Neue Studie: Studie zu den globalen Kosten von Ransomware. Erfahren Sie, was Vorfälle Sie kosten.
Holen Sie sich den Bericht

Haben Sie einen Vorfall erlebt?

|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

Agentenbasierte oder agentenlose Sicherheit: Was ist der beste Ansatz?

Christer Swartz
,
Marketingleiter für Lösungen
March 21, 2025
23 min. Lesedauer

Seit Jahren ist Cybersicherheit ein Spiel der Kompromisse. Willst du starke Sicherheit? Seien Sie auf Komplexität und Leistungseinbußen vorbereitet. Benötigen Sie einen leichten Ansatz? Machen Sie sich bereit, Sichtbarkeit und Kontrolle zu opfern.

Aus diesem Grund gibt es in erster Linie die Debatte über agentenbasierte und agentenlose Sicherheit.

Traditionelle Sicherheitsteams müssen zwischen umfassendem Schutz und betrieblicher Effizienz wählen. Agentenbasierte Lösungen bieten granulare Transparenz und Durchsetzung, sind jedoch mit einem Ressourcenaufwand verbunden. Agentenlose Sicherheit minimiert die Auswirkungen auf Workloads, es fehlen jedoch tiefe Einblicke und eine präzise Kontrolle.

Was ist also der richtige Ansatz für moderne Cybersicherheit? Lassen Sie uns das aufschlüsseln.

Cybersicherheitsagenten: Vor- und Nachteile

Die direkte Bereitstellung eines Cybersicherheitsagenten auf einem Workload kann eine wirksame Methode zur Erhöhung der Sicherheit sein. Es ist aber auch mit Kompromissen verbunden.

Wenn Sie eine Sicherheitslösung als Agent direkt auf einem Workload bereitstellen, bringen Sie den Schutz so nah wie möglich an die Ressource heran, die ihn benötigt. Das bedeutet:

  • Stärkere Sicherheit. Die Vertrauensgrenze ist genau da, wo sie sein muss, wodurch das Risiko von Lücken verringert wird.
  • Granulare Sichtbarkeit. Sie können genau sehen, wie sich Anwendungen verhalten, Prozesse verfolgen und detaillierte Analysen direkt aus dem Workload selbst abrufen.
  • Bessere Bedrohungserkennung. Erkenntnisse aus der Kernel-Ebene (dem Kern des Systems) helfen dabei, Bedrohungen zu identifizieren, die agentenlose Lösungen möglicherweise übersehen.

Natürlich ist das Hinzufügen eines Agenten zu einer Arbeitslast nicht ohne Nachteile:

  • Nutzt Systemressourcen. Jeder Agent benötigt etwas CPU und Arbeitsspeicher, um ausgeführt zu werden.
  • Überlegungen zum Verkehrsmanagement. Der Agent muss entweder in der Schlange sitzen und den Verkehr kontrollieren (was die Dinge verlangsamen könnte) oder im Out-of-Band-Modus arbeiten, um Engpässe zu vermeiden, aber möglicherweise die Sicht einzuschränken.

Einige Teams bevorzugen agentenlose Sicherheit, um den Ressourcenverbrauch zu vermeiden. Stattdessen verlassen sie sich auf Cloud-Dienste, Netzwerk-Switches oder APIs, um Verkehrsflussdaten zu sammeln und Richtlinien durchzusetzen.

Dieser Ansatz kann den Overhead reduzieren. Aber es geht auch zu Einbußen bei Sichtbarkeit und Kontrolle. Ohne einen Agenten an der Arbeitslast ist es schwieriger, Prozesse zu überwachen, Bedrohungen frühzeitig zu erkennen oder präzise Richtlinien durchzusetzen.

Letztlich kommt es bei der Entscheidung auf Kompromisse an. Wenn Sie sich dafür entscheiden, einen Agenten auf einer Arbeitslast bereitzustellen, müssen Sie auch entscheiden, wie leicht er sein soll. Ein gut konzipierter, effizienter Agent kann alle Vorteile umfassender Sicherheit bieten, ohne Ihre Workloads zu verlangsamen.

Wo sollten Sie Sicherheitsagenten im Betriebssystem einsetzen?

Für viele Anwendungseigentümer können Agenten als Risiko empfunden werden. Bei den meisten Cloud- und Rechenzentrumshostern laufen bereits mehrere Agenten, sodass das Hinzufügen eines weiteren Agents Bedenken aufwirft:

  • Wird es mit bestehenden Agenten in Konflikt geraten?
  • Verlangsamt es das System, indem es zu viele Ressourcen verbraucht?
  • Was passiert, wenn der Agent ausfällt — könnte er meine Bewerbung kaputt machen?

Niemand möchte, dass seine kritischen Arbeitsabläufe unterbrochen werden, weil ein Agent einen Ausfall verursacht hat.

Agenten können an einer von zwei Stellen innerhalb eines Betriebssystems (OS) eingesetzt werden:

  • Benutzerbereich: wo Anwendungen leben
  • Kernel-Speicherplatz: der Kern des Betriebssystems, der Systembibliotheken, Speicherverwaltung, Gerätetreiber und Sicherheitskomponenten verwaltet

Agenten im Benutzerbereich: die sicherere Option mit geringem Risiko

Der Einsatz eines Sicherheitsagenten im Benutzerbereich ist eine risikoarme Methode, um die Sicherheit zu verbessern, ohne kritische Systemprozesse zu stören.

Der Benutzerbereich ist der Ort, an dem Anwendungen ausgeführt werden. Es ist getrennt von den Kernfunktionen des Betriebssystems, die dafür sorgen, dass alles reibungslos funktioniert. Dadurch wird der Agent außerhalb des Frequenzbereichs des Netzwerkverkehrs platziert, sodass das Risiko vermieden wird, zu einem Verkehrsengpass zu werden.

Ein Nachteil dieses Ansatzes ist jedoch der geringere Einblick in die granularen Details von Prozessen, die tiefer im Kernelraum liegen. Es macht es auch schwieriger, den Verkehr für eine genauere Inspektion abzufangen.

Agenten im Kernelspace: mehr Leistung, aber mehr Risiko

Wenn Sie einen Agenten im Kernelbereich platzieren, erhalten Sie einen umfassenden Einblick in Anwendungen und Systemressourcen. Auf diese Weise können Sicherheitsteams Prozesse überwachen und den Netzwerkverkehr in Echtzeit überprüfen.

Bei der Inline-Bereitstellung erhalten Sie Deep-Packet-Inspection und erweiterte Sicherheitskontrollen, die über das hinausgehen, was ein User Space Agent bieten kann.

Aber diese Macht ist mit Risiken verbunden. Da der Agent im Kern des Betriebssystems arbeitet, können Ausfälle Workloads stören, den Datenverkehr blockieren oder Systeme sogar Bedrohungen aussetzen.

Dies sind nicht nur hypothetische Ausfälle — die aufsehenerregenden Ausfälle vom letzten Juli wurden durch den Ausfall von Kernel-Weltraumagenten verursacht, was die Gefahren falsch verwalteter Bereitstellungen beweist.

Der Illumio VEN: ein leichter, ausfallsicherer Agent

Der Virtual Enforcement Node (VEN) von Illumio ist ein leichter Agent, der auf Effizienz und Sicherheit ausgelegt ist.

Anstatt die Komplexität zu erhöhen, arbeitet es mit der integrierten Firewall Ihres Betriebssystems und automatisiert die Durchsetzung, ohne den Datenverkehr zu unterbrechen.

So funktioniert der VEN

Illumio ersetzt nicht die vorhandenen Netzwerksicherheitstools des Betriebssystems — es verbessert sie. Ob iptables oder nftables unter Linux, Windows Filtering Platform unter Windows oder ALF unter macOS, der VEN-Agent von Illumio verwaltet einfach, was bereits da ist.

Da der Agent von Illumio im Benutzerbereich ausgeführt wird, passt er sich nicht dem Datenverkehr an und fängt auch keine Anwendungsabläufe ab. Stattdessen sammelt es Erkenntnisse aus der Betriebssystem-Firewall. Dies bietet einen klaren Überblick über alle Anwendungsabhängigkeiten in der gesamten Umgebung.

Das VEN verwendet auch ein auf Bezeichnungen basierendes Richtlinienmodell, wodurch Sicherheitsrichtlinien für Menschen lesbar und einfach zu verwalten sind. Es übersetzt diese Richtlinien in die richtige Syntax für jede Betriebssystem-Firewall. Dies gewährleistet eine reibungslose Durchsetzung ohne zusätzliche Komplexität.

Im Grunde funktioniert Illumios Agent wie eine Antenne. Es fängt den Datenverkehr nicht ab oder kopiert ihn nicht, sondern sammelt Daten von der Betriebssystem-Firewall und meldet sie an Illumio Core zurück.

Diagram of Illumio Core with two workloads running Illumio Agents, connected via red dotted lines.

Illumio Core sendet dann Richtlinienanweisungen an den Agenten zurück, der die Firewall konfiguriert. Dieser Ansatz gewährleistet:

  • Keine Auswirkung auf die Anwendungsleistung
  • Keine Sicherheitslücken, wenn ein Agent ausfällt
  • Kontinuierlicher Einblick in Anwendungsabhängigkeiten

Durch die Automatisierung vorhandener Betriebssystem-Firewalls, anstatt sie zu ersetzen, bietet Illumio eine Sicherheitslösung, die leicht, effektiv und widerstandsfähig ist — und das alles ohne die Risiken der herkömmlichen Inline-Durchsetzung.

Der ausfallsichere Ansatz von Illumio

Einige Lösungen platzieren Sicherheitsagenten tief im Kernelbereich, um direkten Zugriff auf Systemprozesse zu erhalten und den Datenverkehr für detaillierte Sicherheitskontrollen abzufangen.

Das klingt zwar nach einer guten Idee, führt aber zu redundanten Durchsetzungspunkten, sodass der Datenverkehr durch zwei Firewalls statt durch eine geleitet wird.

Außerdem stehen die Kernel-Weltraumagenten in der Reihe des Verkehrs, was bedeutet, dass ein Ausfall schwerwiegende Folgen haben könnte:

  • Wenn der Agent schlägt fehl beim Öffnen, die Sicherheit verschwindet und das System bleibt ungeschützt.
  • Wenn es scheitert geschlossen, der gesamte Verkehr stoppt und stört Anwendungen und Geschäftsabläufe.

Das Lightweight Agent-Modell von Illumio schließt diese Risiken aus. Da es im Benutzerbereich ausgeführt wird, hat ein Agentenausfall keine Auswirkungen auf die Sicherheit oder den Datenverkehr. Die Betriebssystem-Firewall bleibt mit den letzten bekannten Regeln aktiv und gewährleistet so einen kontinuierlichen Schutz.

Side-by-side comparison of agent deployment choices: one into user space (left) and one into kernel space (right)
Illumio stellt den VEN-Agenten im Benutzerbereich bereit und automatisiert so bestehende Betriebssystem-Firewalls.

Starke Wirkstoffe mit geringem Risiko sind die beste Wahl

Der Schlüssel zur modernen Cybersicherheit liegt darin, das richtige Gleichgewicht zu finden. Das bedeutet, die Vertrauensgrenze genau dort zu platzieren, wo sie sein muss, ohne die Dinge zu verlangsamen.

Der agentenbasierte Ansatz von Illumio bietet Ihnen das Beste aus beiden Welten — starke Sicherheit, ohne Ihre Workloads zu verlangsamen. Es gibt keinen Kompromiss zwischen Schutz und Leistung. Und kein Risiko, dass ein Agentenausfall Ihren Betrieb stört.

Da Illumio Out-of-Band läuft und leichtgewichtig und passiv bleibt, bietet es klare Transparenz und einfach zu verwaltende Sicherheitsrichtlinien, die auf Geschäftsanforderungen und nicht auf starren Netzwerkregeln basieren.

Willst du es in Aktion sehen? Kontaktieren Sie uns noch heute für eine kostenlose Beratung und Demo.

Verwandte Themen

Mikrosegmentierung

In Verbindung stehende Artikel

5 Gründe, warum CNApps Ihre Cloud-Sicherheit einschränken
Zero-Trust-Segmentierung

5 Gründe, warum CNApps Ihre Cloud-Sicherheit einschränken

Erfahren Sie, warum CNApps Ihre Sicherheit nur bis zu einem gewissen Grad verbessern kann und wie Zero Trust Segmentation Ihnen helfen kann.

Lesen Sie mehr
John Kindervag erzählt die Entstehungsgeschichte von Zero Trust
Zero-Trust-Segmentierung

John Kindervag erzählt die Entstehungsgeschichte von Zero Trust

Erfahren Sie, wie John Kindervag mit Zero Trust begann, seine frühen Recherchen zu Best Practices von Zero Trust und seine Ratschläge für Unternehmen auf ihrem Weg zu Zero Trust.

Lesen Sie mehr
Wie Illumio kohärente Sicherheit für Container entwickelt
Zero-Trust-Segmentierung

Wie Illumio kohärente Sicherheit für Container entwickelt

Erfahren Sie, wie Illumio Sicherheitsrichtlinien durchsetzt und vollständige Transparenz in allen Umgebungen bietet — alles auf einer Plattform.

Lesen Sie mehr
Was macht Illumios Agent zuverlässiger als Inline-Agenten
Zero-Trust-Segmentierung

Was macht Illumios Agent zuverlässiger als Inline-Agenten

Illumio konzentriert sich auf Ziele zur Risikominderung und verfolgt einen unkomplizierten Umgang mit Paketen. So können Sie über Sicherheit nachdenken, ohne sich Gedanken über einen zuverlässigen Agenten machen zu müssen.

Lesen Sie mehr
Wie Illumio das groß angelegte Mikrosegmentierungsprojekt von eBay vereinfachte
Zero-Trust-Segmentierung

Wie Illumio das groß angelegte Mikrosegmentierungsprojekt von eBay vereinfachte

Erfahren Sie mehr über die Erfolgsgeschichte von eBay über die Nutzung der Illumio Zero Trust Segmentation (ZTS) Platform zur Einführung von Mikrosegmentierung im gesamten Netzwerk.

Lesen Sie mehr
Balance zwischen Sicherheit und betrieblicher Belastbarkeit: Illumios Strategie für sichere und stabile Softwareversionen
Illumio Produkte

Balance zwischen Sicherheit und betrieblicher Belastbarkeit: Illumios Strategie für sichere und stabile Softwareversionen

Verschaffen Sie sich einen Überblick über die Designentscheidungen, die wir für die Illumio-Plattform getroffen haben, um Ihre Sicherheit zu gewährleisten und gleichzeitig die Auswirkungen eines Worst-Case-Szenarios zu reduzieren.

Lesen Sie mehr

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr