Mittels ML (Machine Learning, maschinelles Lernen) will VMware die zentrale Verwaltung und Absicherung unterschiedlicher Endpunkte erleichtern – vom Windows-10-PC über Smartphones und Tablets bis hin zu IoT-Gerätschaft (Internet of Things). Dazu erweitert das Softwarehaus seine UEM-Lösung (Unified-Endpoint-Management) Workspace One um einen Baustein namens „Intelligence Service“. Mit dem Workspace One Trust Network bindet VMware Security-Partner in dieses Konzept ein. Ebenfalls neu ist Workspace One AirLift für ein CLM (Client-Lifecycle-Management) von Windows-10-Geräten nach Mobilegeräte-Manier.

VMware Workspace One liefert Statistiken, Trends und Scores über die Endpoint-Infrastruktur und die Applikationen. Bild: VMware

VMware Workspace One liefert Statistiken, Trends und Scores über die Endpoint-Infrastruktur und die Applikationen. Bild: VMware

Der in die Workspace-One-Plattform integrierte Cloud-basierte Intelligence Service dient laut VMware der Aggregation und Auswertung von Geräte- und Applikationsdaten. Eine ML-gestützte Entscheidungsinstanz (Decision Engine) soll dabei das Automationsniveau von Management- und Security-Prozessen erhöhen. Michael Weber, Manager Systems Engineering End-User-Computing für Deutschland bei VMware, erläuterte im LANline-Interview, auch nutzerbezogene Daten ließen sich im Prinzip auf diese Weise auswerten. Diese Funktionalität habe man jedoch hierzulande ab Werk nicht freigeschaltet, um dem hiesigen Datenschutz zu entsprechen. Bei Bedarf – und in Abstimmung mit dem Betriebsrat – könne eine IT-Organisation die Datenkorrelation aber auch auf nutzerbezogene Daten erweitern.

Die Decision Engine ermöglicht laut VMware diverse Automationen, zum Beispiel eine automatisierte Fehlerbehebung: Die IT-Abteilung könne Regeln zur Automatisierung und Optimierung täglicher Aufgaben erstellen, etwa das Update von Windows-10-Geräten mit einem kritischen Patch oder die Festlegung von Zugriffskontrollen für Anwendungen und Services auf Anwender- oder Gruppenebene.

Der Workspace One Intelligence Service erweitert dabei das klassische richtlinienbasierte Endgeräte-Management dahingehend, dass die Decision Engine per Analyse der historischen Geräte- und App-Daten einen Gesamtwert (Score) zur Risikoeinstufung generiert. Beim Überschreiten des definierten Schwellenwerts für diesen Score könne die Software Alarm schlagen oder aber automatische Aktionen auslösen, zum Beispiel ein Gerät in Quarantäne nehmen, bis ein benötigter Patch aufgespielt ist, so Weber.

Als Beispiel nannte er den Fall, dass für einen bestimmten Typ von Android-Smartphones eine kritische Lücke bekannt geworden ist. Dann könne die IT diesen Smartphones regelbasiert den Zugriff auf unternehmenswichtige Applikationen untersagen, bis der Patch aufgespielt ist. Dabei könne die IT beliebige Ausnahmen vorgeben, zum Beispiel, dass der Zugriff auf Business-Apps erst unterbrochen wird, sobald laufende Datentransfers abgeschlossen sind.

Die IT-Organisatione kann regelbasiert Aktionen vorgeben, die die Decision Engine dann automatisiert umsetzt. Bild: VMware

Die IT-Organisatione kann regelbasiert Aktionen vorgeben, die die Decision Engine dann automatisiert umsetzt. Bild: VMware

Industriestandards für die Baseline
Mittels Templates gibt VMware für das Scoring-Modell Best-Practice-Werte vor. Diese vorgegebenen Scores könne eine IT-Organisation aber anpassen, so Weber, indem man zum Beispiel den Schwellenwert 30 für eine bestimmte Benutzergruppe im Active Directory, etwa die Finanzbuchhaltung, auf 20 herabsetzt. In diesem Fall würde dann bei auffälligem – also per ML als anomal ermittelten – Verhalten des Geräts schon früher ein Alarm ausgelöst als bei Endpunkten im Unternehmen generell. Für andere Systeme wiederum – etwa unkritische virtuelle Desktops im Call Center – könne man den Score zum Beispiel auf 50 erhöhen.

Laut VMware-Mann Weber ist eine durchschnittliche IT-Organisation dank dieser Templates bereits innerhalb von ein bis zwei Monaten in der Lage, eine Baseline zu erstellen, um den Arbeitsalltag zu entlasten und das Sicherheitsniveau der Endpoint-Landschaft zu erhöhen. Das Einrichten individueller Ausnahmen könne aber je nach Unternehmen durchaus länger dauern.

Die ML-Funktionalität hat VMware laut Auskunft von Weber auf der Basis mehrerer Akquisitionen in den letzten Jahren erarbeitet: durch die Übernahmen von WaveFront, Apteligent und Arkin (vRealize Network Insight). Die Cloud-basierte ML-Auswertung des Pools unternehmensübergreifender Daten erfolge nicht nur in den USA, sondern finde für Deutschland in einem Rechenzentrum in Frankfurt statt. Kundenunternehmen haben laut Weber die Möglichkeit, an der anonymisierten Übermittlung der ML-Daten nicht teilzunehmen, etwa wenn Datenschutzvorgaben oder Regularien dies verhindern.

Mehr Sicherheit durch Kooperation
Für möglichst hohe IT-Sicherheit setzt VMware weiterhin auf enge Zusammenarbeit mit seinem Partner-Ökosystem: Per API können Security-Partner laut Weber mit dem Intelligence Service Bedrohungsinformationen austauschen und ihre Lösung integrieren, um gemeinsam eine bessere und automatisierte Absicherung der Endpunkte zu erreichen, etwa mittels Lösungen für EDR (Endpoint Detection and Response) oder Mobilgerätesicherheit. Zu den Anbietern, die zum Start der Lösung an diesem Partnerprogramm teilnehmen, zählen laut VMware-Angaben Carbon Black, CrowdStrike, Cylance, Lookout, McAfee, Netskope und Symantec.

Workspace One verschafft zum Beispiel den Überblick über den Status eines Patch-Rollouts. Bild: VMware

Workspace One verschafft zum Beispiel den Überblick über den Status eines Patch-Rollouts. Bild: VMware

Ebenfalls neu ist das CLM-Tool Workspace One AirLift. Es soll, ebenfalls regelbasiert und ML-gestützt, ein Endpoint-Management für Windows-10-Geräte liefern und dabei sämtliche Phasen des Lebenszyklus von Windows-10-PCs unterstützen. Der Anbieter positioniert AirLift als Ergänzung zu Microsoft SCCM (System Center Configuration Manager), wohl wissend, dass ein großer Teil seiner Anwender Microsofts Verwaltungslösung im Einsatz hat.

Im Hinblick auf Windows-10-Endpunkte, so Weber, könne AirLift SCCM im Prinzip auch ersetzen. Vorgängerversionen von Windows 10 unterstützt VMware allerdings nicht. Denn erst Windows 10 bietet das Mobility-Management-Layer, das es UEM-Anbietern wie VMware erlaubt, Windows-Geräte mit den gleichen Mitteln zu verwalten wie Mobilgeräte, also einschließlich moderner Funktionen wie der vollautomatisierten Inbetriebnahme neuer Geräte („Zero-Touch Onboarding“).

Außerdem hat VMware noch eine Reihe weiterer neuer Funktionen für Workspace One, angekündigt. Dazu zählen ein Workspace-One-Client für macOS, um Apple-Geräten den Zugriff auf alle Anwendungen einschließlich virtueller Windows-Anwendungen zu ermöglichen, sowie Support von Microsofts Graph-APIs zur Unterstützung Office-365-spezifischer Funktionen, etwa für DLP (Data Loss Prevention).

Des Weiteren gibt es in Partnerschaft mit Microsoft eine Beta-Version für virtuelle VMware-Desktops auf der Basis von Azure-Infrastruktur. Eine vergleichbare VDI-Partnerschaft (Virtual Desktop Infrastructure) mit AWS hatte VMware erst kürzlich verkündet (LANline berichtete).

Workspace One, so VMware, biete eine integrierte Bereitstellung virtueller Applikationen, wobei das Anwenderunternehmen die Berechtigung erhalte, virtuelle Desktops und Apps lokal oder als Cloud-Service per Abonnementangebot bereitzustellen. Zusätzlich zu den Lizenzpaketen Workspace One Standard und Workspace One Advanced gibt es nun das Paket Workspace One Enterprise, das den neuen Intelligence Service umfasst.

Workspace One Intelligence ist laut Bekunden VMwares ab sofort verfügbar. Horizon Cloud on Azure VDI soll ab Anfang Mai 2018 weltweit auf den Markt kommen, die Anmeldung für das Beta-Programm läuft bereits.

Weitere Informationen finden sich unter www.vmware.com/de.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.