mit Anbindung über Site-to-Site-VPNs ist kompliziert, kostspielig und riskant. Im Gegensatz dazu gewährleistet Zscaler Cloud Connector App-zu-App- und App-zu-Internet-Verbindungen nach dem Zero-Trust-Konzept in hybriden und Multicloud-Umgebungen. Cloud Connector beseitigt die Komplexität und Kosten von Hubs, virtuellen Firewalls und VPNs sowie von statischen, netzwerkbasierten Richtlinien.
  • Workload-Segmentierung: Die IP-basierte Netzwerksegmentierung ist den Anforderungen dynamischer Cloud-Workloads nicht gewachsen. Dadurch erhöht sich das Risiko der Exposition von IT-Ressourcen und der lateralen Ausbreitung von Bedrohungen. Zscaler Workload Segmentation unterstützt die schnelle Mikrosegmentierung von Workloads in Anwendungen und ermöglicht eine schnelle Risikoerkennung, effiziente Segmentierung und automatische Policy-Anpassungen. Dazu sind keine Änderungen am Netzwerk erforderlich, und die Anzahl der Policy-Regeln kann um 90 Prozent reduziert werden.

Zscaler für Workloads kombiniert die Zscaler-Services zum Schutz von Cloud-Umgebungen – Zscaler Private Access, Zscaler Cloud Connector und Zscaler Workload Segmentation – in einer ganzheitlichen, zukunftsfähigen Cloud Workload Protection Platform.

 

Weitere Ressourcen