ABSCHIRMEN VON SICHERHEITSLÜCKEN VMware und Trend Micro optimieren Schutz und Leistung Herausforderungen des Patch-Managements Unternehmen kämpfen heutzutage permanent mit immer neuen Schwachstellen. Teilweise werden mehr als sieben kritische Patches jeden Tag veröffentlicht. Dieser schier endlose Patching-Zyklus ist äußerst zeit- und ressourcenaufwändig, und dennoch ist es praktisch unmöglich, die IT stets auf aktuellem Patch-Stand zu halten. Eine kürzlich durchgeführte Umfrage ergab, dass ein Drittel der Unternehmen unangemessen viel Zeit und Ressourcen ins Patch-Management investiert, und zwar am meisten von allen IT-Sicherheitsaufgaben. Dennoch halten lediglich 22 Prozent ihr Patch-Management für sehr effektiv. Hinzu kommt, dass Virtualisierung die Sicherheitsherausforderungen weiter erhöht: Herkömmliche Ansätze beim Patchen in virtuellen Umgebungen können nämlich dazu führen, dass sowohl der Schutz als auch die Performance der Umgebung beeinträchtigt wird. der Einsatz von agentenloser Sicherheit für virtuelles Patching ergänzt die vorhandenen PatchManagementprozesse durch ein Schutzschild für bekannte und potenzielle Schwachstellen, ohne die Leistung der virtuellen Umgebungen zu mindern. Wo ist ein Unternehmen am verwundbarsten? Unternehmen müssen bekannte und unbekannte Schwachstellen in einer Vielfalt an kritischen Anwendungen und Systemen abschirmen. Unternehmensanwendungen: Jedes Jahr werden tausende kritischer Softwarefehler und Lücken in Betriebssystemen, Datenbanken, Servern und Anwendungen gemeldet. Das Schließen dieser Schwachstellen kann sehr störend für den Betriebsablauf sein. Auch wenn ein Patch vorhanden ist, dauert es unter Umständen Wochen und Monate, bis dieser vollständig aufgespielt ist. Legacy-Webanwendungen: Die meisten Angriffe auf Datensätze werden über SQL Injection in Webanwendungen durchgeführt, denn die sind für Angreifer grundsätzlich offen und zugänglich. Perimetersicherheit schützt diese Systeme nicht, und es kann sehr schwierig werden, die erforderlichen Entwicklerressourcen bereitzustellen, um die Mängel im Code zu beheben. Nicht unterstützte Betriebssysteme und Anwendungen: Für ältere Betriebssysteme und Anwendungen, die das Ende ihres Lebenszyklus erreicht haben, werden keine Patches mehr entwickelt oder veröffentlicht. Virtuelles Patching ist häufig die einzige kostengünstige Möglichkeit, auch weiterhin den Schutz für diese nicht mehr unterstützten Systeme zu gewährleisten. Abgeschottete Systeme: Einsatzkritische Systeme, die in den täglichen Betrieb involviert sind, müssen rund um die Uhr in Betrieb sein und können daher nicht gepatcht werden. Ihre Abschaltung würde auf Kosten des Umsatzes oder der Produktivität der Organisation gehen. Auswirkung auf virtuelle Umgebungen Virtualisierte Desktops und Rechenzentren sollten dasselbe Level des virtuellen Patchings erhalten wie die physischen Systeme. Herkömmliche agentenbasierte Lösungen, die nicht auf Virtualisierung ausgerichtet sind, können eine Reihe von betrieblichen Sicherheitsproblemen verursachen. Ressourcenverbrauch: Herkömmliche Sicherheitsagenten etwa für virtuelles Patching benötigen auch bei Inaktivität einen erheblichen Hauptspeicheranteil in jeder virtuellen Maschine (VM), vor allem wenn mehrere Agenten für verschiedene Sicherheitsaufgaben in jeder Maschine vorhanden sind. Die Folge ist eine geringere Konsolidierungsquote und höhere Betriebskosten sowie Investitionsausgaben. Verschlechterung der Netzwerkqualität: Herkömmliche Sicherheitsprodukte arbeiten in virtuellen Umgebungen sehr ineffizient, denn der gesamte Verkehr zwischen den VMs muss in eine zentrale Appliance umgelenkt werden, in der das Scanning stattfindet. Diese Umleitung führt häufig zu Compliance-Problemen, mindert die Netzwerkleistung oder erzeugt im Netz einen Verkehrsstau. Plötzliche Lücken: Werden VMs häufig aktiviert und wieder abgeschaltet, so ist ein konsistentes, immer aktuelles Patchen schwierig. Inaktive VMs aber, die nicht gepatcht wurden, können massive Sicherheitsschwachstellen in das Netzwerk einschleusen, sobald sie aktiviert werden. Betrieblicher Overhead: Administratoren müssen sicherstellen, dass neue VMs die aktuellsten Patches erhalten. Ein konsistentes Patching aufrecht zu erhalten, wenn VMs verschoben werden oder ihren Status ändern, erfordert einen hohen Zeitaufwand und lässt dennoch immer wieder Sicherheitslücken zu. SEITE 1 VON 3 • LÖSUNGSKONZEPT • AGENTENLOSES ABSCHIRMEN VON SICHERHEITSLÜCKEN Vorteile von agentenlosem Virtual Patching VMware und Trend Micro bieten gemeinsam ein agentenloses Schwachstellen-Shielding für virtualisierte Rechenzentren. Die Vorteile davon sind: eine höhere Konsolidierungsquote durch die Verlagerung des virtuellen Patchings von individuellen VMs auf eine einzelne virtuelle SicherheitsAppliance auf jedem vSphereHost, höhere Performance durch die Neutralisierung von so genannten „Sicherheitsstürmen“ und von Ressourcenkonflikten infolge eines simultanen Patchens, einfachere Verwaltbarkeit durch das Ausschalten von Agenten für das virtuelle Patchen und das Wegfallen der Konfiguration und des Updates jedes einzelnen Agenten sowie höhere Sicherheit durch sofortigen Schutz für neue VMs infolge der Koordination durch die Sicherheits-Appliance. VMware vSphere optimiert die Sicherheit durch die Auslagerung der herkömmlichen agentenbasierten Sicherheitsfunktionen jeder einzelnen VM auf dedizierte, gehärtete virtuelle Maschinen, die auf jedem Host laufen und von VMware-Partnern angeboten werden Trend Micro™ Deep Security bietet eine gehärtete virtuelle Maschine, die die VMwareAPIs nutzt, um agentenloses virtuelles Patchen (zusätzlich zu weiteren agentenlosen Sicherheitsfunktionen) für VMwares virtuelle Maschinen zu ermöglichen. Trend Micro Deep Security Trend Micro Deep Security schirmt Schwachstellen in kritischen Systemen ab, und zwar solange, bis ein Patch dafür vorhanden und ausgerollt ist – oder auch anstelle von künftigen Patches, die möglicherweise nie kommen. Deep Security kann als einzelne virtuelle Appliance auf einem VMware ESX Server installiert werden, um einen agentenlosen Schutz für Gast-VMs zu liefern. Mit dem agentenlosen virtuellen Patching für VMware-VMs erhalten Kunden eine zeitnahe, kostengünstige Ergänzung zu herkömmlichen Patching-Prozessen und können damit Kosten erheblich senken, Betriebstörungen reduzieren und ihre Kontrolle über das Terminieren von Patches verbessern. Zudem sind die einsatzkritischen Unternehmenssysteme und -anwendungen besser gegen Datendiebstahl geschützt. VMware vSphere VMware vSphere unterstützt Anwender dabei, Schlüsselfunktionen der Sicherheit wie zum Beispiel virtuelles Patcheng auf eine eigens darauf ausgerichtete Sicherheits-Appliance auszulagern und damit die Sicherheitsagenten aus den virtuellen Maschinen abzuschaffen. Diese fortschrittliche Architektur mindert den Verbrauch von Systemressourcen, verbessert die Performance und vermeidet das Risiko von „Sicherheitsstürmen“. Mit einer gehärteten virtuellen Sicherheits-Appliance von Trend Micro nutzt vSphere robuste und sichere Introspektionfähigkeiten für den Hypervisor, um die Kompromittierung der Schutzfunktionalität zu verhindern. Detailliertes Logging der Aktivitäten des Sicherheitsservice ermöglichen Compliance-Nachweise und das Erfüllen der Auditforderungen. Deep Security schützt unser medizinisches System, indem die Lösung proaktiv Schwachstellen in der Webanwendung für elektronische Gesundheitsdaten sowie in Betriebssystemen abschirmt und sie gegen zielgerichtete Angriffe schützt, solange bis Patches installiert werden können. “ VMware und Trend Micro liefern gemeinsam agentenlose Sicherheit, die das virtuelle Patching sowohl für virtualisierte Desktops als auch für Rechenzentren ermöglicht. Die gemeinsame Lösung minimiert die Auswirkung auf die VM-Performance und reduziert Konfliktsituationen durch die beiden aufeinander abgestimmten Lösungen: ” Agentenloses virtuelles Patchen schirmt Schwachstellen ohne Performance-Einbuße ab Bill Gillis, Beth Israel Deaconess Medical Center Funktionsweise von agentenlosem virtuellem Patching 1. VMware vCloud Networking and Security ermöglicht die agentenlose VM-Introspektion, das Monitoring aktiver, neuer und reaktivierter VMs, um Sicherheit auch für die neuesten Schwachstellen zu liefern. 2. VMware vCloud Networking and Security bietet Trend Micro Deep Security die Möglichkeit, mit den Gast-VMs zu kommunizieren und virtuelle Patches aufzubringen. 3. Trend Micro Deep Security nutzt eine eigens darauf ausgerichtete, gehärtete virtuelle Appliance, die die VMware vShield APIs verwendet, um agentenlose Sicherheit zu liefern. 4. Dieser gemeinsame Ansatz erlaubt es, Schwachstellen abzuschirmen, ohne Sicherheitsagenten in den Gast-VMs zu installieren. SEITE 2 VON 3 • LÖSUNGSKONZEPT • AGENTENLOSES ABSCHIRMEN VON SICHERHEITSLÜCKEN Fähigkeiten des agentenlosen virtuellen Patchings Regeln für Intrusion Detection and Prevention (IDS/IPS) schirmen bekannte Schwachstellen ab – beispielsweise solche, die am monatlichen Patch-Dienstag von Microsoft gemeldet werden – und verhindern, dass die Lücken ausgenützt werden. Die Lösung bietet einen schlüsselfertigen Schwachstellenschutz für mehr als 100 Anwendungen, einschließlich Datenbanken, Webanwendungen, E-Mail und FTP-Server. Darüber hinaus bieten die IDS/IPSRegeln auch Schutz vor Zero-Day-Sicherheitslücken, für die es noch keinen Patch gibt. Recommendation Scanning vereinfacht sowohl das Sicherheits-Update-Management als auch das Patching, indem die Funktionalität automatisch vorschlägt, welche Regeln für den Schutz eines bestimmten Systems einzuführen sind. Deep Security scannt das System, um herauszufinden, welche IDS/IPS-Regeln für die Optimierung des Schutzes anzuwenden sind. Dies geschieht auf der Basis der Betriebssystemversion, des Service Packs, Patch-Levels und installierter Anwendungen. Ändert sich die Serverumgebung und sind die Patches installiert, so empfiehlt Deep Security, welche Regeln wieder entfernt werden können, um die Ressourcen zu entlasten. Die bidirektionale, unternehmensweite stateful Firewall ermöglicht die Kommunikation über Ports und Protokolle, die für den korrekten Serverbetrieb erforderlich sind, und blockiert alle anderen Ports und Protokolle. Auf diese Weise lässt sich für die das Risiko eines unerlaubten Zugriffs auf die Server reduzieren. Schutzregeln für Webapplikationen schützen vor SQL Injection-Angriffen, Cross Site Scripting und anderen Attacken auf mögliche Sicherheitslücken. Sie werden so lange abgeschirmt, bis Code-Fixes fertiggestellt sind. Inter-VM-Schutz nutzt eine einzige virtuelle Appliance, um für mehrere VMs host-basierten Schutz zu gewährleisten. Damit erhalten Kunden die Möglichkeit, den Verkehr zwischen den VMs zu überwachen und dennoch Policies für jede VM festzulegen. Sicherheits-Updates von einem eigenen Expertenteam gewährleisten den aktuellsten Schutz, indem sie stetig eine Reihe von Quellen für die Veröffentlichung von Schwachstelleninformationen verfolgen, um so die neuen relevanten Bedrohungen und Schwachstellen zu erkennen. Trend Micro nimmt unter anderem auch am „Microsoft Active Protections Program“ teil, um frühzeitig aufkommende Bedrohungen vorweg nehmen zu können und einen schnellen Schutz zu liefern. Der Schutz von physischen, virtualisierten und Cloud-Umgebungen stellt sicher, dass Schwachstellen abgeschirmt sind, unabhängig davon, wie die Hosts installiert sind. Zusätzlich zum Schutz für Gast-VMs nutzt Deep Security VMware APIs für den virtualisierungsspezifischen Schutz. Wahl der richtigen Lösung für Schwachstellen-Shielding VMware hat starke APIs entwickelt, um die Sicherheit zu verbessern. Trend Micro wiederum ist führend bei Virtual Patching-Lösungen. Mit einer führenden Virtualisierungsplattform und Sicherheit, die zu dem Kundenunternehmen passt, unterstützen VMware und Trend Micro ihre Anwender dabei, maximalen Schutz bei minimaler Komplexität zu erreichen. Weitere Informationen unter: http://www.trendmicro.de/grossunternehmen/virtualisierungund-cloud-sicherheit/virtuelles-patching/ Securing Your Journey to the Cloud ©2013 Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer. SEITE 3 VON 3 • LÖSUNGSKONZEPT • AGENTENLOSES ABSCHIRMEN VON SICHERHEITSLÜCKEN