Die Umsetzung Ihres Sicherheitsansatzes hängt davon ab, wie Sie Ihren Ansatz von der Strategie in die Realität umsetzen können. Als Teil davon müssen Sie Entscheidungen darüber treffen, welche Tools Sie verwenden, basierend auf den Funktionen, die sie abdecken, wie sie Sie bei der Erstellung und Verwendung von Daten unterstützen und wie sie funktionieren. Dieser letzte Teil ist wichtig, da alle Sicherheitsexperten ihre eigenen Vorlieben haben. Eine der großen Debatten hier ist, ob Sie agentenbasierte oder agentenlose Tools verwenden.
Die Verwendung von Sicherheitstools, die auf Agenten angewiesen sind, kann für einige Sicherheitsexperten ein Problem darstellen, während andere auf ihr agentenbasiertes Tool schwören Wahl, und Sie müssten es ihnen aus der Hand reißen. Die Herausforderung besteht hier darin, eine Kombination aus komplexen Umgebungen zu berücksichtigen, schnellere Softwareentwicklungsziele zu unterstützen, Sicherheitsdruck in Echtzeit zu bewältigen und mehr Daten zu bewältigen, als Sie wissen, was Sie tun sollen. Welchen Ansatz sollten Sie also wählen?
Agentenlose Sicherheit bringt Sie schnell zum Laufen
Der Einstieg in agentenlose Ansätze ist schnell. Da Sie nichts installieren müssen, können Sie Daten schnell übertragen und diese dann nutzen, um Ihre Sicherheitslage in kurzer Zeit zu verbessern. Agentenlose Sicherheitsansätze funktionieren, indem sie Daten von außerhalb des betrachteten Geräts oder Dienstes abrufen und Ihnen diese Informationen dann so bereitstellen, dass Sie schnell Entscheidungen treffen können.
Der Vorteil von agentenlos ist, dass es wenig Aufwand erfordert und schnell zu implementieren ist Anwendungsfälle wie Cloud-Sicherheit. Sie können das „Low-Hanging-Fruit“-Problem lösen, das bei regelmäßiger Cloud-Sicherheitsbewertung besteht. Side-Scanning und API-basierte Methoden bieten auch einen soliden Ausgangspunkt für die Betrachtung der Cloud-Sicherheitstransparenz in Bezug auf Konfigurationen und Schwachstellen. Ein weiterer Nebenvorteil besteht darin, dass die Arbeitslast auf dem Computer oder Gerät, das Sie betrachten, nicht erhöht wird, was wichtig sein kann, wenn es um die Ausführung in der Cloud geht.
Die Herausforderung bei agentenlosen Ansätzen besteht darin, dass sie bieten nicht so viele Einblicke in das, was in einer Instanz oder einem Gerät passiert, während es ausgeführt wird. Da Sie sich auf die Daten verlassen müssen, die Sie von außen wahrnehmen können, können Sie möglicherweise nicht den Detaillierungsgrad erhalten, den Sie benötigen, insbesondere für Laufzeitbedingungen. Wenn Sie diese laufenden Dienste schützen möchten, was auch als „Rechtsabschirmung“ bezeichnet wird, ist agentenlos möglicherweise nicht genug.
Die andere Herausforderung besteht darin, dass Sie sich auf die Datenmenge verlassen werden, die Ihr Tool aus seinen Quellen sammeln kann , wie Cloud-APIs. Für einige Workloads, bei denen Sie in der Cloud „all in“ sind, mag dies ausreichen, aber für komplexere Umgebungen führt es möglicherweise zu Lücken. Es wird auch mit Laufzeitumgebungen und der Echtzeitberichterstattung über Probleme zu kämpfen haben.
Agent, Berichterstellung für den Dienst
Agentenbasierte Sicherheitstools verwenden eine kleine Software Paket pro Gerät oder Anlage, um die Daten zu erhalten, die Sie benötigen. Der Vorteil eines Agenten besteht darin, dass er den Detaillierungsgrad bereitstellen kann, den agentenlose Modelle nicht bieten können. In der Praxis bedeutet dies, dass Sie den Agenten verwenden können, um Informationen zu allen Interaktionen und Anrufen bereitzustellen, die auf diesem Gerät oder Computer stattfinden.
In der Vergangenheit war dies der Grund für viele Feindseligkeiten in Richtung agentenbasierter Tools gekommen ist. Jeder Agent hat seinen eigenen Platzbedarf und Overhead auf dem Gerät, der Maschine oder dem Softwarecontainer, auf dem er installiert ist, was die Leistung beeinträchtigen kann. In den alten Tagen des Virenschutzes verursachten diese Agenten möglicherweise einen solchen Overhead, dass sie die Benutzererfahrung beeinträchtigten, ohne jedoch einen großen Mehrwert zu bieten. Da Computersysteme jedoch leistungsfähiger und Agenten intelligenter geworden sind, ist der tatsächliche Overhead auf ein vernachlässigbares Maß gesunken.
Ein weiteres Schreckgespenst für agentenbasierte Ansätze war der Overhead, um diese Systeme zu erstellen und einzusetzen sie wurden gebraucht. Wenn Sie jedes Mal neu installieren mussten, dann war die Zeit erheblich. Dieses Problem wurde jedoch weitgehend gelöst, indem Agenten in Basis-Images integriert wurden, sodass sie bereitgestellt und installiert werden können, wenn sie automatisch benötigt werden.
Für moderne Assets wie Cloud-Instanzen oder Software-Container kann der Sicherheitsagent enthalten sein als Standard und implementiert, wenn neue Container bereitgestellt werden. Dies ist besonders wichtig, wenn Sie Anwendungen haben, die je nach Bedarf nach oben oder unten angepasst werden können, oder wenn Sie über eine serverlose Infrastruktur verfügen, um Ihre laufenden Anwendungen zu unterstützen. Ohne einen Agenten vor Ort würde die Erkennung eines Problems von geplanten Scans oder einer Warnung abhängen, die sich um Stunden oder Tage verzögern können. In einer Zeit, in der ein öffentlicher S3-Bucket oder eine exponierte Datenbank innerhalb von Minuten entdeckt wird, reicht statisches Scannen nicht aus, um Angriffe zu verhindern.
Kombination von Ansätzen mit und ohne Agenten
Im Geiste, alles zu haben – die Kombination von agentenbasierter und agentenloser Sicherheit kann einen besseren Ansatz unterstützen, als sich allein auf den einen oder anderen Ansatz zu verlassen. Indem Sie Daten aus mehreren Quellen abrufen und in einen Kontext stellen, können Sie Ihre Sicherheitslage besser verstehen und feststellen, wo Sie Maßnahmen ergreifen müssen.
Die Cloud-Sicherheit war von Anfang an fragmentiert. Es gibt eine große Anzahl von Einzellösungen, die einen Teil der Cloud-Sicherheit abdecken, aber Unternehmen möchten ihre Bereitstellungen vereinfachen und die Anzahl beweglicher Teile reduzieren, die sie aktiv verwalten müssen, einschließlich Tools. Als Reaktion auf diese komplexe Umgebung hat sich der Markt der Cloud-Native Application Protection Platform (CNAPP) entwickelt, um die agentenbasierten und agentenlosen Tools zu konsolidieren, die es rund um Cloud-Sicherheit und Workload-Schutz gibt.
CNAPPs kombinieren die die besten agentenbasierten und agentenlosen Sicherheitstools, um den gesamten Lebenszyklus von Cloud-Workloads und-Sicherheit abzudecken und einen umfassenderen Ansatz zur Erkennung potenzieller Probleme zu unterstützen. Dazu gehört die Betrachtung der Telemetriedaten, die die Cloud-Dienste bereitstellen, sowie die Durchführung einer Bewertung vor der Bereitstellung und einer Sicherheitsanalyse zur Produktionslaufzeit. Dies hilft Sicherheitsexperten, den gesamten Lebenszyklus ihrer Anwendungen zu betrachten und sicherzustellen, dass sie im Laufe der Zeit sicher bleiben.
Das Beste aus Ihrem Ansatz herausholen
Einführung eines Agenten-basierte und agentenlose Sicherheitstools unter dem CNAPP-Framework sollten jedem helfen, das zu bekommen, was er braucht, um im Bereich Sicherheit so effektiv wie möglich zu sein. Das größte Problem für viele Teams wird darin bestehen, wie ihre Abläufe bei potenziellen Sicherheitsbedrohungen schnell ablaufen können. Hier kann es hilfreich sein, die richtigen Telemetriedaten bereitzustellen und im Laufe der Zeit den richtigen Kontext für diese Daten bereitzustellen.
Insgesamt wird der Streit um agentenbasierte und agentenlose Ansätze an Bedeutung verlieren Zeit. Die Herausforderung, der sich Teams stellen müssen, besteht darin, die richtigen Daten zu erhalten, die ihren Betrieb verändern, und wie sie diese Daten für Sicherheitsteams bei ihrer Arbeit nützlich und nutzbar machen können. Um moderne Sicherheitsziele zu unterstützen, wie z. B. die Verlagerung der Sicherheit nach links früher in den Entwicklungsprozess und die Abschirmung nach rechts, damit Sie die laufenden Geräte oder Dienste abdecken können, benötigen Sie die richtige Kombination aus Daten, Einblick und Geschwindigkeit.
Bildnachweis: Wayne Williams
Anna Belak ist Director of Thought Leadership, Sysdig. Anna verfügt über fast zehn Jahre Erfahrung in der Recherche und Beratung von Organisationen zur Cloud-Einführung mit Schwerpunkt auf Best Practices im Bereich Sicherheit. Als Gartner-Analystin hat Anna sechs Jahre lang mehr als 500 Unternehmen bei Schwachstellenmanagement, Sicherheitsüberwachung und DevSecOps-Initiativen unterstützt. Annas Forschung und Vorträge wurden genutzt, um die IT-Strategien von Unternehmen zu transformieren, und ihre Forschungsagenda trug dazu bei, Märkte zu formen. Anna ist Director of Thought Leadership bei Sysdig und nutzt ihr tiefes Verständnis der Sicherheitsbranche, um IT-Experten bei ihrer Cloud-nativen Reise zum Erfolg zu verhelfen. Anna hat an der University of Michigan in Werkstofftechnik promoviert, wo sie Computermethoden zur Untersuchung von Solarzellen und wiederaufladbaren Batterien entwickelt hat.