In passato, per individuare i rischi era necessario introdurre nell'ambiente uno strumento o un agente che consentisse al team di sicurezza di comprendere l'infrastruttura on-premise e proteggerla in modo completo. Con il crescente utilizzo del cloud al giorno d'oggi, la sicurezza cloud senza agenti sta diventando sempre più realistica.
In questo blog imparerete tutto sulla sicurezza cloud senza agenti. Per aiutarvi a scegliere la soluzione migliore per la vostra azienda, confronteremo la sicurezza cloud senza agenti sicurezza cloud con le opzioni di gestione delle vulnerabilità basate su agenti in questo post.
Che cos'è la sicurezza cloud senza agenti?
La sicurezza senza agenti è un metodo di protezione delle risorse che evita di inserire agenti su ogni risorsa. Le soluzioni di sicurezza senza agenti spesso monitorano e scansionano gli endpoint dall'esterno, invece di eseguire direttamente le utility su di essi. Ciò è possibile esaminando i dati disponibili sulla rete e analizzando le informazioni di configurazione che controllano le risorse. Inoltre, alcune soluzioni agentless si interfacciano con le API dei fornitori di servizi cloud per acquisire maggiori informazioni sui carichi di lavoro senza distribuire agenti insieme a tali carichi.
Caratteristiche principali:
- La scansione senza agenti funziona su tutte le piattaforme: Non ci sono requisiti di compatibilità del sistema operativo o problemi quando si utilizza la sicurezza cloud senza agenti per individuare ed eseguire la scansione delle risorse. Ciò consente di eseguire la scansione di switch, router e altri dispositivi IoT collegati senza interferire con la loro funzionalità.
- Riduce i costi amministrativi: I sistemi per la sicurezza cloud senza agenti possono essere installati rapidamente e facilmente sui carichi di lavoro grazie alla loro portabilità. Poiché riduce i costi di gestione, ciò rappresenta un enorme vantaggio per le aziende che gestiscono centinaia di migliaia di computer virtuali.
- Scalabilità: La sicurezza cloud senza agenti può essere facilmente scalata da un singolo server a un grande data center. Per le impostazioni essenziali, utilizza in genere protocolli scalabili e leggeri che aiutano a stabilire connessioni di rete con le risorse cloud per una sicurezza cloud senza agenti completa.
- L'ambiente non subisce alcun impatto negativo: A differenza di una strategia basata su agenti, le scansioni senza agenti acquisiscono un'istantanea delle risorse ad ogni scansione, il che significa che le risorse non vengono modificate. L'ambiente non sarà influenzato da eventuali modifiche apportate allo scanner senza agenti, poiché i team di sicurezza non dovranno occuparsi della manutenzione delle risorse. La tecnica di snapshot del volume utilizzata dalla scansione approfondita senza agenti garantisce che le prestazioni del sistema non vengano compromesse. Questo perché, invece di utilizzare la capacità di calcolo del sistema cloud, i connettori si limitano a leggere i dati tramite API ed eseguono la scansione in modo indipendente.
- Copertura della scansione di rete: Oltre a proteggere molti endpoint, la sicurezza cloud senza agenti offre una visione completa della rete cloud. Ciò consente di eseguire una scansione accurata di tutte le risorse host, i dispositivi connessi, le app in esecuzione e le loro dipendenze alla ricerca di vulnerabilità. Di conseguenza, l'identificazione e la scansione delle risorse, aggiornate continuamente e automaticamente, non presentano punti ciechi.
Sicurezza cloud basata su agenti vs. senza agenti
La sicurezza basata su agenti utilizza l'approccio di comunicazione pull. Nei sistemi basati su agenti, il client funge da server centrale, richiedendo i dati agli agenti secondo necessità. Dopo un processo automatizzato, gli agenti devono in genere essere distribuiti su ciascun sistema. Una volta configurati gli agenti, il server centrale può inviare loro query per aggiornamenti di stato e risultati delle attività relative alla sicurezza.
La comunicazione push è alla base della sicurezza cloud senza agenti. Il software connesso nei sistemi senza agenti invia periodicamente i dati a un sistema remoto. Le soluzioni di sicurezza cloud senza agenti funzionano bene per il monitoraggio di base della sicurezza grazie all'adattabilità di questa configurazione. È possibile configurarle per eseguire la scansione dell'intera infrastruttura senza installarle su ogni sottosistema. Tuttavia, per organizzare la scansione e il rilascio delle patch, è necessario che sia accessibile un sistema centrale.
Poiché attualmente sono in uso sia la sicurezza cloud basata su agenti che quella senza agenti, potresti non sapere quale scegliere. Se desideri una sicurezza completa, dovresti utilizzare entrambe. Tuttavia, conoscere i loro vantaggi e svantaggi può aiutare a decidere quando utilizzare ciascuno di essi.
In sintesi, la sicurezza cloud senza agenti presenta una serie di caratteristiche interessanti, quali:
- Configurazione e implementazione più rapide: le scansioni di sicurezza possono essere eseguite senza accesso diretto a ogni host.
- Riduzione delle spese di manutenzione.
- Maggiore scalabilità e maggiore visibilità iniziale.
- Ideale per reti con molta larghezza di banda.
- Necessità di un host centrale per eseguire le azioni.
I seguenti vantaggi dei sistemi basati su agenti rispetto alla sicurezza cloud senza agenti:
- Consentono una scansione e un monitoraggio approfonditi dell'host: gli agenti possono eseguire una scansione più sofisticata dei componenti e dei servizi dell'host.
- Possono fungere da firewall poiché sono in grado di limitare le connessioni di rete in base a criteri di filtraggio.
- Forniscono protezione durante l'esecuzione
- Offrono garanzie di sicurezza, come la possibilità di bloccare gli attacchi e applicare patch ai sistemi attivi.
- Ideale per aree DMZ, reti con larghezza di banda ridotta o laptop che potrebbero non essere in grado di accedere alla rete. L'agente può essere installato su computer senza connettività di rete.
Ora che avete letto i pro e i contro della sicurezza cloud basata su agente e senza agente, potete decidere come proteggere la vostra infrastruttura.
Quali sono i vantaggi della sicurezza cloud senza agenti?
L'uso di agenti solleva problemi di attrito, che la sicurezza cloud senza agenti elimina. In parole povere, la scansione senza agenti porta i dati allo scanner invece che lo scanner ai dati. Richiede una manutenzione e un lavoro manuale minimi. Inoltre, causa un minore impatto sull'ambiente. Poiché gli agenti utilizzano risorse computazionali, un minor numero di intrusioni equivale a un minor carico o disturbo delle applicazioni.
Un altro grande vantaggio della sicurezza cloud senza agenti è la copertura estesa. Questo metodo è più adatto ai requisiti del cloud, come macchine ferme o carichi di lavoro fugaci che operano per brevi periodi. Le soluzioni senza agenti ispezionano regolarmente queste risorse. Altri vantaggi delle soluzioni di sicurezza senza agenti includono una maggiore flessibilità, un'interfaccia semplificata e centralizzata e risparmi sui costi.
Perché SentinelOne?
Singularity™ Cloud Security combina la protezione cloud-native senza agenti e basata su agenti per fornire informazioni, visibilità delle minacce e analisi in tempo reale. Il suo completo CNAPP basato sull'intelligenza artificiale evolve la sicurezza cloud con un esclusivo Offensive Security Engine™ e soluzioni runtime che mitigano le minacce non appena si presentano negli ambienti. SentinelOne Singularity™ Data Lake consolida i dati di sicurezza nativi e di terze parti per fornire informazioni basate sull'intelligenza artificiale e una risposta efficace agli incidenti. Singularity Cloud Security fornisce una protezione multilivello contro il malware proveniente dai file e gli attacchi zero-day. SentinelOne effettua facilmente un inventario completo dello storage cloud e applica una protezione basata su policy. Gli sviluppatori possono proteggere ambienti multi-cloud ibridi, ottenere una visibilità centralizzata e integrare senza sforzo le piattaforme AWS, GCP, Azure e DigitalOcean, compresi i cloud privati.
SentinelOne offre una protezione autoscalabile e orientata alle prestazioni grazie alla scansione in millisecondi per file e centralizza anche la protezione, il rilevamento e la risposta per macchine virtuali cloud, server, container e cluster Kubernetes utilizzando la stessa console. Gli utenti possono combinare rilevamenti statici e comportamentali per neutralizzare minacce sconosciute contro superfici di attacco cloud pubbliche e private.Kubernetes utilizzando la stessa console. Gli utenti possono combinare rilevamenti statici e comportamentali per neutralizzare minacce sconosciute contro le superfici di attacco del cloud pubblico e privato. SentinelOne opera interamente nello spazio utente ed è basato su un'architettura eBPF, fornendo supporto per oltre 14 distribuzioni Linux, 20 anni di server Windows, 3 runtime di container e Kubernetes.
Altre funzionalità offerte da SentinelOne sono:
- Visualizzazione automatizzata degli attacchi Storyline™ e mappatura su MITRE ATT&CK TTPs.
- Raccolta scalabile di artefatti forensi
- Analisi contestuale in fase di compilazione, metadati cloud e integrazioni con il marketplace Singularity
- Scansione segreta e supporto della conformità multi-cloud per normative quali HIPAA, CIS, NIST, ISO 27001 e molte altre
- Provisioning IaC DevOps-friendly e distribuzione automatica di CWPP agenti CWPP su istanze di cloud computing in Azure, Google Cloud e AWS. Integrazione con Snyk.
Vedere SentinelOne in azione
Scoprite come la sicurezza del cloud basata sull'intelligenza artificiale può proteggere la vostra organizzazione con una demo individuale con un esperto dei prodotti SentinelOne.
Richiedi una demoConclusione
L'applicazione di una sicurezza cloud-native senza agenti è uno dei modi migliori per prevenire violazioni dei dati, individuare vulnerabilità e risolvere configurazioni errate sconosciute. Senza sistemi basati su agenti, non è necessario gestire più componenti o installare agenti su nuovi dispositivi. La sicurezza cloud senza agenti può ispezionare e rivedere le scansioni di sicurezza e le vulnerabilità su macchine remote senza bisogno di installare agenti. Le soluzioni di sicurezza cloud senza agenti utilizzano API per migliorare la visibilità del patrimonio cloud e verificare la presenza di vulnerabilità nei carichi di lavoro cloud senza sacrificare le prestazioni. Sono ideali per larghezze di banda di rete elevate, host centralizzati e richiedono anche costi di provisioning e manutenzione inferiori.
"
Domande frequenti sulla sicurezza cloud senza agenti
La sicurezza cloud senza agenti monitora e protegge l'ambiente cloud senza installare agenti software su ciascun host. Utilizza API dei provider cloud, log e tecniche basate su snapshot per raccogliere dati di configurazione e runtime. Estraendo metadati e snapshot del file system, individua configurazioni errate e vulnerabilità senza toccare i carichi di lavoro, velocizzando la configurazione e riducendo l'impatto sulle prestazioni di server e container
Sì. Gli strumenti senza agente non eseguono processi sui server o sulle macchine virtuali, quindi non comportano alcun carico aggiuntivo sulla CPU o sulla memoria. Eseguono la scansione tramite API, log o snapshot di sola lettura, evitando modifiche agli endpoint o aggiornamenti software. Le soluzioni basate su agenti offrono una visibilità più approfondita sul runtime, ma possono rallentare i sistemi e richiedono una manutenzione continua, mentre quelle senza agenti mantengono inalterati i carichi di lavoro e semplificano la gestione.
Gli strumenti senza agente richiedono credenziali API di sola lettura o ruoli di servizio con autorizzazioni limitate, ad esempio per elencare le risorse, leggere le configurazioni e creare snapshot temporanei. In Azure, un ruolo "operatore scanner VM" concede diritti di lettura del disco e di snapshot.
I connettori di scansione AWS richiedono autorizzazioni di descrizione EC2 e snapshot. Google Cloud richiede i ruoli compute.disks.createSnapshot e compute.instances.get per le scansioni fuori banda.
La maggior parte delle soluzioni senza agente funziona su AWS, Azure e GCP sfruttando le API native di ciascun provider. Estraggono i metadati delle risorse e acquisiscono snapshot del disco in tutti e tre gli ambienti. Alcuni fornitori estendono il supporto anche ai cluster Kubernetes, ai registri dei container e alle applicazioni SaaS, attingendo alle API specifiche della piattaforma, garantendo una copertura coerente su tutta la vostra impronta multi-cloud
Le scansioni vengono solitamente eseguite a intervalli di polling programmati, spesso ogni 4 ore per impostazione predefinita per le scansioni basate su API, ma è possibile regolarle in base al proprio ambiente . Le scansioni basate sugli eventi si attivano in caso di modifiche alle risorse per una copertura quasi in tempo reale.
Tuttavia, gli strumenti senza agente non offrono il monitoraggio in tempo reale dei processi o della rete; acquisiscono istantanee o dati API al momento della scansione piuttosto che una visibilità continua durante il runtime
La sicurezza senza agenti è ideale quando non è possibile installare agenti, ad esempio in infrastrutture immutabili, macchine virtuali con scalabilità burst, dispositivi IoT o sistemi gestiti da terze parti. È ideale per valutazioni rapide dei rischi nei nuovi account cloud, controlli della postura di base e copertura di carichi di lavoro di breve durata o privi di accesso al sistema operativo.
I team lo utilizzano anche per garantire la conformità e scansionare ambienti multi-cloud senza toccare ogni singolo host .
Si ottiene una rapida implementazione poiché non è necessario alcun software endpoint. La visibilità si estende a tutte le risorse, comprese quelle avviate al volo. Riduce i costi amministrativi ed evita cali di prestazioni sui sistemi di produzione. Sfruttando API e snapshot, offre un'ampia copertura, avvisi immediati in caso di configurazioni errate e una manutenzione più semplice rispetto ai modelli basati su agenti.
Gli approcci senza agenti non sono in grado di rilevare il comportamento dei processi in esecuzione, le connessioni di rete o le minacce residenti in memoria. Potrebbero non rilevare attacchi senza file o exploit zero-day che si manifestano solo in fase di esecuzione.
La copertura dipende anche dalla disponibilità delle API e dalle autorizzazioni: le risorse con API soggette a restrizioni non verranno sottoposte a scansione. I volumi di archiviazione temporanea o i dischi crittografati potrebbero essere ignorati, a meno che non vengano effettuate configurazioni aggiuntive
