Vroeger was voor risicodetectie een tool of agent nodig die in de omgeving moest worden geïntroduceerd, zodat het beveiligingsteam inzicht kon krijgen in de on-prem infrastructuur en deze grondig kon beveiligen. Met het toenemende gebruik van de cloud tegenwoordig wordt agentloze cloudbeveiliging steeds realistischer.
In deze blog leert u alles over Agentloze cloudbeveiliging. Om u te helpen bij het kiezen van wat het beste is voor uw bedrijf, vergelijken wevergelijken we agentloze cloudbeveiliging en agentgebaseerde cloud kwetsbaarheidsbeheer opties in dit bericht.
Wat is agentloze cloudbeveiliging?
Agentloze beveiliging is een methode voor het beschermen van bronnen waarbij niet op elke bron een agent hoeft te worden geplaatst. Agentloze beveiligingsoplossingen monitoren en scannen eindpunten vaak vanaf de 'buitenkant' in plaats van er rechtstreeks hulpprogramma's op uit te voeren. Ze kunnen dit doen door de beschikbare netwerkgegevens te bekijken en de configuratie-informatie te analyseren die de bronnen beheert. Bovendien werken sommige agentloze oplossingen samen met de API's van cloudproviders om meer informatie over workloads te verkrijgen zonder agents naast die workloads te implementeren.
Belangrijkste kenmerken:
- Agentloze scanning werkt op alle platforms: Er zijn geen OS-compatibiliteitseisen of -problemen bij het gebruik van agentloze cloudbeveiliging om assets te lokaliseren en te scannen. Hierdoor kunnen switches, routers en andere gekoppelde IoT-apparaten worden gescand zonder hun functionaliteit te verstoren.
- Verlaagt de administratieve kosten: Systemen voor agentloze cloudbeveiliging kunnen snel en eenvoudig op workloads worden geïnstalleerd vanwege hun draagbaarheid. Omdat dit de beheerkosten verlaagt, is dit een enorm voordeel voor ondernemingen die honderdduizenden virtuele computers beheren.
- Schaalbaarheid: Agentloze cloudbeveiliging kan eenvoudig worden geschaald van een enkele server tot een groot datacenter. Voor essentiële instellingen maakt het doorgaans gebruik van schaalbare, lichtgewicht protocollen die helpen bij het tot stand brengen van netwerkverbindingen met cloudassets voor grondige agentloze cloudbeveiliging.
- De omgeving wordt niet negatief beïnvloed: In tegenstelling tot een agentgebaseerde strategie maken agentloze scans bij elke scan een momentopname van de resources, wat betekent dat de resources niet worden gewijzigd. De omgeving wordt niet beïnvloed door wijzigingen die worden aangebracht in de agentloze scanner, omdat beveiligingsteams geen resources hoeven te onderhouden. De volume-momentopnametechniek die agentloze diepe scans gebruiken, zorgt ervoor dat de prestaties van uw systeem niet worden aangetast. Dit komt omdat de connectoren niet de rekencapaciteit van het cloud-systeem gebruiken, maar alleen gegevens lezen via API's en zelfstandig scannen.
- Dekking van netwerkscanning: Agentloze cloudbeveiliging beschermt niet alleen veel eindpunten, maar biedt ook volledig inzicht in het cloudnetwerk. Hierdoor is het mogelijk om alle hostassets, aangesloten apparaten, actieve apps en hun afhankelijkheden nauwkeurig te scannen op kwetsbaarheden. Als gevolg hiervan zijn er geen blinde vlekken bij de continu bijgewerkte en automatisch bijgewerkte identificatie en scanning van assets.
Agentgebaseerde versus agentloze cloudbeveiliging
Agentgebaseerde beveiliging maakt gebruik van de pull-communicatiemethode. In systemen op basis van agents fungeert de client als centrale server, die indien nodig gegevens opvraagt bij de agents. Na een geautomatiseerd proces moeten agents doorgaans op elk systeem worden geïmplementeerd. Zodra de agents zijn ingesteld, kan de centrale server hen query's sturen voor statusupdates en de resultaten van beveiligingsgerelateerde activiteiten.
Push-gebaseerde communicatie vormt de basis van agentloze cloudbeveiliging. De aangesloten software in agentloze systemen stuurt periodiek gegevens naar een extern systeem. Agentloze cloudbeveiligingsoplossingen presteren goed voor basisbeveiligingsmonitoring vanwege de aanpasbaarheid van deze configuratie. U kunt ze zo instellen dat ze de hele infrastructuur scannen zonder ze op elk subsysteem te installeren. Om het scannen en het uitbrengen van patches te organiseren, moet er echter een centraal systeem toegankelijk zijn.
Aangezien er nu zowel agentgebaseerde als agentloze cloudbeveiliging wordt gebruikt, weet u misschien niet zeker welke u moet kiezen. Als u volledige beveiliging wilt, kunt u het beste beide gebruiken. Toch kan kennis van de voor- en nadelen u helpen beslissen wanneer u welke moet inzetten.
Samenvattend heeft agentloze cloudbeveiliging een aantal aantrekkelijke eigenschappen, zoals:
- Snellere installatie en implementatie: beveiligingsscans kunnen worden uitgevoerd zonder directe toegang tot elke host.
- Lagere onderhoudskosten.
- Hogere schaalbaarheid en meer zichtbaarheid vanaf het begin.
- Uitermate geschikt voor netwerken met veel bandbreedte.
- Er is een centrale host nodig om acties uit te voeren.
De volgende voordelen van agentgebaseerde systemen ten opzichte van agentloze cloudbeveiliging:
- Grondige hostscans en -monitoring mogelijk: agents kunnen geavanceerdere scans van hostcomponenten en -services uitvoeren.
- Het kan fungeren als een firewall, omdat het netwerkverbindingen kan beperken op basis van filtercriteria.
- Biedt bescherming tijdens runtime
- Biedt beveiligingsmaatregelen, zoals het kunnen blokkeren van aanvallen en het patchen van live systemen.
- Ideaal voor DMZ-gebieden, netwerken met een lage bandbreedte of laptops die mogelijk geen toegang hebben tot het netwerk. De agent kan worden geïnstalleerd op computers zonder netwerkverbinding.
Nu u de voor- en nadelen van agentgebaseerde en agentloze cloudbeveiliging hebt gelezen, kunt u beslissen hoe u uw infrastructuur wilt beveiligen.
Wat zijn de voordelen van agentloze cloudbeveiliging?
Het gebruik van agents leidt tot wrijvingsproblemen, die met agentloze cloudbeveiliging worden geëlimineerd. Simpel gezegd brengt agentloze scanning uw gegevens naar de scanner in plaats van dat de scanner naar u komt. Het vereist minimaal onderhoud en handmatig werk. Het veroorzaakt ook minder verstoring van de omgeving. Aangezien agents rekenkracht gebruiken, betekent minder inbreuk minder belasting of verstoring van applicaties.
Een ander groot voordeel van agentloze cloudbeveiliging is de uitgebreide dekking. De methode is beter geschikt voor cloudvereisten zoals stilgelegde machines of vluchtige workloads die kortstondig actief zijn. Agentloze oplossingen inspecteren deze activa regelmatig. Andere voordelen van agentloze beveiligingsoplossingen zijn meer flexibiliteit, een gestroomlijnde en centrale interface en kostenbesparingen.
Waarom SentinelOne?
Singularity™ Cloud Security combineert agentloze en agentgebaseerde cloud-native bescherming om in realtime inzichten, zichtbaarheid van bedreigingen en analyses te bieden. De AI-aangedreven, uitgebreide CNAPP cloudbeveiliging verder met een unieke Offensive Security Engine™ en runtime-oplossingen die bedreigingen in omgevingen direct bij het ontstaan ervan beperken. SentinelOne Singularity™ Data Lake consolideert native en externe beveiligingsgegevens voor AI-aangedreven inzichten en effectieve incidentrespons. Singularity Cloud Security biedt meerlaagse bescherming tegen malware in bestanden en zero-day-aanvallen. SentinelOne maakt eenvoudig een volledige inventarisatie van cloudopslag en past op beleidsregels gebaseerde bescherming toe. Ontwikkelaars kunnen hybride multi-cloudomgevingen beschermen, gecentraliseerd inzicht verkrijgen en moeiteloos AWS-, GCP-, Azure- en DigitalOcean-platforms integreren, inclusief private clouds.
SentinelOne biedt automatisch schaalbare en prestatiegerichte bescherming door bestanden in milliseconden te scannen en centraliseert bovendien de bescherming, detectie en respons voor cloud-VM's, servers, containers en Kubernetes-clusters door gebruik te maken van dezelfde console. Gebruikers kunnen statische en gedragsdetecties combineren om onbekende bedreigingen tegen openbare en privécloud-aanvalsoppervlakken te neutraliseren. SentinelOne werkt volledig in de gebruikersruimte en is gebouwd op een eBPF-architectuur, die ondersteuning biedt voor meer dan 14 Linux-distributies, 20 jaar Windows-servers, 3 container-runtimes en Kubernetes.
Andere functies die SentinelOne biedt, zijn:
- Geautomatiseerde Storyline™-aanvalsvisualisatie en -mapping naar MITRE ATT&CK TTPs.
- Schaalbare forensische artefactverzameling
- Contextuele analyse tijdens de bouw, cloudmetadata en Singularity-marktplaatsintegraties
- Ondersteuning voor geheime scans en multi-cloud compliance voor regelgeving zoals HIPAA, CIS, NIST, ISO 27001 en nog veel meer
- DevOps-vriendelijke IaC-provisioning en automatische implementatie van CWPP-agents naar cloudcompute-instances in Azure, Google Cloud en AWS
- Snyk-integratie
SentinelOne in actie zien
Ontdek hoe AI-gestuurde cloudbeveiliging uw organisatie kan beschermen in een één-op-één demo met een SentinelOne productexpert.
Vraag een demo aanConclusie
Het toepassen van agentloze cloud-native beveiliging is een van de beste manieren om datalekken, kwetsbaarheden en onbekende verkeerde configuraties aan te pakken. Zonder agentgebaseerde systemen is het niet nodig om meerdere componenten te beheren of agents op nieuwe apparaten te installeren. Agentloze cloudbeveiliging kan beveiligingsscans en kwetsbaarheden op externe machines inspecteren en beoordelen zonder dat er agents hoeven te worden geïnstalleerd. Agentloze cloudbeveiligingsoplossingen maken gebruik van API's om de zichtbaarheid van de cloudomgeving te verbeteren en te controleren op kwetsbaarheden in cloudworkloads zonder dat dit ten koste gaat van de prestaties. Ze zijn ideaal voor grote netwerkbandbreedtes en gecentraliseerde hosts en vereisen bovendien lagere provisioning- en onderhoudskosten.
Veelgestelde vragen over agentloze cloudbeveiliging
Agentloze cloudbeveiliging bewaakt en beschermt uw cloudomgeving zonder softwareagents op elke host te installeren. Het maakt gebruik van API's van cloudproviders, logboeken en op snapshots gebaseerde technieken om configuratie- en runtime-gegevens te verzamelen. Door metadata en snapshots van het bestandssysteem op te halen, spoort het verkeerde configuraties en kwetsbaarheden op zonder de workloads te beïnvloeden, waardoor de installatie wordt versneld en de impact op de prestaties van servers en containers wordt verminderd
Ja. Agentless tools voeren geen processen uit op uw servers of VM's, dus er is geen extra CPU- of geheugenbelasting. Ze scannen via API's, logboeken of alleen-lezen snapshots, waardoor wijzigingen aan eindpunten of software-updates worden vermeden. Agentgebaseerde oplossingen bieden een dieper inzicht in de runtime, maar kunnen systemen vertragen en vereisen voortdurend onderhoud, terwijl agentloze oplossingen de werklast ongemoeid laten en het beheer vereenvoudigen.
Agentloze tools hebben alleen-lezen API-inloggegevens of servicerollen met beperkte rechten nodig, bijvoorbeeld om bronnen weer te geven, configuraties te lezen en tijdelijke snapshots te maken. In Azure verleent de rol 'VM-scanneroperator' rechten voor het lezen van schijven en het maken van momentopnames.
AWS-scanconnectoren hebben EC2-beschrijvings- en momentopnamerechten nodig. Google Cloud vereist de rollen compute.disks.createSnapshot en compute.instances.get voor out-of-band scans.
De meeste agentless-oplossingen werken op AWS, Azure en GCP door gebruik te maken van de native API's van elke provider. Ze halen resource-metadata op en maken schijf-snapshots in alle drie de omgevingen. Sommige leveranciers breiden de ondersteuning ook uit naar Kubernetes-clusters, containerregisters en SaaS-apps door gebruik te maken van specifieke platform-API's, waardoor een consistente dekking wordt geboden voor uw multi-cloudomgeving
Scans worden meestal uitgevoerd op basis van een geplande polling-interval, vaak standaard om de 4 uur voor API-gebaseerde scans, maar u kunt dit aanpassen aan uw omgeving . Gebeurtenisgestuurde scans worden geactiveerd bij wijzigingen in bronnen voor bijna realtime dekking.
Agentless tools bieden echter geen live proces- of netwerkmonitoring; ze leggen snapshots of API-gegevens vast op het moment van scannen in plaats van continue zichtbaarheid tijdens de runtime
Agentloze beveiliging blinkt uit wanneer u geen agents kunt installeren, zoals bij onveranderlijke infrastructuur, burst-scale VM's, IoT-apparaten of door derden beheerde systemen. Het is ideaal voor snelle risicobeoordelingen in nieuwe cloudaccounts, basislijncontroles en het afdekken van workloads die van korte duur zijn of geen toegang hebben tot het besturingssysteem.
Teams gebruiken het ook om naleving af te dwingen en multi-cloudomgevingen te scannen zonder elke host aan te raken .
U profiteert van een snelle implementatie omdat er geen endpointsoftware nodig is. De zichtbaarheid strekt zich uit over alle resources, inclusief die welke direct worden opgestart. Het vermindert de administratieve overhead en voorkomt prestatieverlies op productiesystemen. Door gebruik te maken van API's en snapshots biedt het een brede dekking, directe waarschuwingen bij verkeerde configuraties en eenvoudiger onderhoud in vergelijking met agentgebaseerde modellen.
Agentloze benaderingen kunnen geen live procesgedrag, netwerkverbindingen of in het geheugen aanwezige bedreigingen detecteren. Ze kunnen bestandsloze aanvallen of zero-day-exploits missen die alleen tijdens runtime verschijnen.
De dekking is ook afhankelijk van de beschikbaarheid van API's en machtigingen. Bronnen met beperkte API's worden niet gescand. Tijdelijke opslagvolumes of versleutelde schijven kunnen worden overgeslagen, tenzij er aanvullende configuraties worden gemaakt
