/
Zero-Trust-Segmentierung

Agentenbasierte oder agentenlose Sicherheit: Was ist der beste Ansatz?

Seit Jahren ist Cybersicherheit ein Spiel der Kompromisse. Willst du starke Sicherheit? Seien Sie auf Komplexität und Leistungseinbußen vorbereitet. Benötigen Sie einen leichten Ansatz? Machen Sie sich bereit, Sichtbarkeit und Kontrolle zu opfern.

Aus diesem Grund gibt es in erster Linie die Debatte über agentenbasierte und agentenlose Sicherheit.

Traditionelle Sicherheitsteams müssen zwischen umfassendem Schutz und betrieblicher Effizienz wählen. Agentenbasierte Lösungen bieten granulare Transparenz und Durchsetzung, sind jedoch mit einem Ressourcenaufwand verbunden. Agentenlose Sicherheit minimiert die Auswirkungen auf Workloads, es fehlen jedoch tiefe Einblicke und eine präzise Kontrolle.

Was ist also der richtige Ansatz für moderne Cybersicherheit? Lassen Sie uns das aufschlüsseln.

Cybersicherheitsagenten: Vor- und Nachteile

Die direkte Bereitstellung eines Cybersicherheitsagenten auf einem Workload kann eine wirksame Methode zur Erhöhung der Sicherheit sein. Es ist aber auch mit Kompromissen verbunden.

Wenn Sie eine Sicherheitslösung als Agent direkt auf einem Workload bereitstellen, bringen Sie den Schutz so nah wie möglich an die Ressource heran, die ihn benötigt. Das bedeutet:

  • Stärkere Sicherheit. Die Vertrauensgrenze ist genau da, wo sie sein muss, wodurch das Risiko von Lücken verringert wird.
  • Granulare Sichtbarkeit. Sie können genau sehen, wie sich Anwendungen verhalten, Prozesse verfolgen und detaillierte Analysen direkt aus dem Workload selbst abrufen.
  • Bessere Bedrohungserkennung. Erkenntnisse aus der Kernel-Ebene (dem Kern des Systems) helfen dabei, Bedrohungen zu identifizieren, die agentenlose Lösungen möglicherweise übersehen.

Natürlich ist das Hinzufügen eines Agenten zu einer Arbeitslast nicht ohne Nachteile:

  • Nutzt Systemressourcen. Jeder Agent benötigt etwas CPU und Arbeitsspeicher, um ausgeführt zu werden.
  • Überlegungen zum Verkehrsmanagement. Der Agent muss entweder in der Schlange sitzen und den Verkehr kontrollieren (was die Dinge verlangsamen könnte) oder im Out-of-Band-Modus arbeiten, um Engpässe zu vermeiden, aber möglicherweise die Sicht einzuschränken.

Einige Teams bevorzugen agentenlose Sicherheit, um den Ressourcenverbrauch zu vermeiden. Stattdessen verlassen sie sich auf Cloud-Dienste, Netzwerk-Switches oder APIs, um Verkehrsflussdaten zu sammeln und Richtlinien durchzusetzen.

Dieser Ansatz kann den Overhead reduzieren. Aber es geht auch zu Einbußen bei Sichtbarkeit und Kontrolle. Ohne einen Agenten an der Arbeitslast ist es schwieriger, Prozesse zu überwachen, Bedrohungen frühzeitig zu erkennen oder präzise Richtlinien durchzusetzen.

Letztlich kommt es bei der Entscheidung auf Kompromisse an. Wenn Sie sich dafür entscheiden, einen Agenten auf einer Arbeitslast bereitzustellen, müssen Sie auch entscheiden, wie leicht er sein soll. Ein gut konzipierter, effizienter Agent kann alle Vorteile umfassender Sicherheit bieten, ohne Ihre Workloads zu verlangsamen.

Wo sollten Sie Sicherheitsagenten im Betriebssystem einsetzen?

Für viele Anwendungseigentümer können Agenten als Risiko empfunden werden. Bei den meisten Cloud- und Rechenzentrumshostern laufen bereits mehrere Agenten, sodass das Hinzufügen eines weiteren Agents Bedenken aufwirft:

  • Wird es mit bestehenden Agenten in Konflikt geraten?
  • Verlangsamt es das System, indem es zu viele Ressourcen verbraucht?
  • Was passiert, wenn der Agent ausfällt — könnte er meine Bewerbung kaputt machen?

Niemand möchte, dass seine kritischen Arbeitsabläufe unterbrochen werden, weil ein Agent einen Ausfall verursacht hat.

Agenten können an einer von zwei Stellen innerhalb eines Betriebssystems (OS) eingesetzt werden:

  • Benutzerbereich: wo Anwendungen leben
  • Kernel-Speicherplatz: der Kern des Betriebssystems, der Systembibliotheken, Speicherverwaltung, Gerätetreiber und Sicherheitskomponenten verwaltet

Agenten im Benutzerbereich: die sicherere Option mit geringem Risiko

Der Einsatz eines Sicherheitsagenten im Benutzerbereich ist eine risikoarme Methode, um die Sicherheit zu verbessern, ohne kritische Systemprozesse zu stören.

Der Benutzerbereich ist der Ort, an dem Anwendungen ausgeführt werden. Es ist getrennt von den Kernfunktionen des Betriebssystems, die dafür sorgen, dass alles reibungslos funktioniert. Dadurch wird der Agent außerhalb des Frequenzbereichs des Netzwerkverkehrs platziert, sodass das Risiko vermieden wird, zu einem Verkehrsengpass zu werden.

Ein Nachteil dieses Ansatzes ist jedoch der geringere Einblick in die granularen Details von Prozessen, die tiefer im Kernelraum liegen. Es macht es auch schwieriger, den Verkehr für eine genauere Inspektion abzufangen.

Agenten im Kernelspace: mehr Leistung, aber mehr Risiko

Wenn Sie einen Agenten im Kernelbereich platzieren, erhalten Sie einen umfassenden Einblick in Anwendungen und Systemressourcen. Auf diese Weise können Sicherheitsteams Prozesse überwachen und den Netzwerkverkehr in Echtzeit überprüfen.

Bei der Inline-Bereitstellung erhalten Sie Deep-Packet-Inspection und erweiterte Sicherheitskontrollen, die über das hinausgehen, was ein User Space Agent bieten kann.

Aber diese Macht ist mit Risiken verbunden. Da der Agent im Kern des Betriebssystems arbeitet, können Ausfälle Workloads stören, den Datenverkehr blockieren oder Systeme sogar Bedrohungen aussetzen.

Dies sind nicht nur hypothetische Ausfälle — die aufsehenerregenden Ausfälle vom letzten Juli wurden durch den Ausfall von Kernel-Weltraumagenten verursacht, was die Gefahren falsch verwalteter Bereitstellungen beweist.

Der Illumio VEN: ein leichter, ausfallsicherer Agent

Der Virtual Enforcement Node (VEN) von Illumio ist ein leichter Agent, der auf Effizienz und Sicherheit ausgelegt ist.

Anstatt die Komplexität zu erhöhen, arbeitet es mit der integrierten Firewall Ihres Betriebssystems und automatisiert die Durchsetzung, ohne den Datenverkehr zu unterbrechen.

So funktioniert der VEN

Illumio ersetzt nicht die vorhandenen Netzwerksicherheitstools des Betriebssystems — es verbessert sie. Ob iptables oder nftables unter Linux, Windows Filtering Platform unter Windows oder ALF unter macOS, der VEN-Agent von Illumio verwaltet einfach, was bereits da ist.

Da der Agent von Illumio im Benutzerbereich ausgeführt wird, passt er sich nicht dem Datenverkehr an und fängt auch keine Anwendungsabläufe ab. Stattdessen sammelt es Erkenntnisse aus der Betriebssystem-Firewall. Dies bietet einen klaren Überblick über alle Anwendungsabhängigkeiten in der gesamten Umgebung.

Das VEN verwendet auch ein auf Bezeichnungen basierendes Richtlinienmodell, wodurch Sicherheitsrichtlinien für Menschen lesbar und einfach zu verwalten sind. Es übersetzt diese Richtlinien in die richtige Syntax für jede Betriebssystem-Firewall. Dies gewährleistet eine reibungslose Durchsetzung ohne zusätzliche Komplexität.

Im Grunde funktioniert Illumios Agent wie eine Antenne. Es fängt den Datenverkehr nicht ab oder kopiert ihn nicht, sondern sammelt Daten von der Betriebssystem-Firewall und meldet sie an Illumio Core zurück.

Diagram of Illumio Core with two workloads running Illumio Agents, connected via red dotted lines.

Illumio Core sendet dann Richtlinienanweisungen an den Agenten zurück, der die Firewall konfiguriert. Dieser Ansatz gewährleistet:

  • Keine Auswirkung auf die Anwendungsleistung
  • Keine Sicherheitslücken, wenn ein Agent ausfällt
  • Kontinuierlicher Einblick in Anwendungsabhängigkeiten

Durch die Automatisierung vorhandener Betriebssystem-Firewalls, anstatt sie zu ersetzen, bietet Illumio eine Sicherheitslösung, die leicht, effektiv und widerstandsfähig ist — und das alles ohne die Risiken der herkömmlichen Inline-Durchsetzung.

Der ausfallsichere Ansatz von Illumio

Einige Lösungen platzieren Sicherheitsagenten tief im Kernelbereich, um direkten Zugriff auf Systemprozesse zu erhalten und den Datenverkehr für detaillierte Sicherheitskontrollen abzufangen.

Das klingt zwar nach einer guten Idee, führt aber zu redundanten Durchsetzungspunkten, sodass der Datenverkehr durch zwei Firewalls statt durch eine geleitet wird.

Außerdem stehen die Kernel-Weltraumagenten in der Reihe des Verkehrs, was bedeutet, dass ein Ausfall schwerwiegende Folgen haben könnte:

  • Wenn der Agent schlägt fehl beim Öffnen, die Sicherheit verschwindet und das System bleibt ungeschützt.
  • Wenn es scheitert geschlossen, der gesamte Verkehr stoppt und stört Anwendungen und Geschäftsabläufe.

Das Lightweight Agent-Modell von Illumio schließt diese Risiken aus. Da es im Benutzerbereich ausgeführt wird, hat ein Agentenausfall keine Auswirkungen auf die Sicherheit oder den Datenverkehr. Die Betriebssystem-Firewall bleibt mit den letzten bekannten Regeln aktiv und gewährleistet so einen kontinuierlichen Schutz.

Side-by-side comparison of agent deployment choices: one into user space (left) and one into kernel space (right)
Illumio stellt den VEN-Agenten im Benutzerbereich bereit und automatisiert so bestehende Betriebssystem-Firewalls.

Starke Wirkstoffe mit geringem Risiko sind die beste Wahl

Der Schlüssel zur modernen Cybersicherheit liegt darin, das richtige Gleichgewicht zu finden. Das bedeutet, die Vertrauensgrenze genau dort zu platzieren, wo sie sein muss, ohne die Dinge zu verlangsamen.

Der agentenbasierte Ansatz von Illumio bietet Ihnen das Beste aus beiden Welten — starke Sicherheit, ohne Ihre Workloads zu verlangsamen. Es gibt keinen Kompromiss zwischen Schutz und Leistung. Und kein Risiko, dass ein Agentenausfall Ihren Betrieb stört.

Da Illumio Out-of-Band läuft und leichtgewichtig und passiv bleibt, bietet es klare Transparenz und einfach zu verwaltende Sicherheitsrichtlinien, die auf Geschäftsanforderungen und nicht auf starren Netzwerkregeln basieren.

Willst du es in Aktion sehen? Kontaktieren Sie uns noch heute für eine kostenlose Beratung und Demo.

Verwandte Themen

In Verbindung stehende Artikel

5 Gründe, warum Ihr Firewall-Team die Mikrosegmentierung lieben wird
Zero-Trust-Segmentierung

5 Gründe, warum Ihr Firewall-Team die Mikrosegmentierung lieben wird

Das Upgrade, das Firewall-Administratoren seit langem benötigen, verschiebt die Mikrosegmentierung den Durchsetzungspunkt auf die Anwendungsinstanz selbst. So funktioniert das.

Verbesserung des Sicherheits-ROI, ZTS für Endgeräte und Sicherheitsherausforderungen auf Bundesebene
Zero-Trust-Segmentierung

Verbesserung des Sicherheits-ROI, ZTS für Endgeräte und Sicherheitsherausforderungen auf Bundesebene

Da Ransomware und andere Cyberangriffe immer raffinierter werden, zeigt der Aufbau von Cyber-Resilienz durch Eindämmung einen besseren Sicherheits-ROI.

Illumio erhält die Common Criteria-Auszeichnung
Zero-Trust-Segmentierung

Illumio erhält die Common Criteria-Auszeichnung

Mit der Common Criteria IT-Sicherheitszertifizierung von Illumio, die von einem staatlich zertifizierten Drittanbieter validiert wurde, ist es in der Lage, neue globale Märkte des öffentlichen Sektors zu unterstützen.

Was macht Illumios Agent zuverlässiger als Inline-Agenten
Zero-Trust-Segmentierung

Was macht Illumios Agent zuverlässiger als Inline-Agenten

Illumio konzentriert sich auf Ziele zur Risikominderung und verfolgt einen unkomplizierten Umgang mit Paketen. So können Sie über Sicherheit nachdenken, ohne sich Gedanken über einen zuverlässigen Agenten machen zu müssen.

Wie Illumio das groß angelegte Mikrosegmentierungsprojekt von eBay vereinfachte
Zero-Trust-Segmentierung

Wie Illumio das groß angelegte Mikrosegmentierungsprojekt von eBay vereinfachte

Erfahren Sie mehr über die Erfolgsgeschichte von eBay über die Nutzung der Illumio Zero Trust Segmentation (ZTS) Platform zur Einführung von Mikrosegmentierung im gesamten Netzwerk.

Balance zwischen Sicherheit und betrieblicher Belastbarkeit: Illumios Strategie für sichere und stabile Softwareversionen
Illumio Produkte

Balance zwischen Sicherheit und betrieblicher Belastbarkeit: Illumios Strategie für sichere und stabile Softwareversionen

Verschaffen Sie sich einen Überblick über die Designentscheidungen, die wir für die Illumio-Plattform getroffen haben, um Ihre Sicherheit zu gewährleisten und gleichzeitig die Auswirkungen eines Worst-Case-Szenarios zu reduzieren.

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?