Isolationsplattformen für die Cloud-Sicherheit
Isoliert, aber mittendrin
Beim leidigen Thema IT-Security geht es fast immer um die Frage, wie man das Rennen zwischen Guten und Bösen in der richtigen Weise entscheiden kann. Die meisten Ansätze versuchen, das Zeitfenster zwischen dem Auftreten einer Bedrohung und deren Bekämpfung so klein wie möglich zu halten. Doch das Rennen ist so nicht zu gewinnen. Eine Alternative bietet der Isolationsansatz.
Fast ist man geneigt zu hinterfragen, was verantwortlichen Security-Experten in Unternehmen mehr Zeit raubt: die Beschäftigung mit Bedrohungen oder mit den unterschiedlichen Konzepten zu deren Eliminierung. Mit der Abwanderung wesentlicher Elemente der Business-IT in die Cloud wird diese Aufgabe beileibe nicht einfacher. Viele Unternehmen stehen davor, die Idee der Prävention von Malware gänzlich aufzugeben, weil die geringe Performance entsprechender Lösungen bei der Erkennung von Angriffen, noch bevor sie Schaden anrichten können, in keinem Vergleich zu den Aufwendungen steht. In diesem unruhigen Fahrwasser gewinnen Konzepte an Bedeutung, die auf das Isolatieren und Säubern setzen statt auf das Erkennen und Unterdrücken.
Isolationsarchitektur
Entsprechende Architekturen sind vergleichsweise jung, erregen aber steigende Aufmerksamkeit bei Analysten und Security-Experten. Frost & Sullivan zum Beispiel hat sich in einem Report aus dem vergangenen Jahr mit der Isolationstechnik befasst und kommt zu dem Schluss: "Anstatt zu versuchen, den Malware-Entwicklern mit verbesserten oder zusätzlichen Malware-Detection-Ansätzen zuvorzukommen, bieten Ansätze, die nicht von Detection abhängig sind, eine faszinierende Alternative." Ähnlich sieht es auch Gartner und stuft Isolation als Technik ein, die sich hervorragend in die übergeordnete Security-Strategie von Unternehmen einbinden lässt.
Der Isolationsansatz geht zunächst davon aus, dass Web und E-Mail die beiden hauptsächlichen Eingangsvektoren für Malware wie zum Beispiel Ransomware sind. Studien zeigen, dass ein Drittel der führenden Million existierender Websites des Alexa-Rankings entweder Malware enthalten oder anfällig für Angriffe sind. Ähnlich dramatisch verhält es sich mit E-Mails. So hat Verizon für das Jahr 2015 berichtet, dass 23 Prozent der Empfänger Phishing-E-Mails öffnen und elf Prozent auf Anhänge klicken.
Konventionelle Präventionslösungen versuchen, zwischen "gutem" und "bösartigem" Content zu unterscheiden und erstellen auf dieser Basis Richtlinien (Policies). Allerdings können zum Beispiel signaturbasierte Techniken kaum etwas gegen moderne Malware ausrichten, zudem entstehen Risiken und Kosten durch Fehlalarme: False Positives blockieren dann legitime Inhalte, was zu Einbußen bei der Produktivität führt; False Negatives wiederum ermöglichen es Malware und Phishing-Angriffen, zu den Anwendergeräten durchzudringen und dort Schaden anzurichten.
Ein neuer Stack
Demgegenüber vermeidet das Isolationsmodell die Unterscheidung zwischen Gut und Böse und geht stattdessen davon aus, dass jeder Traffic ein Risiko birgt. Es führt einen neuen Stack in die Sicherheitsumgebung ein, innerhalb dessen die User-Sessions in sicherer Distanz zum Endpunkt ausgeführt werden. Weil die Software lediglich sicher "gerenderte" Informationen an die Endgeräte weitergibt, sind diese vor Malware geschützt. Denn aktiver Content wie Java, Flash etc. verlässt die Security-Plattform nicht.
Frühe Ansätze zur Nutzung der Isolationstechnik litten unter Begrenzungen. So erforderten sie etwa die Installation und Verwaltung zusätzlicher Software auf den Endgeräten und beeinträchtigten die Benutzbarkeit. Um die nötige Akzeptanz zu finden, müssen Isolationslösungen deshalb insbesondere transparent sein, dürfen also die Bedienung nicht beeinträchtigen. Sie müssen einfach zu integrieren und zu verwalten sein, also ohne zusätzliche Endpoint-Software auskommen.
Isolationsplattformen installiert man zwischen den Anwendergeräten wie Desktop-PC, Tablet oder Smartphone und dem Internet. Anwenderanfragen an das Internet werden durch die Plattform über einen Proxy weitergeleitet. Eine solche Plattform führt die Session im Namen des Anwenders aus und leitet im Rückkanal lediglich sicheren Traffic an den Nutzer weiter. Sie isoliert sowohl Klartext (HTTP) als auch SSL-verschlüsselte Web-Inhalte (HTTPS). Verfügbar sein kann sie als Public-Cloud-Service oder als virtuelle Appliance für die lokale Installation im Rechenzentrum einer Organisation.
Isolationsplattformen basieren im Allgemeinen auf zwei Technologien: der Verwendung virtueller Container sowie dem "Rendering" der Informationen. Virtuelle Container sind abgeschlossene Bereiche innerhalb der Plattform, in denen jeder aktive Content abgearbeitet wird. Beim Öffnen eines neuen Browser-Tabs durch den Anwender startet ein neuer virtueller Container. Ebenso wird der Container geschlossen, sobald die User-Session endet oder die Plattform eine nicht-autorisierte Aktivität erkennt. Auf diese Weise kann Malware nicht fortbestehen oder sich verbreiten. Eine solche Plattform verwaltet einen Pool aktiver Container, sodass keine Latenzen beim Starten einer Session entstehen.
Das Rendering beruht auf dem Fakt, dass alle modernen Browser ein gemeinsames Framework für die Beschreibung von Elementen einer Website benutzen, einschließlich Text, Bildern, Video etc. Kommen Web-Inhalte in einem Browser zur Ausführung, so generiert dieser Elemente nach dem Document Object Model (DOM) sowie einen zugeordneten "Rendering Tree", der die Darstellung der Seite vorgibt. Dies erfolgt in gleicher Weise auch bei der Ausführung innerhalb der Isolationsplattform. Die Darstellungsinformation wird optimiert an den Browser des Anwenders weitergeleitet. Dieser verwendet nun diese Information zur Generierung der Ansicht, als würde der Content im lokalen Browser ausgeführt. In jedem Falle erhält der Browser des Anwenders lediglich nicht-ausführbaren und schadfreien Inhalt, der allerdings in der Darstellung den Erwartungen des Nutzers entspricht.
Durch die Optimierung der Ausführung und der Bereitstellung jedes Inhaltstyps bieten ausgereifte Plattformen eine bessere Bedienung als andere Remote-Rendering-Ansätze. Dazu zählt die Zusammenarbeit mit den nativen Browsern wie Internet Explorer, Chrome, Safari oder Firefox ohne die Notwendigkeit zusätzlicher Software auf dem Endgerät, also keine Thin Clients, Ersatz-Browser, Plug-ins etc. Es gibt keine Verpixelung, abgehacktes Scrolling oder andere grafische Beeinträchtigungen, wie sie von Screen-Scraping-Techniken wie VDI (Virtual Desktop Infrastructure) her bekannt sind. Die nativen Browser-Funktionen wie Cut and Paste, Drucken etc. bleiben erhalten, ebenso der Support für Browser-Erweiterungen.
Isolationsplattformen können als Stand-alone-Lösung oder in Verbindung mit anderen Security-Systemen zur Lösung vielfältiger Sicherheitsprobleme zum Einsatz kommen. Dazu zählen zum Beispiel der sichere Zugang zu nicht-kategorisierten Websites, die sichere Ansicht von Web-Dokumenten wie .pdf, .doc, .xls oder .ppt, die sichere Nutzung von potenziell bösartigem Content aus Java oder Flash, ohne dass der Anwender auf die gewohnte Darstellung verzichten muss, sichere E-Mails und Anti-Phishing sowie der Schutz von Anwendungen gegenüber Bots und anderer Malware durch infizierte Endgeräte.
Gartner hat Kriterien aufgestellt, die bei der Entscheidung für eine solchen Lösung hilfreich sein können. Klar ist, dass Verzögerungen beim Scrollen und bei der Performance, abgehacktes Streaming, das Abschalten von Copy-and-Paste-Funktionen oder eine schwierige Installation mit der Notwendigkeit für Endpoint-Software Ausschlusskriterien ersten Ranges sind.
Auch sollte der Anwender grundsätzlich keine Veränderungen im Verhalten seines Web-Browsers festellen oder gezwungen sein, einen speziellen Browser zu nutzen. Die Lösung sollte Cloud-basiert als Managed-Service verfügbar sein, keine zusätzlichen Agents erfordern und Multimedia wie Youtube ohne Performance-Einbußen unterstützen. Ein Whitelisting von Sites, die Video und Mikrofon benötigen, sollte gegeben sein, um den Zugang zu Conferencing-Tools wie Webex zu ermöglichen. Auch sollte der Anwender ausführbaren Content wie PDFs oder Präsentationen sicher herunterladen können. Und schließlich sollten die Container nach jeder Session gelöscht und wieder in den sicheren Ausgangszustand zurückgesetzt werden, sodass Malware keine Möglichkeit hat, auf der Isolationsplattform zu verbleiben.
Lesen Sie mehr zum Thema
