VMware zeigt neue Strategie zur Einbettung von Security in die Infrastruktur

München, Starnberg, 12. März 2019 - Interne Firewall-Lösung stellt Schutzmechanismen auf Netzwerk- und Host-Ebene zur Verfügung und sichert Verhalten des Datenverkehrs...

Zum Hintergrund: VMware erläuterte letzte Woche auf der (US) RSA Conference seine Strategie, Unternehmen mit einem neuen (pro-aktiven) Sicherheitsansatz zu unterstützen. Diese konzentriert sich stärker auf Anwendungen als auf die Infrastruktur selbst, was laut Entwickler die Angriffsfläche verkleinert, statt nur auf Bedrohungen zu reagieren. Um diesem Ansatz gerecht zu werden, hat VMware die erste VMware Service-Defined Firewall vorgestellt, um Anwendungen und Daten im eigenen Datencenter und in der Cloud besser zu schützen. Mit einem erweiterten Portfolio an softwarebasierten Lösungen sowohl für die Cloud als auch für Endkunden, plant VMware damit die Sicherheit zu einem essentiellen Bestandteil der Infrastruktur machen.

Absicherung von Rechenzentren und Clouds

Aufgrund der Position der VMware-Technologie in der Infrastruktur-Ebene, bietet der Hersteller einen umfassenden Einblick in Anwendungen und über das Rechenzentrum hinaus, und ermöglicht so die Bereitstellung eines sichereren digitalen Arbeitsumfelds. Mit der Einführung der neuen „Service-definierten Firewall“ steht ein neuer Ansatz für internes Firewalls zur Verfügung, der die Angriffsfläche auf lokale und Cloud-Umgebungen mit einer in die Infrastruktur integrierten Security reduzieren soll.

Die Idee, sich auf das bekannte "gute" Verhalten einer Anwendung zu konzentrieren, wurde bereits getestet, aber die Herausforderung bestand laut VMware bisher immer darin, die Anwendung vollständig zu verstehen. Einige Lösungen haben Agenten im Gastsystem installiert, um dies zu erreichen, aber agentenbasierte Lösungen erhöhen die Komplexität und haben nur einen begrenzten Nutzen, denn wenn ein Angreifer Root-Zugriff hat, was die vollständige Kontrolle über einen Host ermöglicht, kann er den Agenten einfach umgehen. Darüber hinaus muss mit zunehmender Verbreitung von Anwendungen auch die Sicherheit verteilt werden. Es ist unpraktisch, den Ost-West-Verkehr (der Verkehr innerhalb des Datacenters) zur Inspektion auf ein einziges Hardware-Gerät oder eine einzelne virtuelle Instanz zu verlagern.

Die VMware „Service-definierte Firewall“-Lösung verfolgt einen anderen Ansatz bei der Firewall: Sie konzentriert sich auf Assets, die Unternehmen gut kennen, also Anwendungen, die sie selbst einsetzen, statt das Unbekannte zu untersuchen. Diese Lösung arbeitet in Bare-Metal-, VM- und Container-basierten Anwendungsumgebungen und soll in Zukunft hybride Cloud-Umgebungen wie VMware Cloud on AWS und AWS Outposts unterstützen.  Unternehmen können diese Lösung als einzige Firewall-Lösung für ihre internen Anforderungen nutzen. Die VMware „Service-definierte Firewall“ ist folgendermaßen charakterisiert:

  1. Application Verification Cloud: Die Position von VMware im Host ermöglicht es der „Service-definierten Firewall“, ein tiefes Verständnis einer Anwendung und ihrer 100 oder sogar 1.000 Micro-Services durch all ihre Variationen im Laufe der Zeit zu gewinnen. Die „Application Verification Cloud“ der Lösung nutzt maschinelle Intelligenz von Millionen von VMs weltweit und erstellt ein genaues Verzeichnis des beabsichtigten „bekannten guten“ Zustands der Anwendung. Sobald ein verifiziertes Verständnis des gewünschten, üblichen Anwendungsverhaltens vorliegt, kann die Lösung adaptive Sicherheitsrichtlinien für die „Service-definierte Firewall“-Lösung generieren, die Layer 7-fähig ist und eine vollständige zustandsorientierte Inspektion durchführen kann.

  2. Geschützt vor dem Gast: Die „Service-definierte Firewall“-Lösung nutzt die eigentliche Kompetenz von VMware, das Gastbetriebssystem und die Anwendung zu überprüfen, ohne im Gast angesiedelt zu sein. Das bedeutet, dass selbst wenn ein Angreifer Root-Zugriff erhält, er die „Service-definierte Firewall“-Lösung nicht umgehen kann. Die „Service-definierte Firewall“-Lösung kann bösartigen Datenverkehr im Netzwerk erkennen und blockieren. Darüber hinaus kann dieses System den Gast selbst beobachten und jedes bösartige Verhalten innerhalb des Betriebssystems oder der Anwendung zur Laufzeit identifizieren und stoppen. Diese Funktion entspricht einem neuen Ansatz für Netzwerk-Firewalling und Host-IPS.

  3. In Software verteilt: Der traditionelle Ansatz für Hardware-Firewalling erfordert das Scannen von extrem viele Traffic aus der virtuellen Umgebung in einer Hardware-Applikation, was viel zu ineffizient und schwierig zu skalieren ist – insbesondere bei modernen Anwendungen, die über viele Komponenten oder Dienste verfügen, welche über viele Server und verschiedene Clouds laufen. Die vollständig auf Software basierende VMware „Service-definierte Firewall“ ist hochgradig verteilt, d.h. sie läuft überall dort, wo die Anwendung läuft, auch auf verschiedenen Clouds. So können Richtlinien konsistent durchgesetzt werden, ohne dass ein komplexes Hairpinning des Datenverkehrs in Cloud-Umgebungen stattfindet.

Sichern eines digitalen Arbeitsbereichs

VMware Workspace ONE kombiniert Zero-Trust-Security mit modernem Management, um IT-Abteilungen eine intelligente und proaktive Sicherung des digitalen Arbeitsbereichs zu ermöglichen. Workspace ONE verfügt über integrierte Sicherheitsfunktionen auf allen Ebenen - Nutzer, Anwendungen, Endgeräte und Netzwerk. Identitäts- und Zugriffsmanagement und Verhaltensanalyse sorgen für mehr Sicherheit für Nutzer; Containerisierung und Remoting ermöglichen App-Sicherheit; Device Trust und State Assurance sorgen für mehr Sicherheit der Endpunkte; Verschlüsselung und integrierte Netzwerkvirtualisierung helfen, das Netzwerk zu schützen.

Workspace ONE hilft Kunden, mit Erkenntnissen aus der Echtzeit-Überwachung und Workflow-Automatisierung immer einen Schritt voraus zu sein. Die Plattform lässt sich auch in Lösungen des Workspace ONE Trust Network integrieren, so dass Kunden Informationen zu Bedrohungen aus einem Ökosystem von vertrauenswürdigen Partnern nutzen können. VMware hat diese Woche neue Sicherheitsfunktionen für Workspace ONE vorgestellt, darunter ein Unified Threat View Dashboard, Unterstützung für mehr Verteidigungs- und Integritätsrichtlinien unter Windows 10 und MacOS sowie neue Automatisierungsverbesserungen. Ferner gab VMware bekannt, dass das Unternehmen weiterhin mit Carbon Black, Lookout und Netskope an interoperablen Lösungen arbeitet.

Fazit von Rajiv Ramaswami, Chief Operating Officer, Produkte und Services von VMware: „Security funktioniert in den meisten Fällen nicht. Anwendungen sind häufig stark verteilt, werden über mehrere private und öffentliche Clouds bereitgestellt, nutzen viele verschiedene Arten von Infrastrukturen und User greifen von vielen verschiedenen Geräten aus zu. Sicherheitslücken, die durch zu viele Produkte, Agents und Schnittstellen in einem Unternehmen entstehen, erschweren das Security-Management. Die Strategie von VMware besteht darin, diese Komplexität der heutigen inhärenten Sicherheit zu beseitigen und stattdessen eine vom Endpunkt bis zur Cloud durchgängig integrierten Security zu schaffen“.

Weitere Infos > VMware Blogpost Top Security Trends from RSA