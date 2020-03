VMware treibt seine Strategie voran, Sicherheit zum intrinsischen Bestandteil von IT-Infrastrukturen mit kontinuierlicher, automatisierter Überwachung kritischer Anwendungen und Daten zu machen. Anlässlich der RSA-Konferenz 2020 stellte der Virtualisierungs- und Cloudspezialist Advanced Security for Cloud Foundation vor, das einen einheitlichen Schutz über Private und Public Clouds hinweg bieten soll. Die seit letzten Herbst ins Haus geholte Carbon Black Cloud korreliere Daten automatisch mit dem Mitre-ATT&CK-Framework und soll künftig auch Präventionsmaßnahmen für Linux-Maschinen umfassen. Die ebenfalls neue Lösung Secure State biete Autokorrekturfunktionen, um Sicherheitsmaßnahmen für Cloudumgebungen schon ab der Entstehungsphase zu automatisieren.

Für mehr Sicherheit von Rechenzentren und Clouds soll, geht es nach VMware, ein ganzes Arsenal hauseigener Security-Lösungen sorgen: Advanced Security for Cloud Foundation, die Technologie des letzten Oktober akquirierten Endpoint-Security-Spezialisten Carbon Black, NSX Advanced Load Balancer mit Web Application Firewall und NSX Distributed IDS/IPS. Die Security-Tools werde man mit vSphere, den Industriestandard für virtualisierte RZ-Workloads, verzahnen. Ziel ist es, ein hohes Maß an Sicherheit für Workloads über deren gesamten Lebenszyklus hinweg zu ermöglichen.

Carbon-Black-Technik schütze Workloads mit Antivirus- und EDR-Funktionen (Endpoint Detection and Response ) sowie einer Bereinigung von Abweichungen in Echtzeit. VMware will die Technik eng in vSphere integrieren, um eine agentenlose Lösung zu erhalten, die zusätzliche Antivirensoftware oder Agenten erübrigt: Man erfasse mit diesem Ansatz Endpunkt-Telemetriedaten über integrierte Sensoren, die durch den Hypervisor geschützt sind. Anders als bei agentenbasierten Lösungen sollen Angreifer damit weder einen Root-Zugriff erhalten noch die Security-Maßnahmen manipulieren können.

Die „Türsteher“ zum Rechenzentrum und den Applikationen sind Load Balancer und Web Application Firewalls. IT-Organisationen, die hardwarebasierte Lösungen mit fester Kapazität verwenden, schalten diese Sicherheitsfilter laut VMware aber bei hoher Last häufig ab, was kritische Server angreifbar macht. Hier soll die horizontale Skalierbarkeit der NSX Web Application Firewall Abhilfe schaffen. VMware verspricht, die hauseigene WAF nutze ein umfassendes Verständnis von Anwendungen, automatisiertes Lernen und applikationsspezifische Regeln, um hohe Sicherheit mit weniger Fehlalarmen zu gewährleisten.

Hinter dem Web-Layer helfen laut VMware Mikrosegmentierung und eine In-Band-Ost-West-Firewall, Seitwärtsbewegungen von Angreifern zu unterbinden. NSX Distributed IDS/IPS, eine neue Funktion der hauseigenen NSX Service-Defined Firewall, werde hierzu eine Angriffserkennung für die vielen Dienste bieten, aus denen eine Anwendung besteht. Die verteilte Architektur von NSX Distributed IDS/IPS soll es künftig ermöglichen, bei jedem Anwendungsschritt Filter anzuwenden und so die blinden Flecken zu reduzieren, die beim Einsatz traditioneller Perimetersicherheit entstehen. Die Software generiere Richtlinien automatisch und setze sie anwendungsspezifisch durch, was die Zahl der Fehlalarme verringere, so VMware.

Zugleich verkündet VMware, eine automatische Korrelation mit den TIDs (Technique Identifiers) des Mitre ATT&CK Frameworks einzuführen. Das Framework liefert eine Liste gängiger Angriffstaktiken, -techniken und -verfahren (Tactics, Techniques, and Procedures, kurz TTPs), auf die Carbon Black Cloud zurückgreift. Durch Einbindung des ATT&CK-Frameworks kann ein Security-Team in der Carbon Black Cloud nach spezifischen TTPs suchen, um potenzielle Bedrohungen zu erkennen und Bereiche zu identifizieren, in denen die Sicherheit verbesserungsbedürftig ist.

Außerdem, so VMware, habe man Carbon Black in Windows AMSI (Anti-Malware Scanning Interface) integriert, um die Dekodierung verschleierter Befehle zu ermöglichen. Dies sorge für Einblick in den genauen Inhalt, den Skript-Interpreter wie PowerShell ausführen. Ein Security-Team könne in den kontinuierlich gesammelten Endpunkt-Aktivitätsdaten suchen und benutzerdefinierte Erkennungsmechanismen auf AMSI-Basis erstellen.

Des Weiteren werde VMware Carbon Black um Malware-Prävention für Linux ergänzen. Damit werde die Security-Lösung dann alle wichtigen Betriebssysteme unterstützen: Windows und macOS wie auch Linux.

Noch im Beta-Stadium befindet sich ein neuer Service namens Secure State. Sie soll ein neues, flexibles Remediation-Framework liefern (Remediation: Wiederherstellung des Sollzustands), das IT-Organisationen bei der Automatisierung von Aktionen in Multi-Cloud-Umgebungen unterstützt und ihnen die Zusammenarbeit mit DevOps-Teams erleichtert.

Der Service soll künftig vordefinierte, sofort einsatzbereite Aktionen bereitstellen und es erlauben, benutzerdefinierte Aktionen als Code zu erzeugen, um die Sicherheit der Cloudressourcen zu verbessern. Das Security-Team erhalte zudem umfassende Funktionen für das Management cloudbezogener Risiken. Es könne Fehlkonfigurationen und Verstöße selbst beheben oder aber Maßnahmen an DevOps-Teams delegieren. Letztlich sollen sich Verstöße sogar automatisch und in Echtzeit beheben lassen (Auto-Remediation). VMwares Ziel: Mit einem erweiterbaren „Policy as Code“-Ansatz werde man künftig per API Korrekturen als Code ausführen und somit Sicherheit von Anfang an in die CI/CD-Pipeline integrieren können.

Weitere Information finden sich unter www.vmware.com/de .