Agentless Security unter VMware vSphere 6 – was geht, was geht nicht?

Sicherheitslösungen, die unter VMware vSphere Funktionen wie Anti-Malware oder Firewalls ohne den Einsatz von Agenten innerhalb der virtuellen Maschine bereitstellen, bieten viele Vorteile. So kann man durch den Einsatz derartiger Lösungen neben eines hohen Grades an Automatisierung auch ein hohes Maß an Ressourceneinsparungen erreichen. Durch den Wegfall verschiedener Funktionen in VMware vSphere 6 können diese Lösungen ohne den Zukauf von VMware NSX Lizenzen, in diesem Beispiel Trend Micro Deep Security, nicht mehr den vollen Funktionsumfang agentenlos leisten. Da im Kundenumfeld derzeit eine große Verwirrung um das Ausmaß dieser Änderungen herrscht, haben wir Ihnen ein Q&A der wichtigsten Themen zusammengestellt:

 

Q: Ist ein Anti Malware Scanning ohne Agent unter VMware vSphere 6 möglich?

A: Ja. Anti Malware Scanning kann weiterhin über den kostenfreien VMware vShield Endpoint realisiert werden und bedarf keiner Lizenzierung/Installation von VMware NSX.


Q:
Ist ein Anti Malware Scanning ohne Agent auch unter anderen Hypervisoren wie Hyper-V oder XenServer möglich?

A: Nein.


Q:
Welche Features sind unter VMware vSphere 6 nicht mehr ohne den Einsatz von NSX oder einem Agenten im virtuellen Gastsystem möglich
?

A: Alle netzwerkbasierenden Features (IPS/IDS und Firewalling) können nur noch durch Installation eines Agenten oder einer Lizenzierung/Installation von NSX realisiert werden. In der folgenden Grafik ist beschrieben, welches Modul agentenlos (NSX/vShield) operieren kann. Bitte beachten Sie ggf. Unterschiede zwischen den verschiedenen Betriebssystemen. So gibt es keine vShield Integration in Linux Gastsysteme.


Q:
Wieso gehen Features wie Anti Malware ohne NSX agentlos und andere wie IPS/IDS nicht?

A: Wir müssen bei den Features zwischen File IO – basierten (Anti Malware und Integrity Monitoring) Diensten und Netzwerk – basierten (Web Reputation, Firewall, IPS/IDS) Funktionen unterscheiden. Während alle File IO – basierten Features den vShield Endpoint benutzen, haben die anderen Dienste im agentless Betrieb immer die VMware eigene Schnittstelle VMsafe benutzt. Diese ist mit Release von ESXi 6 nicht mehr im Hypervisor enthalten. Die Unterscheidung der beiden Technologien ist im folgenden Schaubild (Quelle: Trend Micro) erklärt:

tmds-endpoint

Q: Wie kann ich Deep Security unter vSphere 6 ohne den Einsatz von NSX betreiben?

A: Trend Micro reagierte nach Ankündigung des Wegfalls der Netzwerkschnittstelle innerhalb des ESXi schnell mit dem Release von Deep Security 9.6. Diese Version ermöglicht den Mischbetrieb von agentless Anti-Malware und agent-basierendem IPS/IDS bzw. Firewalling.


Q:
Ist dies ein spezifisches Problem der Trend Micro Deep Security Lösung?

A: Nein, da alle Hersteller die gleichen Schnittstellen des ESXi Hypervisors verwenden, ist dieses Problem ein herstellerunabhängiges Problem.


Q:
Wie ist die beschriebene Einschränkung aus technischer Sicht zu bewerten?

A: Das Verschwinden der VMSafe Schnittstelle stellt technisch kein großes Problem dar. Die Hauptgründe für den Einsatz von agentless Security sind das Zentralisieren von Anti Malware Pattern Files und das Lösen von Performanceproblemen beim Anti Malware Scanning. Diese können auch unter vSphere 6 weiterhin ohne Einschränkung genutzt werden. Die vom Problem betroffenen Netzwerkmodule nutzen keine großen Patternfiles und beeinträchtigen nicht die Performance der virtuellen Maschine. Außerdem nutzt Trend Micro einen “Light Agent”. Dieser ist in der Grundinstallation sehr platzsparend und installiert nur die benötigten Module (Firewalling bzw. IPS/IDS) im laufenden Betrieb nach.

Haben Sie Fragen zu diesem Thema oder Interesse an einem umfangreichen Sicherheitskonzept? Besuchen Sie uns auf der it-sa 2016 in Nürnberg – Stand 12-210!
Einen individuellen Beratungstermin können Sie bereits im Vorfeld reservieren.

Robert Wortmann

Robert ist seit 2014 bei der Proact Deutschland beschäftigt, wo er sich zunächst als Senior Consultant um Kundenlösungen im Bereich Security und Virtualisierung gekümmert hat. Seit 2016 ist er hauptverantwortlich für den Bereich Security zuständig.

 
Kommentare

Noch keine Kommentare vorhanden.

Hinterlassen Sie einen Kommentar