Früher war für die Erkennung von Risiken ein Tool oder ein Agent erforderlich, der in die Umgebung eingeführt werden musste, damit das Sicherheitsteam die lokale Infrastruktur verstehen und umfassend sichern konnte. Mit der zunehmenden Nutzung der Cloud wird die agentenlose Cloud-Sicherheit heute immer realistischer.
In diesem Blog erfahren Sie alles über Agentless Cloud Security. Um Ihnen bei der Auswahl der für Ihr Unternehmen besten Lösung zu helfen, vergleichen wir agentlose Cloud-Sicherheit mit agentenbasierten Cloud-Schwachstellenmanagement-Optionen.
Was ist agentenlose Cloud-Sicherheit?
Agentenlose Sicherheit ist eine Methode zum Schutz von Ressourcen, bei der nicht auf jeder Ressource ein Agent installiert werden muss. Agentenlose Sicherheitslösungen überwachen und scannen Endpunkte häufig von "außen", anstatt direkt auf ihnen Programme auszuführen. Dazu überprüfen sie die im Netzwerk verfügbaren Daten und analysieren die Konfigurationsinformationen, die die Ressourcen steuern. Darüber hinaus sind einige agentenlose Lösungen mit den APIs von Cloud-Anbietern verbunden, um mehr Informationen über Workloads zu erhalten, ohne Agenten neben diesen Workloads einsetzen zu müssen.
Wichtigste Funktionen:
- Agentenloses Scannen funktioniert auf allen Plattformen: Bei der Verwendung von agentenloser Cloud-Sicherheit zum Auffinden und Scannen von Assets gibt es keine Anforderungen oder Probleme hinsichtlich der Betriebssystemkompatibilität. Dadurch können Switches, Router und andere verbundene IoT-Geräte gescannt werden, ohne deren Funktionalität zu beeinträchtigen.
- Reduziert Verwaltungskosten: Systeme für agentenlose Cloud-Sicherheit lassen sich aufgrund ihrer Portabilität schnell und einfach auf Workloads installieren. Da dies den Verwaltungsaufwand senkt, ist dies für Unternehmen, die Hunderttausende von virtuellen Computern verwalten, von großem Vorteil.
- Skalierbarkeit: Agentenlose Cloud-Sicherheit lässt sich problemlos von einem einzelnen Server auf ein großes Rechenzentrum skalieren. Für wichtige Einstellungen werden in der Regel skalierbare, ressourcenschonende Protokolle verwendet, die beim Aufbau von Netzwerkverbindungen mit Cloud-Ressourcen helfen und so eine umfassende agentenlose Cloud-Sicherheit gewährleisten.
- Keine negativen Auswirkungen auf die Umgebung: Im Gegensatz zu einer agentenbasierten Strategie erstellen agentenlose Scans bei jedem Scan einen Snapshot der Ressourcen, was bedeutet, dass die Ressourcen nicht verändert werden. Die Umgebung wird durch keine Änderungen am agentenlosen Scanner beeinträchtigt, da die Sicherheitsteams keine Ressourcen warten müssen. Die von agentlosen Deep Scans verwendete Volume-Snapshot-Technik stellt sicher, dass die Leistung Ihres Systems nicht beeinträchtigt wird. Denn anstatt die Rechenkapazität des Cloud-Systems zu nutzen, lesen die Konnektoren lediglich Daten über APIs und führen Scans unabhängig voneinander durch.
- Abdeckung des Netzwerkscans: Agentenlose Cloud-Sicherheit schützt nicht nur viele Endpunkte, sondern bietet auch einen vollständigen Einblick in das Cloud-Netzwerk. Dadurch ist es möglich, alle Host-Assets, verbundenen Geräte, laufenden Anwendungen und deren Abhängigkeiten genau auf Schwachstellen zu scannen. Das Ergebnis ist eine kontinuierlich aktualisierte und automatisch aktualisierte Asset-Identifizierung und -Überprüfung ohne blinde Flecken.
Agentenbasierte vs. agentenlose Cloud-Sicherheit
Agentenbasierte Sicherheit nutzt den Pull-Kommunikationsansatz. In agentenbasierten Systemen fungiert der Client als zentraler Server, der bei Bedarf Daten von den Agenten anfordert. Nach einem automatisierten Prozess müssen Agenten in der Regel auf jedem System bereitgestellt werden. Sobald die Agenten eingerichtet sind, kann der zentrale Server Anfragen an sie senden, um Statusaktualisierungen und die Ergebnisse sicherheitsrelevanter Aktivitäten zu erhalten.
Die Push-basierte Kommunikation ist die Grundlage der agentenlosen Cloud-Sicherheit. Die verbundene Software in agentenlosen Systemen sendet regelmäßig Daten an ein Remote-System. Agentenlose Cloud-Sicherheitslösungen eignen sich aufgrund der Anpassungsfähigkeit dieser Konfiguration gut für die grundlegende Sicherheitsüberwachung. Sie können sie so einrichten, dass sie die gesamte Infrastruktur scannen, ohne sie auf jedem Subsystem installieren zu müssen. Um das Scannen und die Veröffentlichung von Patches zu organisieren, muss jedoch ein zentrales System zugänglich sein.
Da mittlerweile sowohl agentenbasierte als auch agentenlose Cloud-Sicherheit zum Einsatz kommen, sind Sie vielleicht unsicher, für welche Sie sich entscheiden sollen. Wenn Sie vollständige Sicherheit wünschen, sollten Sie beide nutzen. Dennoch kann es hilfreich sein, die Vor- und Nachteile zu kennen, um zu entscheiden, wann Sie welche Lösung einsetzen sollten. Zusammenfassend lässt sich sagen, dass agentlose Cloud-Sicherheit eine Reihe von attraktiven Eigenschaften aufweist, darunter:
- Schnellere Einrichtung und Bereitstellung: Sicherheitsscans können ohne direkten Zugriff auf jeden Host durchgeführt werden.
- Geringere Wartungskosten.
- Höhere Skalierbarkeit und bessere anfängliche Transparenz.
- Ideal geeignet für Netzwerke mit hoher Bandbreite.
- Notwendigkeit eines zentralen Hosts zur Durchführung von Aktionen.
Die folgenden Vorteile von agentenbasierten Systemen gegenüber agentenloser Cloud-Sicherheit:
- Ermöglicht gründliches Scannen und Überwachen von Hosts: Agenten können komplexere Scans von Hostkomponenten und Diensten durchführen.
- Kann als Firewall fungieren, da es Netzwerkverbindungen nach Filterkriterien einschränken kann.
- Bietet Laufzeitschutz
- Bietet Sicherheitsvorkehrungen, wie z. B. die Möglichkeit, Angriffe zu blockieren und Live-Systeme zu patchen.
- Ideal für DMZ-Bereiche, Netzwerke mit geringer Bandbreite oder Laptops, die möglicherweise keinen Zugriff auf das Netzwerk haben. Der Agent kann auf Computern ohne Netzwerkverbindung installiert werden.
Nachdem Sie nun die Vor- und Nachteile von agentenbasierter und agentenloser Cloud-Sicherheit kennengelernt haben, können Sie entscheiden, wie Sie Ihre Infrastruktur schützen möchten.
Was sind die Vorteile von agentenloser Cloud-Sicherheit?
Die Verwendung von Agenten führt zu Reibungsverlusten, die durch agentenlose Cloud-Sicherheit vermieden werden. Einfach ausgedrückt bringt agentenloses Scannen Ihre Daten zum Scanner, anstatt dass der Scanner zu Ihnen kommt. Es erfordert nur minimalen Wartungsaufwand und manuelle Arbeit. Außerdem verursacht es weniger Störungen in der Umgebung. Da Agenten Rechenressourcen nutzen, bedeutet weniger Eingriff auch weniger Belastung oder Störung der Anwendung.
Ein weiterer großer Vorteil der agentenlosen Cloud-Sicherheit ist die erweiterte Abdeckung. Die Methode eignet sich besser für Cloud-Anforderungen wie angehaltene Maschinen oder kurzzeitige Workloads, die nur kurzzeitig laufen. Agentenlose Lösungen überprüfen diese Ressourcen regelmäßig. Weitere Vorteile von agentenlosen Sicherheitslösungen sind mehr Flexibilität, eine optimierte und zentrale Schnittstelle sowie Kosteneinsparungen.
Warum SentinelOne?
Singularity™ Cloud Security kombiniert agentenlosen und agentenbasierten Cloud-nativen Schutz, um Einblicke, Transparenz über Bedrohungen und Analysen in Echtzeit zu liefern. Die umfassende, KI-gestützte CNAPP entwickelt die Cloud-Sicherheit mit einer einzigartigen Offensive Security Engine™ und Laufzeitlösungen weiter, die Bedrohungen in Umgebungen sofort nach ihrem Auftreten abwehren. SentinelOne Singularity™ Data Lake konsolidiert native und Drittanbieter-Sicherheitsdaten für KI-gestützte Einblicke und eine effektive Reaktion auf Vorfälle. Singularity Cloud Security bietet mehrschichtigen Schutz vor dateibasierter Malware und Zero-Day-Angriffen. SentinelOne erstellt auf einfache Weise eine vollständige Bestandsaufnahme des Cloud-Speichers und wendet richtlinienbasierten Schutz an. Entwickler können hybride Multi-Cloud-Umgebungen schützen, eine zentralisierte Übersicht erhalten und AWS-, GCP-, Azure- und DigitalOcean-Plattformen, einschließlich privater Clouds, mühelos integrieren.
SentinelOne erreicht einen automatisch skalierbaren und leistungsorientierten Schutz durch das Scannen von Dateien in Millisekunden und zentralisiert außerdem den Schutz, die Erkennung und die Reaktion für Cloud-VMs, Server, Container und Kubernetes-Clustern über dieselbe Konsole. Benutzer können statische und verhaltensbasierte Erkennungen kombinieren, um unbekannte Bedrohungen für öffentliche und private Cloud-Angriffsflächen zu neutralisieren. SentinelOne arbeitet vollständig im Benutzerbereich und basiert auf einer eBPF-Architektur, die Unterstützung für über 14 Linux-Distributionen, 20 Jahre Windows-Server, 3 Container-Laufzeiten und Kubernetes bietet.
Weitere Funktionen von SentinelOne sind:
- Automatisierte Storyline™-Angriffsvisualisierung und -zuordnung zu MITRE ATT&CK TTPs.
- Skalierbare forensische Artefakt-Erfassung
- Kontextanalyse zur Erstellungszeit, Cloud-Metadaten und Singularity-Marktplatz-Integrationen
- Geheimhaltungsscans und Multi-Cloud-Compliance-Unterstützung für Vorschriften wie HIPAA, CIS, NIST, ISO 27001 und viele mehr
- DevOps-freundliche IaC-Bereitstellung und automatische Bereitstellung von CWPP Agenten für Cloud-Computing-Instanzen in Azure, Google Cloud und AWS
- Snyk-Integration
SentinelOne in Aktion sehen
Entdecken Sie in einer persönlichen Demo mit einem SentinelOne-Produktexperten, wie KI-gestützte Cloud-Sicherheit Ihr Unternehmen schützen kann.
Demo anfordernFazit
Die Anwendung agentenloser, cloud-nativer Sicherheit ist eine der besten Möglichkeiten, um Datenverletzungen, Schwachstellen und unbekannte Fehlkonfigurationen zu verhindern. Ohne agentenbasierte Systeme müssen keine mehreren Komponenten verwaltet oder Agenten auf neuen Geräten installiert werden. Agentenlose Cloud-Sicherheit kann Sicherheitsscans und Schwachstellen auf Remote-Rechnern überprüfen und überprüfen, ohne dass Agenten installiert werden müssen. Agentenlose Cloud-Sicherheitslösungen verwenden APIs, um die Sichtbarkeit der Cloud-Umgebung zu verbessern und Cloud-Workloads auf Schwachstellen zu überprüfen, ohne die Leistung zu beeinträchtigen. Sie eignen sich ideal für große Netzwerkbandbreiten und zentralisierte Hosts und erfordern zudem geringere Bereitstellungs- und Wartungskosten.
"Häufig gestellte Fragen zur agentenlosen Cloud-Sicherheit
Agentenlose Cloud-Sicherheit überwacht und schützt Ihre Cloud-Umgebung, ohne Software-Agenten auf jedem Host zu installieren. Sie nutzt Cloud-Anbieter-APIs, Protokolle und Snapshot-basierte Techniken, um Konfigurations- und Laufzeitdaten zu erfassen. Durch das Abrufen von Metadaten und Dateisystem-Snapshots erkennt sie Fehlkonfigurationen und Schwachstellen, ohne die Workloads zu beeinträchtigen, was die Einrichtung beschleunigt und die Auswirkungen auf die Leistung von Servern und Containern reduziert
Ja. Agentenlose Tools führen keine Prozesse auf Ihren Servern oder VMs aus, sodass keine zusätzliche CPU- oder Speicherbelastung entsteht. Sie scannen über APIs, Protokolle oder schreibgeschützte Snapshots und vermeiden so Änderungen an Endpunkten oder Software-Updates. Agentenbasierte Lösungen bieten eine tiefere Einblicksmöglichkeit in die Laufzeit, können jedoch Systeme verlangsamen und erfordern eine kontinuierliche Wartung, während agentenlose Lösungen die Arbeitslasten unverändert lassen und die Verwaltung vereinfachen.
Agentenlose Tools benötigen schreibgeschützte API-Anmeldeinformationen oder Dienstrollen mit bereichsbezogenen Berechtigungen, z. B. zum Auflisten von Ressourcen, Lesen von Konfigurationen und Erstellen temporärer Snapshots. In Azure gewährt die Rolle "VM-Scanner-Operator" Rechte zum Lesen von Festplatten und zum Erstellen von Snapshots.
AWS-Scan-Konnektoren benötigen EC2-Beschreibungs- und Snapshot-Berechtigungen. Google Cloud erfordert die Rollen "compute.disks.createSnapshot" und "compute.instances.get" für Out-of-Band-Scans.
Die meisten agentenlosen Lösungen funktionieren mit AWS, Azure und GCP, indem sie die nativen APIs der jeweiligen Anbieter nutzen. Sie rufen Ressourcen-Metadaten ab und erstellen Festplatten-Snapshots in allen drei Umgebungen. Einige Anbieter erweitern die Unterstützung auch auf Kubernetes-Cluster, Container-Registries und SaaS-Anwendungen, indem sie spezifische Plattform-APIs nutzen und so eine konsistente Abdeckung über Ihre gesamte Multi-Cloud-Umgebung hinweg bieten
Scans werden in der Regel in einem festgelegten Abfrageintervall ausgeführt, bei API-basierten Scans standardmäßig alle 4 Stunden. Sie können dies jedoch an Ihre Umgebung anpassen. Ereignisgesteuerte Scans werden bei Ressourcenänderungen ausgelöst und bieten eine nahezu Echtzeitabdeckung.
Agentenlose Tools bieten jedoch keine Live-Prozess- oder Netzwerküberwachung. Sie erfassen Snapshots oder API-Daten zum Zeitpunkt des Scans und bieten keine kontinuierliche Laufzeit-Transparenz
Agentenlose Sicherheit ist besonders dort von Vorteil, wo keine Agenten installiert werden können, z. B. bei unveränderlichen Infrastrukturen, Burst-Scale-VMs, IoT-Geräten oder von Drittanbietern verwalteten Systemen. Sie eignet sich ideal für schnelle Risikobewertungen in neuen Cloud-Konten, Basis-Sicherheitsüberprüfungen und die Abdeckung von Workloads, die nur kurzzeitig bestehen oder keinen Zugriff auf das Betriebssystem haben.
Teams nutzen sie auch, um die Compliance durchzusetzen und Multi-Cloud-Umgebungen zu scannen, ohne jeden Host einzeln anzufassen .
Sie profitieren von einer schnellen Bereitstellung, da keine Endpunktsoftware erforderlich ist. Die Transparenz erstreckt sich auf alle Ressourcen, einschließlich derer, die spontan gestartet werden. Es reduziert den Verwaltungsaufwand und vermeidet Leistungseinbußen in Produktionssystemen. Durch die Nutzung von APIs und Snapshots bietet es im Vergleich zu agentenbasierten Modellen eine breite Abdeckung, sofortige Warnmeldungen bei Fehlkonfigurationen und eine einfachere Wartung.
Agentenlose Ansätze können kein Live-Prozessverhalten, keine Netzwerkverbindungen und keine speicherresidenten Bedrohungen erkennen. Sie können dateilose Angriffe oder Zero-Day-Exploits übersehen, die nur zur Laufzeit auftreten.
Die Abdeckung hängt auch von der Verfügbarkeit und den Berechtigungen der API ab – Ressourcen mit eingeschränkten APIs werden nicht gescannt. Temporäre Speichermedien oder verschlüsselte Festplatten werden möglicherweise übersprungen, sofern keine zusätzlichen Konfigurationen vorgenommen werden
