Auf der RSA Conference in San Francisco stellte VMware seine Strategie vor, um Unternehmensumgebungen künftig besser vor Angriffen zu schützen. Man müsse die Angriffsfläche auf Applikationsebene verringern, so das Softwarehaus, statt lediglich auf Bedrohungen im Netzwerk zu reagieren. Als Mittel der Wahl präsentierte VMware eine softwarebasierte sogenannte „Service-Defined Firewall“.

„Security funktioniert meistens nicht“, kritisierte Rajiv Ramaswami, Chief Operating Officer Products and Services bei VMware den Status quo in der IT. Laut VMware muss sich die Branche deshalb von der „Jagd auf die Bösen“ hin zur „Absicherung des Guten“ entwickeln, also mehr auf den Schutz der Anwendungen selbst und weniger auf den der Infrastruktur konzentrieren.

Erforderlich sei eine „intrinsische“ IT-Sicherheit mit Fokus auf Anwendungen und Daten anstelle nachträglich hinzugefügter Security-Tools. Dank der starken Verbreitung der eigenen Virtualisierungstechnik sieht sich der Konzern sehr gut dafür positioniert, mittels Kontrolle der Anwendungen im Rechenzentrum wie auch in der Cloud für ein sicheres digitales Arbeitsumfeld zu sorgen.

Mit der Einführung einer Service-Defined Firewall, so VMware, biete man einen innovativen Ansatz für internes Firewalling. Dieser verringere die Angriffsfläche der lokalen und Cloud-basierten Umgebungen mittels IT-Sicherheit, die bereits in die Infrastruktur integriert ist.

Die Idee an sich ist nicht neu: Es geht um die Wahrung eines initial als erwünscht definierten Soll-Zustands anstelle der Suche nach Anomalien im Ist-Zustand. Die Herausforderung bei der Wahrung dieses Sollzustands („known good state“) von Applikationen bestand laut VMware aber bisher immer darin, die Anwendungen vollständig zu verstehen. Zu diesem Zweck habe man traditionell Agenten im Gastsystem installiert. Doch dieser agentenbasierte Ansatz erhöhe die Komplexität und sei zudem nur begrenzt nützlich: Hat ein Angreifer Root-Zugriff, der ihm die vollständige Kontrolle über einen Host ermöglicht, kann er Agenten einfach umgehen.

Zudem müssen Unternehmen laut VMware angesichts des zunehmend verteilten Anwendungsbetriebs auch die Sicherheit ebenso verteilt implementieren: Es sei unpraktisch, die Kontrolle des Ost-West-Datenverkehr (Verkehr zwischen Instanzen innerhalb eines Datacenters) auf eine einzige Appliance oder eine einzelne virtuelle Instanz auszulagern.

Mit der Service-Defined Firewall rückt VMware nun also doch die kontinuierliche Kontrolle des Soll-Zustands der Applikationen in den Mittelpunkt. Der Trick: Die Host-Nähe des VMware-Codes soll es der Service-Defined Firewall ermöglichen, über die Zeit ein tiefes Verständnis einer Anwendung und ihrer 100 oder sogar 1.000 Micro-Services in all ihren Variationen zu gewinnen.

Dazu nutze die „Application Verification Cloud“ der Lösung die Maschinendaten von Millionen VMs weltweit und erstelle daraus ein Verzeichnis des Sollzustands der Anwendungen. Sobald ein verifiziertes Verständnis des gewünschten, normalen Anwendungsverhaltens vorliegt, erzeuge die Lösung adaptive Sicherheitsrichtlinien für die Service-Defined Firewall. Diese wiederum könne damit auf der Applikationsschicht (Layer 7) eine vollständige Zustandskontrolle durchführen.

Auf dieser Basis erkenne und blockiere die Service-Defined Firewall bösartigen Datenverkehr im Netzwerk. Zudem beobachte sie laufend die Gastsysteme, um jedes bösartige Verhalten innerhalb des Betriebssystems oder der Anwendung zur Laufzeit zu identifizieren und zu stoppen. Dabei ist sie selbst aber laut VMware-Angaben nicht in einer Gastumgebung implementiert. Selbst wenn ein Angreifer Root-Zugriff erhält, könne er die Service-Defined Firewall deshalb nicht umgehen.

Der Ansatz eignet sich laut VMware-Bekunden für Bare-Metal-, virtualisierte und containerbasierte Applikationsumgebungen. Künftig werde man zudem Hybrid-Cloud-Umgebungen wie VMware Cloud on AWS und AWS Outposts unterstützen. Ein Unternehmen könne dieses Vorgehen somit als einzige Firewall-Lösung für sämtliche internen Anforderungen nutzen.

Statt der Konzentration auf zentrale, leistungsstarke Firewall-Appliances setzt VMware somit auf vollständig softwarebasierende, hochgradig verteilte Firewall, die überall dort laufen, wo ein Unternehmen Applikationen betreibt, letztlich auch über verschiedenen Clouds hinweg. Damit, so VMware könne man Richtlinien konsistent durchsetzen, ohne dass der Datenverkehr aufwendig bestimmten Endpunkten in einer Firewall-isolierten Umgebung zugewiesen sein muss.

Des Weiteren hat VMware zur RSA Conference neue Sicherheitsfunktionen für seine Digital-Workspace-Lösung Workspace One vorgestellt, darunter ein Unified Threat View Dashboard, Unterstützung für mehr Verteidigungs- und Integritätsrichtlinien unter Windows 10 und macOS sowie Verbesserungen bei der Automatisierung. Außerdem arbeite man mit Carbon Black, Lookout und Netskope an interoperablen Lösungen.

Weitere Informationen finden sich unter www.vmware.com/de.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.