Sicherheit

VMware entwickelt sich zu einem führenden Anbieter von Cybersicherheitslösungen

Autor: Michael Rebmann – Senior Solution Architect bei VMware und Teil des Solution Engineering Teams in der Schweiz. „Ich arbeite mit der VMware-Community und einigen der größten Kunden in der Schweiz zusammen.“

Für die meisten Unternehmen ist es immer noch neu, dass sie mit VMware über Cybersicherheit sprechen können. Die intrinsische Sicherheitsvision von VMware haben wir zum ersten Mal auf der VMworld 2019 gesehen und seitdem ist sie mehr eine Strategie als eine Vision geworden. Lesen Sie hier wie VMware sich zu einem führenden Anbieter von integrierter Sicherheit entwickelt.

VMware ist nicht neu im Bereich der Unternehmenssicherheit und es begann weder mit Workspace ONE noch mit NSX. Sicherheit war bereits Teil ihrer DNA, da es zum ersten Mal möglich war, dass sich zwei virtuelle Maschinen einen physischen Host teilen und ihnen isolierte Rechenressourcen zugewiesen werden können.

Ein weiteres Beispiel für (intrinsische) Sicherheit kam mit vSAN und der Verschlüsselung von Daten im Ruhezustand, gefolgt von einheitlichem Endpunktmanagement und Identitäts-/Zugangsmanagement mit Workspace ONE. Doch halt!

Es war im August 2013, als Pat Gelsinger NSX als Plattform für die Netzwerkvirtualisierung vorstellte, die bereits die Funktion einer verteilten Firewall enthielt. Die interne Firewall ist nun seit fast 8 Jahren in den VMware-Hypervisor integriert, wow!

NSX Service-Defined Firewall

Ich hatte bisher noch keinen Kunden, welcher nicht über Zero-Trust-Sicherheit mit Mikrosegmentierung sprach, um laterale (Ost-West-) Bewegungen zu verhindern. Zero Trust ist ein Ansatz zur Verbesserung der Rechenzentrumsverteidigung mit der Überprüfung jedes Verkehrsflusses innerhalb des Rechenzentrums. Die Idee besteht darin, die Infrastruktur des Rechenzentrums in kleinere Sicherheitszonen zu unterteilen und den Datenverkehr zwischen den Zonen auf der Grundlage der vom Unternehmen festgelegten Richtlinien zu überprüfen.

Bei der Mikrosegmentierung wird jede virtuelle Maschine oder jeder Workload mit einer Firewall versehen, so dass wir die gesamte Ost-West-Kommunikation schützen können.

Mit der Einführung der Mikro-Segmentierung ist das Problem also gelöst, oder? Nicht ganz. Obwohl das Konzept der Mikrosegmentierung schon seit einiger Zeit bekannt ist, stoßen Unternehmen immer noch auf Hindernisse, wenn sie versuchen, es in der Praxis anzuwenden.

Werfen wir einen Blick auf einige der Hindernisse bei der Mikrosegmentierung und warum diese Lösung allein nicht (mehr) ausreicht, um Zero Trust zu erreichen:

  • Herausforderungen bei der Richtlinienerkennung – Die Identifizierung der richtigen Mikrosegmente und die Konfiguration der richtigen Sicherheitsrichtlinien ist eine äußerst schwierige Aufgabe, insbesondere in einer dynamischen Rechenzentrumsumgebung.
  • Begrenzte Zugriffskontrollen – Die Mikrosegmentierung ausschließlich auf L4-Attribute (z. B. IP-Adressen und Ports) zu stützen, reicht nicht aus. Die flüchtige Natur von Anwendungen und Datenströmen erfordert mehr als das.
  • Abhängigkeit von Agenten – Einige Implementierungen der Mikrosegmentierung erfordern die Installation zusätzlicher Software-Agenten auf jeder virtuellen Maschine (VM), was zu Komplexität und Anfälligkeit führt.
  • Fehlende Erkennung und Abwehr von Bedrohungen – Bedrohungen tarnen sich oft als normal aussehender Datenverkehr. Sich mit einfachen Regeln zum Blockieren von Datenverkehr zu begnügen, ist nicht genug.

Was sagt uns das? Es ist nicht einfach, die aktuelle Topologie der Anwendungen und die Kommunikationsflüsse zwischen ihren Unterdiensten und Komponenten zu verstehen. Und mit Anwendungen, die weniger monolithisch, sondern sehr dynamisch und über mehrere Clouds verteilt sind, wird das fast unmöglich, oder?

NSX Intelligence ist eine von VMware selbst entwickelte Lösung, die die Erkennung von Richtlinien automatisiert, die Kommunikation zwischen Diensten versteht und Abbildungen von Anwendungen und Flüssen (Topologien) erstellen kann.

Können wir davon ausgehen, dass der Verkehr von A nach B über HTTPS mit Mikrosegmentierung per se sicher ist? Nein.

Wenn wir die Möglichkeiten der Verkehrsanalyse verbessern und einen tieferen Einblick in den Verkehr erhalten wollen, können die L7-Funktionen (Anwendungsschicht) für die Mikrosegmentierung genutzt werden.

Firewall-Regeln können keine Anwendungs-IDs verwenden. Eine kontextabhängige Firewall identifiziert Anwendungen und erzwingt eine Mikrosegmentierung für den Ost-West-Verkehr, unabhängig vom Port, den die Anwendung verwendet.

Anderer Anwendungsfall: Für virtuelle Desktop-Infrastrukturen (VDI) können Sie die Fähigkeit von VMware NSX nutzen und identitätsbasierte Firewall-Regeln (IDFW) für Active Directory bereitstellen.

Wir haben jetzt eine Topologie und können kontextabhängige, dienstdefinierte Firewall-Regeln erstellen. Wie können wir nun zwischen gutem und schlechtem Datenverkehr unterscheiden? Wie können wir Netzwerkanomalien erkennen?

Die heutigen Angriffe werden immer ausgeklügelter und Hacker nutzen Maskierungstechniken, um Bedrohungen in normal aussehende Verkehrsströme einzubetten. Die Mikrosegmentierung allein fängt keine versteckten Bedrohungen ab, sondern identifiziert nur Verkehrsströme, die zugelassen oder blockiert werden sollten.

Es ist an der Zeit, über erweiterte Inspektionsfunktionen zu sprechen.

NSX Distributed IDS/IPS

Damit eine Firewall den Datenverkehr prüfen kann, muss der Datenverkehr durch sie hindurchgehen. In einer virtuellen Welt bedeutet dies, dass wir den Datenverkehr von den VMs zu den Firewalls und zurück umleiten. Eine Praxis, die als Hair-Pinning bezeichnet wird:

Das führt zu zusätzlichem Datenverkehr und unnötiger Latenz. NSX verfügt über eine verteilte Architektur, es gibt keine zentralisierte Appliance, die die Sicherheitskapazität einschränkt und der Netzwerkverkehr muss nicht an einen Netzwerksicherheits-Stack zur Überprüfung des Datenverkehrs angehängt werden. Alles, was mit einer physischen Appliance gemacht wird, kann jetzt in Software erledigt werden (siehe Markierung).

Der Begriff “intrinsische Sicherheit” bedeutet immer, dass die Sicherheit in die Infrastruktur integriert ist. Die Mikrosegmentierungsfunktionen, einschließlich NSX Intelligence, kommen ohne Agenten aus – keine Abhängigkeit von Agenten!

Die VMware NSX Distributed IDS/IPS-Funktionalität fügt der Service-definierten Firewall zusätzliche Funktionen zur Überprüfung des Datenverkehrs hinzu und folgt denselben Grundsätzen der intrinsischen Sicherheit.

Hinweis: Diese IDS/IPS-Engines mit Regular Expressions erkennen Verkehrsmuster und sind so programmiert, dass sie nach bösartigen Verkehrsmustern suchen.

NSX Advanced Threat Prevention (ATP)

Auf der VMworld 2020 kündigte VMware NSX Advanced Threat Protection an, das die Technologie der Lastline-Übernahme in die NSX Service-definierte Firewall einbettet.

Soweit ich weiß, war das Kernprodukt von Lastline eine Malware-Sandbox, die tiefer gehen kann (als andere Sandboxen anderer Anbieter), indem sie eine vollständige Systememulation verwendet, um jede Anweisung zu prüfen, die die Malware ausführt.

Das Lastline-System verwendet maschinelles Lernen, das wesentliche Elemente eines Angriffs erkennt, im Gegensatz zu den eng gefassten signaturbasierten Systemen, die die vielen Varianten, die ein Angreifer verwenden kann, übersehen. Der Lastline-Ansatz ist nicht nur eine Anomalie-Erkennung – eine Anomalie-Erkennung behandelt jeden Ausreißer als schlecht und führt zu vielen falsch positiven Ergebnissen. Lastline nutzt das tiefe Verständnis von bösartigem Verhalten, um eindeutig bösartige Aktivitäten wie Ost-West-Bewegungen, Kommando- und Kontrollaktivitäten und Datenexfiltration zu erkennen.

Dies bringt uns zu der leistungsstarken Kombination der bestehenden VMware-Funktionen mit dem kürzlich integrierten Lastline-Funktionssatz:

NSX Network Detection and Response

Network Detection and Response (NDR) ist eine Kategorie von Sicherheitslösungen, die EDR-Tools ergänzen (wir sprechen später über Endpoint Detection and Response).

NSX NDR basiert auf künstlicher Intelligenz (KI) und kann MITRE ATT&CK-Techniken mit den aktuellen Funktionen zuordnen und abwehren:

NSX NDR schützt das Netzwerk, die Cloud und den hybriden Cloud-Verkehr und bietet eine Cloud-basierte und On-Premise-Architektur, die es den Sensoren ermöglicht, einen umfassenden Einblick in den Verkehr zu erhalten, der den Netzwerkperimeter (Nord/Süd) überquert, sowie in den Verkehr, der sich seitlich innerhalb des Perimeters (Ost/West) bewegt.

NSX NDR nutzt eine Kombination aus vier sich ergänzenden Technologien, um fortschrittliche Bedrohungen zu erkennen und zu analysieren:

Behavior-based Network Traffic Analysis (NTA)

Bei den Tools zur Analyse des Netzwerkverkehrs geht es darum, Anomalien im Netzwerk (lokal und in der Public Cloud) zu erkennen und mithilfe von KI Modelle der normalen Netzwerkaktivität zu erstellen und dann bei Anomalien zu warnen.

Die Herausforderung besteht heute darin, dass nicht alle Anomalien bösartig sind. Mit Lastline’s NTA kann VMware nun Bedrohungsverhalten erkennen und diese mit Netzwerkanomalien korrelieren. Dadurch verfügt VMware nach eigenen Angaben über die branchenweit präziseste Bedrohungserkennung mit minimalen Fehlalarmen.

Intrusion Detection and Prevention System (IDPS)

Das NSX Advanced Threat Protection-Bundle umfasst IDS/IPS, das in NSX integriert ist. Das NSX Distributed IDS/IPS nutzt den einzigartigen Anwendungskontext der Hypervisor- und Netzwerkvirtualisierungsschichten, um die Erkennung von Bedrohungen genauer, effizienter und dynamischer zu gestalten.

Zu den wichtigsten Funktionen von NSX Distributed IDS/IPS gehören:

  • Verteilte Analyse
  • Kuratierte, kontextbasierte Signaturverteilung
  • Anwendungskontextgesteuerte Erkennung von Bedrohungen
  • Mobilität von Richtlinien und Zuständen
  • Automatisierte Verwaltung des Lebenszyklus von Richtlinien

Zu den Anwendungsfällen für NSX Distributed IDS/IPS gehören:

  • Einfaches Erreichen der Einhaltung gesetzlicher Vorschriften
  • Virtualisierung von Sicherheitszonen
  • Ersetzen von einzelnen Appliances
  • Virtuelles Patchen von Sicherheitslücken
https://www.youtube.com/watch?v=FkzM37jlHLM&t=1s

NSX Advanced Threat Analyzer (Sandbox)

Der im Lieferumfang von NSX Advanced Threat Prevention enthaltene Advanced Threat Analyzer bietet eine vollständige Malware-Analyse und ermöglicht eine präzise Erkennung und Abwehr von fortschrittlichen Bedrohungen. Er dekonstruiert jedes in eine Datei oder URL eingebaute Verhalten und sieht alle Anweisungen, die ein Programm ausführt, alle Speicherinhalte und alle Aktivitäten des Betriebssystems.

Andere Malware-Erkennungstechnologien, wie z. B. herkömmliche Sandboxen, haben nur einen Einblick bis hinunter zur Betriebssystemebene. Sie können Inhalte untersuchen und potenziell bösartigen Code identifizieren, aber sie können nicht mit Malware interagieren, wie es NSX Advanced Threat Analyzer kann. Infolgedessen haben sie deutlich niedrigere Erkennungsraten und eine höhere Anzahl von Fehlalarmen und können von fortschrittlicher Malware leicht identifiziert und umgangen werden. (Fortgeschrittene Bedrohungen umgehen andere Sandboxing-Technologien, indem sie die Sandbox-Umgebung erkennen oder Exploits auf Kernel-Ebene verwenden).

VMware Threat Analysis Unit (TAU)

Mit der Übernahme von Lastline konnte VMware die Fähigkeiten der VMware Carbon Black Threat Analysis Unit (TAU) mit netzwerkzentrierter Forschung und Verhaltensanalyse weiter ausbauen.

Die VMware Threat Analysis Unit teilt automatisch die Malware-Merkmale, das Verhalten und die zugehörigen IoCs (Indicator of Compromises) jedes bösartigen Objekts, das von VMware kuratiert und analysiert wird, mit allen VMware-Kunden und -Partnern.

Der NSX Advanced Threat Analyzer aktualisiert die VMware TAU kontinuierlich in Echtzeit mit Informationen aus Partner- und Kundenumgebungen auf der ganzen Welt.

NSX Security Packages – Wie man NSX ATP erhält

Laut dem Knowledge Base-Artikel Product Offerings for VMware NSX Security 3.1.x (81231), sind die neuen NSX Security-Editionen seit Oktober 2020 verfügbar:

  • NSX Firewall für Baremetal-Hosts. Für Unternehmen, die eine agentenbasierte Netzwerksegmentierungslösung benötigen.
  • NSX Firewall. Für Unternehmen mit einem oder mehreren Standorten (optional einschließlich Public-Cloud-Endpunkten), die in erster Linie erweiterte Sicherheitsservices, ausgewählte erweiterte Netzwerkfunktionen sowie Einblicke in den Datenverkehr und Sicherheitsabläufe mit NSX Intelligence benötigen.
  • NSX Firewall mit erweitertem Schutz vor Bedrohungen. Für Unternehmen, die sowohl NSX Firewall-Funktionen als auch erweiterte Funktionen zum Schutz vor Bedrohungen benötigen, wie IDS/IPS, Bedrohungsanalyse sowie Netzwerkerkennung und -reaktion.

Anwendungsfall mit Netzwerkvirtualisierung

Wenn Sie ein Kunde mit einer NSX Data Center Advanced- oder Enterprise+-Lizenz sind, der NSX heute nur für die Netzwerkvirtualisierung nutzt, benötigen Sie nur das “NSX ATP Add-on” für NSX Data Center Advanced oder Enterprise+.

Hinweis: Das ATP-Add-on erfordert NSX-T 3.1 und höher.

Anwendungsfall ohne Netzwerkvirtualisierung (kein NSX Data Center)

Wenn Sie vorerst keinen Bedarf an Netzwerkvirtualisierung haben, stehen Ihnen die folgenden Optionen zur Verfügung:

  1. Wenn Sie nach Basis-Firewall-Funktionen suchen, können Sie mit der NSX Firewall-Lizenz beginnen.
  2. Wenn Sie Basis-Firewall-Funktionen plus erweiterten Schutz vor Bedrohungen suchen, dann starten Sie mit NSX Firewall mit Advanced Threat Protection.
  3. Von hier aus können Sie immer noch den Weg der Netzwerkvirtualisierung einschlagen und das NSX Data Center Enterprise+ Add-on für ATP erwerben.

Anwendungsfall für VCF-Kunden

VCF-Kunden haben die Möglichkeit, auch mit dem NSX ATP Add-on für NSX NDC Adv/Ent+ zu starten.

Wenn Sie nach noch mehr Sicherheit suchen, NSX Advanced Load Balancer (GSLB, WAF) und/oder Carbon Black Cloud Workload Protection (NGAV, EDR, Audit & Remediation) wünschen, dann müssen Sie das Add-on “Network and App Security” oder “Advanced Security” erwerben.

Carbon Black Endpoint Detection and Response (EDR)

Vor der Übernahme von Carbon Black verfügte VMware bereits über starke Technologien im Security-Bereich, wurde aber nicht als Anbieter von Cybersicherheit gesehen oder wahrgenommen. Erst durch diese Übernahme wurde der gesamten Branche klar, dass VMware nun als Sicherheitsanbieter ernst genommen werden muss.

Was also ist EDR laut Wikipedia?

“Die Endpoint Detection and Response-Technologie wird verwendet, um Endpunkte, d. h. Computerhardwaregeräte, vor Bedrohungen zu schützen. Die Entwickler, der auf EDR-Technologie basierenden Plattformen, setzen Tools ein, um Daten von Endgeräten zu sammeln und diese Daten dann zu analysieren, um potenzielle Cyber-Bedrohungen und Probleme aufzudecken. Es handelt sich um einen Schutz vor Hacking-Versuchen und Diebstahl von Benutzerdaten. Die Software wird auf dem Endgerät des Benutzers installiert und kontinuierlich überwacht. Die Daten werden in einer zentralisierten Datenbank gespeichert. Wenn eine Bedrohung gefunden wird, wird der Endbenutzer sofort mit einer Liste von Präventivmaßnahmen informiert.

EDR ist unerlässlich, da lokale Aktivitäten auf Rechnern, die möglicherweise bösartig sind, im Netzwerk nicht sichtbar sind. VMware Carbon Black EDR ist eine Lösung für Incident Response und Threat Hunting, die für Security Operations Center (SOCs) und Incident Response (IR) Teams entwickelt wurde. Enterprise EDR wird über die VMware Carbon Black Cloud bereitgestellt, eine Endpunktschutzplattform, die Sicherheit in der Cloud mit einem einzigen Agenten, einer Konsole und einem Datensatz konsolidiert.

Die Übernahme von Lastline, die nach Carbon Black erfolgte, war ein weiterer brillanter Schachzug von VMware!

XDR – VMware Security bringt EDR und NDR zusammen

Auch hier gilt: Während EDR die Endpunkte schützt, schützt NDR das Netzwerk, so dass die gesamte IT-Infrastruktur eines Unternehmens gesichert ist. EDR verschafft den Sicherheitsexperten zwar einen Überblick über möglicherweise gefährdete Endgeräte, aber das reicht nicht aus, wenn ein Angriff bereits über das Netzwerk und in andere Systeme vorgedrungen ist, bis das Sicherheitsteam davon erfährt.

An dieser Stelle kommt XDR ins Spiel. VMware hat seine Extended Detection and Response (XDR)-Strategie auf der VMworld 2020 vorgestellt. Übrigens war es im Jahr 2020, als Gartner XDR als einen der neun wichtigsten Trends im Bereich der Cybersicherheit bezeichnete.

Durch die Bereitstellung einer ganzheitlichen Sicht auf die Aktivitäten im gesamten System, die Sichtbarkeitslücken vermeidet, ermöglicht XDR den Sicherheitsteams zu verstehen, woher eine Bedrohung kommt und wie sie sich in der Umgebung ausbreitet – um sie zu beseitigen. Mit anderen Worten: XDR bietet bessere Analyse- und Korrelationsmöglichkeiten und eine ganzheitliche Sichtweise.

Die XDR-Plattform von VMware ist die Carbon Black Cloud. Die Entwicklung von Carbon Black Cloud zu einer XDR-Plattform umfasst Produktintegrationen mit bestehenden VMware-Produkten wie Workspace ONE, vSphere und der NSX Service-definierten Firewall sowie mit Plattformen von Drittanbietern.

Auf der Veranstaltung Carbon Black Connect 2020 kündigte VMware seine Next-Gen SOC Alliance an, die Integrationen mit der VMware Carbon Black Cloud vorsieht, um wichtige XDR-Funktionen und Kontext in Security Information and Event Management (SIEM)-Technologien zu liefern.

Wir befinden uns in einem epischen Krieg gegen Cyberkriminalität. Wir kennen die asymmetrische Natur dieses Krieges – Sie werden nicht gewinnen, wenn Sie versuchen, Ihr SOC mit mehr Analysten zu besetzen. Sie können den Kampf auch nicht gewinnen, indem Sie eine einzelne Technologie einsetzen, die sich nur auf einen Teil Ihrer IT-Infrastruktur konzentriert. EDR und NDR bilden zusammen mit Ihrem SIEM die erfolgreiche Kombination, die Sie brauchen, um den Krieg zu gewinnen.

Zusammenfassung

Mit der Übernahme von Carbon Black hat VMware eine solide Grundlage für die Cybersicherheit geschaffen, auf der das Unternehmen aufbauen kann. Mit der Übernahme von Lastline fügte VMware seiner internen Firewall Sandboxing und Funktionen zur Analyse des Netzwerkverkehrs hinzu, die von NSX bereitgestellt werden.

Ich glaube, es geht nicht mehr um die Frage, ob VMware ein führender Anbieter von Cybersicherheitslösungen werden kann. VMware verfügt über die fortschrittlichste interne Firewall und ist bereits dabei, ein führender Anbieter von Cybersicherheitslösungen zu werden. Der kürzlich verliehene Global InfoSec Award bestätigt diese Aussage:

  • Most Innovative in Endpoint Security” für VMware Carbon Black Cloud
  • “Marktführer im Bereich Firewall” für VMware NSX Service-defined Firewall

Wenn Sie mehr erfahren und sehen möchten, ist dieses YouTube-Video mit Stijn Vanveerdeghem, Sr. Technical Product Manager und Chad Skipper, Global Security Technologist, ein guter Anfang.

Abonnieren Sie Michael Rebmann auf Twitter, LinkedIn und seinen Blog.

Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf TwitterXINGLinkedIn, Youtube & Podcast

Related Articles