Qualys, Anbieter Cloud-basierter Sicherheits- und Compliance-Lösungen, will den IT-Betriebs- und Security-Teams mit seinem neuen Angebot Asset Inventory eine zentrale, verlässliche Datenquelle („Single Source of Truth“) liefern. Sie dient nicht nur als Basis für das Software-Asset-Management, sondern zugleich für Aufgaben von der Risikobewertung bis zum kontinuierlichen Compliance-Management. Dies soll es erleichtern, weltweit verteilte IT-Umgebungen zu analysieren und Sicherheitsmaßnahmen teamübergreifend umzusetzen.

Was für Konzerne längst normal ist, steht für viele deutsche Mittelständler nach wie vor als Frage im Raum: Warum sollte ich Sicherheitsaufgaben an die Cloud delegieren? Und ist es eine gute Idee, deshalb Metadaten meiner IT-Umgebung in fremde Hände zu geben?

Nach einigen schwierigen Flegeljahren, in denen das pubertierende Cloud-Computing in Deutschland um die Akzeptanz der Erwachsenen ringen musste, stehen die hiesigen IT-Entscheider der Wolke inzwischen aufgeschlossener gegenüber. Das bestätigt zum Beispiel der Branchenverband Bitkom mit Aussagen wie: „Zwei von drei deutschen Unternehmen setzen auf Cloud Computing“. Allerdings vermengt der Verband dabei fröhlich Public und Private Cloud, was die Kernaussage verwässert. Echte Public-Cloud-Services nutzen laut den Zahlen von Bitkom und KPMG nämlich nur 31 Prozent der hiesigen Firmen – aber immerhin das. Zum Vergleich: 2015 waren es 26 Prozent. Die öffentliche Wolke zieht also am deutschen Himmel eher gemächlich auf.

Doch selbst über diese Entwicklung ist man auf Anbieterseite schon froh. So zeigt sich auch Jörg Vollmer, General Manager Field Operations DACH bei Qualys, gegenüber LANline zufrieden: „Die Cloud-Akzeptanz wächst und wächst.“ Zwar gebe es noch vereinzelt Skeptiker – aber es komme eben darauf an, mit wem man spricht: mit dem CISO oder mit dem Verantwortlichen für die digitale Transformation eines Unternehmens. Vollmer betont, bei praktisch jeder Qualys-Einführung gebe es ein Audit, das sorge für Vertrauen in die neue Lösung.

Angesichts etablierter Angebote, vor allem die der Hyperscaler AWS und Microsoft, sowie nicht zuletzt dank Zertifizierungen und Audits zählen Clouds heute in immer mehr Unternehmen zu den Standardvarianten des IT-Betriebs: Man nutzt Software von Spezialisten „as a Service“, betrieben in Umgebungen von Spezialisten für den Infrastrukturbetrieb – dabei immer öfter mehrere parallel, die sogenannte Multi-Cloud, dies aber oft weiterhin im Zusammenspiel mit interner IT (als Hybrid Cloud).

Durchblick angesichts vieler Wolken

Qualys’ Ziel ist es, aus der Cloud heraus für den dringend benötigten Durchblick in hybriden Multi-Cloud-Umgebungen zu sorgen: Das neue Angebot Asset Inventory – oder kurz „AI“, eine unglückliche Dopplung mit „AI“ als Abkürzung für Artificial Intelligence (künstliche Intelligenz), einem eh schon stark überstrapazierten Begriff – soll den Sicherheits- und IT-Teams eine umfassende Übersicht und eine einheitliche Datenbasis an die Hand geben. Denn was „wächst und wächst“, ist schießlich nicht nur die Cloud-Nutzung, sondern – teils trotzdem, teils eben genau dadurch – auch die Komplexität der IT-Umgebungen in vielen, insbesondere den großen Unternehmen.

Trotz aller Fanfaren für den digitalen Fortschritt: Zahlreiche traditionelle Applikationen laufen in den Unternehmen weiter, weil man sie eben nicht einfach abschalten oder ersetzen kann, und selbst den Mainframe hatte man einst offenbar etwas voreilig totgesagt. Dazu gesellen sich seit geraumer Zeit virtualisierte Server, Speicher und Netze im „softwaredefinierten Datacenter“ sowie neuerdings unter der Überschrift „digitale Transformation“ eine bunte Schar weiterer Bausteine: Cloud-native Anwendungen, Micro-Services, Hybrid- und Multi-Clouds, industrielle (oder „OT“-) Umgebungen und mit diesen – die physikalischen Gesetze der Latenz bei Datenübertragungen lassen grüßen – auch wieder verstärkt Applikationen und Services, die am „Netzwerkrand“ (Edge) laufen – also lokal im Server-Schrank oder Micro-Datacenter.

Das Problem: War es schon früher für IT-Operations-, Security-, Risiko- und Compliance-Manager oft schwierig, bei der Überwachung ihrer Umgebungen die „Nadel im Heuhaufen“ zu finden, so wäre man heute froh, hätte man es „nur“ mit einem simplen Heuhaufen zu tun. Eine dynamische Multi-Cloud-Landschaft gleicht leider eher einem agroindustriellen Großbetrieb, bei dem das Personal nicht nur ständig diverse Heuhaufen hin- und herschiebt, sondern auf einer Vielzahl von Feldern laufend gepflügt, gesät, gedüngt und geerntet wird – und das alles gleichzeitig.

Kombination von Sensoren und Agenten

Cloud-basierte Management-Lösungen wie Qualys Asset Inventory sollen bei all diesem unermüdlichen Geackere helfen, einen klaren Kopf zu bewahren – oder wiederzugewinnen, je nachdem. Dazu arbeitet Qualys AI mit einer Kombination verschiedener Sensoren: Agenten für Cloud-Services, für Unternehmensnetze Scanner und passive Netzwerksensoren, letztere insbesondere im Hinblick auf die empfindlichen Echtzeit-Industrieumgebungen. Diese Sensoren sammeln und analysieren über die hybriden Umgebungen hinweg kontinuierlich Inventar- und Telemetriedaten, um aktuelle Informationen über die Assets und deren Sicherheits- und Compliance-Status zu liefern. Ein dediziertes Angebot für Industrieumgebungen hat Qualys dabei bislang nicht: Die passiven Sensoren sind für den Einsatz in der IT- wie auch in der OT-Welt gedacht, so Vollmer.

Qualys Asset Inventory soll es als zentrale Datenbasis erleichtern, global verteilte IT-Umgebungen zu analysieren und Sicherheitsmaßnahmen durchzuführen. Bild: Qualys

Qualys Asset Inventory soll es als zentrale Datenbasis erleichtern, global verteilte IT-Umgebungen zu analysieren und Sicherheitsmaßnahmen durchzuführen. Bild: Qualys

Qualys AI erfasst damit laut Hersteller kontinuierlich Telemetriedaten, um Hardware und Software zu identifizieren und zu kategorisieren. Das IT- oder Sicherheitsteam kann sich die Asset- und Risikoinformationen im Detail anzeigen lassen.

Auf dieser Datenbasis, so Vollmer, könne ein IT- oder Security-Teams dann zum Beispiel eine ML-gestütze (Machine Learning) Anomalieerkennung durchführen und dazu auch externe Threat Intelligence Feeds einspielen, um Anzeichen für Kompromittierungen (Indicators of Compromise, IoCs) aufzudecken. Auch könne es den Patch-Status erfassen, nicht gepatchte Schwachstellen priorisieren und einen Patch-Rollout nach Kritikalität der betroffenen Systeme durchführen.

Qualys’ Agent ist laut Vollmer nur 3 MByte groß, er decke alles ab von der Inventarisierung über die IoC-Erkennung bis hin zum Patching. Für dessen Automation sorge dabei die jeweils verwendete Patch-Management-Lösung. Mit Asset Inventory lasse sich auch der Überblick über Software erlangen, die kurz vor ihrem EoL-Termin (End of Life) steht und für die somit in Kürze keine Updates und Patches mehr verfügbar sein werden.

Die lästige Frage der Compliance

Gesetze und branchenspezifische Regularien wie die DSGVO oder PCI-DSS schreiben den Unternehmen vor, dass sie sämtliche Assets, in denen sensible Daten gespeichert sind, kontinuierlich zu ermitteln, nachzuverfolgen und zu schützen haben. Qualys AI soll hier den Nachweis ermöglichen, dass die IT-Umgebung mit den Gesetzen und Regularien konform ist. Denn die Software schützt laut Hersteller unter anderem davor, dass ungenehmigten Assets im Produktivbetrieb zum Einsatz kommen: Sie erkenne, wenn Anwendungen ausgeführt werden, die nicht in der Whitelist verzeichnet sind. Auch benachrichtige sie das IT-Team oder SOC, wenn sie auf anfällige, überholte oder unlizenzierte Software stößt.

Angesichts der zahllosen, teils nicht synchron gehaltenen Datenpools in großen IT-Umgebungen betont Qualys dabei die Rolle seiner Lösung als „Single Source of Truth“: Asset Inventory erübrige es, unterschiedliche Systeme manuell zu integrieren oder sich mit der Frage herumzuquälen, ob Asset-Datensätze tatsächlich valide sind. So habe jedes beteiligte Team stets Zugriff auf einen gemeinsamen, einheitlichen Datenpool.

Für Integrationen mit Drittsystemen gibt es Schnittstellen. Beim Einsatz von ServiceNow kann ein Unternehmen die Asset-Daten mit seiner CMDB abgleichen und sie dort aktualisieren: Eine zertifizierte CMDB Sync App für ServiceNow unterstützt laut Qualys die Zwei-Wege-Synchronisation von Asset-Daten.

Von der Cloud aus ein Auge auf andere Clouds

Der Hintergrund von Qualys’ aktueller Positionierung: Zur Erfassung von Log- und Telemetriedaten auf Cloud-Seite hat der Hersteller jüngst den Spezialisten für Cloud-Application-Management Adya akquiriert. Dank dieser Akquisition, so Qualys, biete man künftig Unternehmen jeder Größe die Möglichkeit, ihre SaaS-Bestände über eine einzige Konsole zu administrieren, die Lizenzkosten sämtlicher SaaS-Applikationen zu verwalten und Sicherheitsrichtlinien zentral festzulegen und durchzusetzen. So könne man sämtliche Aktivitäten mit einem einzigen Werkzeug erfassen und auditieren. Die Daten von Adya werden laut Vollmer in die Qualys-Plattform integriert sowie dort harmonisiert und normalisiert, um für einen einheitlichen Datenbestand zu sorgen.

Qualys, 1999 als eines der ersten SaaS-Sicherheitsunternehmen gegründet, hat laut eigenem Bekunden mehr als 10.300 Kunden in über 130 Ländern, darunter die Mehrzahl der Fortune-100-Firmen. Man unterhalte strategische Partnerschaften mit führenden MSPs (Managed Services Provider) und Consulting-Firmen, darunter Accenture, BT, Cognizant, die Deutsche Telekom, Fujitsu, HCL, HPE, IBM oder auch SecureWorks.

Qualys AI ist bereits allgemein verfügbar. Die Lizenzpreise beginnen bei 15 Dollar pro Asset und Jahr. Ergänzend, so Vollmer, gebe es diverse Freemium-Angebote etwa für die reine Inventarisierung sowie eine Community Edition, bei der die Verwaltung von bis zu 16 IP-Adressen kostenlos ist, nützlich etwa für Testumgebungen. Man kann also kostengünstig in die Nadelsuche einsteigen – mit einem überschaubaren Heuhäufchen.

Weitere Informationen finden sich unter www.qualys.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.