Ressourcen > Sicherheit – Glossar > Was ist Gartner CWPP

Was ist Gartner CWPP?

Wie definiert Gartner CWPP?

Gartner definiert eine Cloud Workload Protection Platform (CWPP) als Workload-orientiertes Sicherheitsangebot zur Erfüllung der besonderen Schutzanforderungen von Workloads, die in modernen hybriden und Multicloud-Umgebungen bzw. Rechenzentren gehostet werden. Laut Gartner sollen CWPPs eine standortübergreifend einheitliche Kontrolle und Transparenz für physische und virtuelle Maschinen, Container und serverlose Workloads gewährleisten.

Darüber hinaus sei das Scannen nach bekannten Sicherheitsrisiken bei der Bereitstellung eine zwingend erforderliche Funktion von Plattformen zum Schutz von Cloud-Workloads. Mithilfe eines mehrschichtigen Ansatzes bestehend aus Lösungen zur Wahrung der Systemintegrität, identitätsbasierter Mikrosegmentierung, Anwendungskontrolle, Speicherschutz, Verhaltensüberwachung, hostbasierten Intrusion-Prevention-Systemen sowie optionalem Anti-Malware-Schutz sollen zudem Angriffe auf Workloads während der Laufzeit verhindert werden.

 

Warum empfiehlt Gartner CWPP?

Im Allgemeinen lassen sich auf Legacy-Netzwerken basierende Technologien nicht problemlos auf Cloud-Umgebungen umlegen. Hinzu kommt, dass in den meisten Unternehmen einzelne Anwendungen bei unterschiedlichen Cloud-Anbietern bzw. über mehrere Rechenzentren verteilt gehostet werden. Dadurch wird es noch schwieriger, Workloads durchgängig im Blick zu behalten. Für Unternehmen ist es daher unabdingbar, Anwendungen und Services eigenverantwortlich zum Kernpunkt ihrer Sicherheitsinitiativen zu machen. 

Außerdem können Plattformen zum Schutz von Endgeräten (d. h. Tools zum Schutz von Laptops, Desktop-PCs und mobilen Geräten) nicht für den Schutz von Server-Workloads verwendet werden, da deren Nutzung eine Gefährdung von Unternehmensdaten darstellt. Zudem nutzen die meisten Unternehmen mehr als eine Public Cloud IaaS. Viele testen auch containerbasierte Anwendungen und experimentieren mit serverlosem PaaS.

Daher muss die Sicherheit von Workloads bereits bei der Bereitstellung aktiv sichergestellt werden, indem container- und serverlose Workloads direkt auf Sicherheitsrisiken und Fehlkonfigurationen hin gescannt werden. Das ist deshalb so wichtig, da Fehlkonfigurationen für Organisationen häufig gefährlicher sind als kompromittierte Workloads.

Eine Endpoint Protection Platform (EPP), also eine Lösung zum Schutz einzelner Endgeräte (PCs, Laptops usw.), ist für Server-Workloads nicht zweckmäßig und setzt Unternehmensdaten und -anwendungen einem Risiko aus.

Gartner, Market Guide for Cloud Workload Protection Platforms

Wichtige Merkmale einer geeigneten CWPP laut Gartner

Plattformen zum Schutz von Cloud-Workloads müssen mit einem Unternehmen mitwachsen können. Gartner empfiehlt daher, bei der Wahl einer CWPP-Lösung die folgenden Punkte zu beachten:

  • Im Hinblick auf die Rechenzentrumsarchitektur zeichnet sich für die meisten Unternehmen ein Trend hin zu einer Hybrid- bzw. Multicloud-Architektur ab. Dementsprechend muss eine CWPP auch physische Maschinen, VMs, Container und serverlose Workloads schützen können, und zwar standortunabhängig über eine einzige Konsole und mit Verwaltung über einen einzelnen API-Satz.
  • Zu einer gelungenen CWPP gehört, dass sämtliche Funktionen über APIs abrufbar sind, um die Automatisierung in Cloud-Umgebungen zu erleichtern.
  • Containerschutz ist eine unverzichtbare Voraussetzung bei der Wahl einer CWPP
  • CWPP-Anbieter sollten einen Entwicklungsplan und eine Architektur für den Schutz von serverlosen Workloads vorlegen können, da diese Vorkehrungen im Laufe der kommenden 12 Monate voraussichtlich zu einer verpflichtenden Anforderung werden.

Alle weiteren Empfehlungen zur Wahl einer CWPP finden Sie im 2020 Market Guide for Cloud Workload Protection Platforms von Gartner (Registrierung erforderlich). 

 

Worauf Verantwortliche in der IT-Sicherheit bei CWPPs laut Gartner achten sollten

Abgesehen von den Produktmerkmalen sind auch die Funktionen der CWPPs sowie ihre Rolle bei der Entwicklung einer zukunftsfähigen Plattform zum Schutz von Cloud-Workloads zu beachten. Gartner empfiehlt Folgendes:

  • Ausrichtung auf Sichtbarkeit und Steuerbarkeit sämtlicher Workloads, unabhängig von Standort, Größe oder Architektur
  • Unterstützung für Container mit Bundle-Lösungen für serverlose Workloads
  • Berücksichtigung von Workload-Scans und Compliance auch in der Entwicklung (DevSecOps), insbesondere bei containerbasierten und serverlosen Entwicklungen und Bereitstellungen auf PaaS-Basis
  • Zugang zu sämtlichen Funktionen über APIs 
  • Abkehr von Strategien auf Basis von Antivirus-Lösungen und Hinwendung zu Zero Trust/Default Deny beim Schutz von Workloads während der Laufzeit (wo anwendbar), selbst wenn der Einsatz nur im Erkennungsmodus erfolgt
  • Entwicklung einer Architektur, die flexibel genug für den Fall ist, dass Laufzeitagenten nicht mehr genutzt werden können oder obsolet werden
  • Integriertes Cloud Security Posture Management (CSPM) zum Erkennen von Konfigurationen mit Risikopotenzial

Inwieweit erfüllt Zscaler die Anforderungen, die Gartner an CWPPs stellt?

Eine Schlüsselkomponente der Zscaler-Plattform ist Zscaler Cloud Protection. Diese Lösung bietet unter anderem die folgenden wichtigen Services zum Schutz von Workloads:

 

Management der Sicherheitsstellung in der Cloud

Falsch konfigurierte Cloud-basierte Anwendungen sind eine häufige Gefahrenquelle in Bezug auf Unternehmensdaten und eine der häufigsten Ursachen für Datenverlust in der Cloud. Cloud Security Posture Management (CSPM) erkennt und korrigiert Fehlkonfigurationen in IaaS, PaaS und SaaS, z. B. Microsoft 365.

 

Zero-Trust-Zugang

Durch die Verwendung von VPNs und anderen Methoden, bei denen Benutzer und Anwendungen im Internet exponiert sind, steigt die Wahrscheinlichkeit, dass ein Netzwerk entdeckt, angegriffen und ausgenutzt wird. Firewalls und Tools, die mit dem Internet verbunden sind, bieten grundsätzlich eine potenzielle Angriffsfläche und eine Hintertür, die zu einem erhöhten Risiko führt. Als Bestandteil der Zero Trust Exchange gewährleistet Zscaler Private Access (ZPA) sicheren Zugriff auf Cloud-Anwendungen für Mitarbeiter, B2B-Kunden und Lieferkettenpartner, ohne ihnen Zugang zum Netzwerk zu gewähren oder Unternehmensanwendungen im Internet zu exponieren. 

 

Sichere Verbindungen zwischen allen Entitäten und Ressourcen

Die Erweiterung vertrauenswürdiger Netzwerke auf öffentliche Clouds mit Anbindung über Site-to-Site-VPNs ist kompliziert, kostspielig und riskant. Im Gegensatz dazu gewährleistet Zscaler Cloud Connector App-zu-App- und App-zu-Internet-Verbindungen nach dem Zero-Trust-Konzept in hybriden und Multi-Cloud-Umgebungen. Cloud Connector beseitigt die Komplexität und Kosten von Hubs, virtuellen Firewalls und VPNs sowie von statischen, netzwerkbasierten Richtlinien. 

 

Workload-Segmentierung

Die IP-basierte Netzwerksegmentierung ist nicht für dynamisch veränderliche Cloud-Workloads ausgestattet, da die meisten Segmente nicht ideal konfiguriert sind und mehr Zugänglichkeit bieten, als sie sollten. Dadurch steigt die Gefahr von Exposition und lateraler Bewegung. Zscaler Workload Segmentation ist eine schnellere Methode zur Mikrosegmentierung von Applikations-Workloads. Sie erlaubt eine schnelle Risikoerkennung, effiziente Segmentierung und automatische Policy-Anpassungen. Dazu sind keine Änderungen am Netzwerk erforderlich, und die Anzahl der Policy-Regeln kann um 90 Prozent reduziert werden.

Zscaler erfüllt mit seinen Zscaler Cloud Protection Services wie etwa auch Zscaler Workload Segmentation die strengen Anforderungen, die Gartner an eine umfassende, zukunftssichere Plattform zum Schutz von Cloud-Workloads stellt.

 

Weitere Ressourcen