Tierney - stock.adobe.com
Agentenlose und agentenbasierte Sicherheit: Die Unterschiede
Unternehmen können entweder einen agentenbasierten oder einen agentenlosen Ansatz zur Überwachung und Sicherung ihrer IT verwenden. Jedes Konzept hat Vor- und Nachteile.
Bei der Netzwerküberwachung und -sicherheit gibt es zwei Hauptansätze: agentenbasiert und agentenlos. Beide haben Vor- und Nachteile. Es ist wichtig, die Auswirkungen jedes Ansatzes zu verstehen, bevor man sich entscheidet, welche Option man wo einsetzt.
Der grundlegende Unterschied zwischen ihnen ist folgender:
- Agentenbasierte Produkte benötigen eine Anwendung, die auf dem zu überwachenden System installiert ist.
- Agentenlose Software verwendet in erster Linie APIs, um direkt mit überwachten Ressourcen zu kommunizieren.
Das ist jedoch nicht alles, vor allem dann nicht, wenn es um die Überwachung eines Altsystems oder einer Cloud-Plattform geht. Im Folgenden wollen wir die Details ein wenig näher betrachten, um zu verstehen, wie man effektiv zwischen agentenbasierter und agentenloser Sicherheit abwägt.
Was bedeutet agentenbasierte Sicherheit?
Agentenbasierte Produkte verwenden spezielle Softwarekomponenten, die auf einzelnen Endpunkten eines Netzwerks installiert werden, das ein Unternehmen überwachen und schützen möchte. Der Agent überwacht den Endpunkt kontinuierlich und sammelt sicherheitsrelevante Daten sowie Informationen zum Patch- und Schwachstellenstatus, die dann automatisch oder auf Anforderung an ein zentrales Verwaltungssystem gesendet werden. Diese Informationen werden dann automatisch und auf Anfrage an ein zentrales Managementsystem gesendet. Dieser Ansatz bietet Echtzeiteinblicke in die Sicherheit der einzelnen Endpunkte. Da der Agent halbautonom ist, kann er sofort reagieren, um definierte Sicherheitsrichtlinien durchzusetzen und Aktionen wie Systemneustarts und Konfigurationsänderungen zu initiieren.
Vorteile der agentenbasierten Sicherheit
Agentenbasierte Produkte bieten eine unkomplizierte und gut nachvollziehbare Möglichkeit zur Überwachung und Steuerung von Endpunkten. Sie sind aus den folgenden Gründen populär:
- Unterstützung in Echtzeit. Da sich der Agent direkt auf dem Gerät befindet, kann er benutzerdefinierte, detaillierte Scans und Überwachungen in Echtzeit anbieten. Er kann auch sofort auf gerätespezifische Sicherheitsereignisse oder -probleme reagieren und sogar als Firewall fungieren, um Netzwerkverbindungen auf der Grundlage von Filterregeln zu verwalten.
- Reaktionsfähigkeit. Es kann Telemetriedaten an eine zentrale Sicherheitsplattform senden, Patches und Konfigurationsänderungen anwenden und Energieverwaltungsaufgaben durchführen, um die Leistungsaufnahme zu optimieren und die Sicherheit zu verbessern.
- Dezentralisierung. Agenten dezentralisieren das Sicherheitsmodell. Da sie unabhängig von einem zentralen Verwaltungsserver arbeiten, sind sie widerstandsfähiger gegenüber Netzwerkproblemen. Dies macht sie ideal für Netzwerke mit begrenzter Bandbreite und Geräte innerhalb von DMZs (Demilitarisierte Zone) oder mit begrenzter oder fehlender Netzwerkkonnektivität. Sie können auf jedem kompatiblen Gerät installiert werden und müssen nicht in Dienste und APIs von Drittanbietern integriert werden.
- Keine Abhängigkeit von der Konnektivität. Agenten sind für die Sicherheit nicht von der Netzwerkkonnektivität abhängig und eignen sich daher für entfernte Standorte oder Geräte mit begrenzter Bandbreite. Sie eignen sich auch für Netzwerke, in denen Benutzer und Geräte nur zeitweise verbunden sind.
Nachteile der agentenbasierten Sicherheit
Der große Nachteil der agentenbasierten Sicherheit ist die Komplexität und der Aufwand, der mit der Installation und Konfiguration von Agenten auf mehreren Geräten verbunden ist. Selbst wenn der Rollout automatisiert werden kann, müssen Administratoren den Bereitstellungsprozess überwachen, da menschliche Fehler oder übersehene Geräte zu unerkannten Lücken in der Sicherheitsabdeckung führen können.
Zu den weiteren Herausforderungen gehören die folgenden:
- Einschränkungen bei der Skalierbarkeit. Die Notwendigkeit, auf jedem Gerät oder System einen Agenten zu installieren, bedeutet, dass das System nicht gut skalierbar ist, insbesondere in großen, komplexen und verteilten Umgebungen, die sich schnell ändern.
- Potenzielle Schwachstellen. Agenten sind privilegierte, vernetzte Prozesse, aber nicht immun gegen Angriffe. Für verschiedene Sicherheitsagenten wurden CVEs gemeldet, und ein kompromittierter Agent würde eine ernsthafte Sicherheitsbedrohung für das Gerät und möglicherweise das gesamte Netzwerk darstellen. Die Aktualisierung jedes Agenten nimmt Zeit in Anspruch, so dass Angreifer eine neue Schwachstelle ausnutzen können, bevor die Agenten gepatcht sind.
- Arbeit mit uneinheitlicher Software und Hardware. Die Notwendigkeit, verschiedene Gerätetypen mit unterschiedlichen Betriebssystemen zu überwachen, kann die Auswahl an geeigneten Produkten, die eingesetzt werden können, einschränken, insbesondere wenn eine Infrastruktur neben Standard-Servern und PCs auch IoT-Geräte umfasst.
- Arbeitsintensiv. Der Wechsel zwischen agentenbasierten Sicherheitsprodukten ist arbeitsintensiv. Vorhandene Agenten müssen entfernt werden, bevor die neuen installiert werden können, was zu einer gewissen Herstellerbindung führt.
- Beeinträchtigung der Leistung. Agenten können die Leistung von Geräten mit begrenzten Speicher- oder CPU-Ressourcen beeinträchtigen. Dies kann je nach Anzahl und Komplexität der Aufgaben, die ein Endpunkt ausführt, ein Problem darstellen, da es zu einer geringeren Leistung führen und sogar Cloud-Rechenknoten in teurere Bereitstellungsebenen drängen kann.
Was bedeutet agentenlose Sicherheit?
Die agentenlose Sicherheit legt den Schwerpunkt auf die Gesamtsicherheit der IT-Umgebung und nicht auf einzelne Endpunkte. Die Sicherheitsdaten, die für den Aufbau eines Infrastrukturinventars und die Überwachung dieses Inventars benötigt werden, werden von einem zentralen Kontrollsystem mit nicht-invasiven Methoden wie APIs und Protokollprüfung gesammelt, zusammengestellt und analysiert. Dadurch entfällt die Notwendigkeit, Software-Agenten auf jedem Endpunkt in einem Netzwerk oder einer verteilten Umgebung zu installieren. Dies bedeutet auch, dass alles von serverlosen Diensten und VMs bis hin zu PaaS und SaaS überwacht werden kann, und sogar Geräte, auf denen es nicht möglich ist, einen Softwareagenten zu installieren. Auch die APIs der Cloud-Anbieter können angezapft werden, um zusätzliche Daten über Arbeitslasten und den Gerätezustand zu sammeln.
Vorteile der agentenlosen Sicherheit
Ein weiterer Vorteil des agentenlosen Sicherheitssystems ist, dass es sofort mit der Berichterstattung und Verwaltung jedes im Netzwerk gefundenen Geräts beginnen kann. Agentenbasierte Systeme können nur Rechner überwachen, auf denen ein Agent aktiv läuft. Dadurch wird die Bereitstellung von agentenloser Sicherheit auf einen Bruchteil der Zeit reduziert, die für die Einführung eines Agenten auf dem Gerät benötigt wird. Gleichzeitig bietet agentenlose Sicherheit eine größere anfängliche Abdeckung und Sichtbarkeit über die gesamte Infrastruktur.
Zu den Vorteilen gehören unter anderem die folgenden:
- Skalierbarkeit. Da nicht auf jedem neuen Gerät ein Agent installiert werden muss, lässt sich die agentenlose Sicherheit problemlos skalieren, da neue Ressourcen automatisch erkannt werden, sobald sie erstellt werden.
- Geringerer Wartungsaufwand. Es ist nicht erforderlich, Agenten zu aktualisieren, wenn ein Hersteller neue Funktionen implementiert, so dass es praktisch wartungsfrei ist. Außerdem wird kein Code installiert, der potenziell Schwachstellen in das Gerät und damit in das Netz einbringen könnte.
- Ressourceneffizienz. Agentenlose Sicherheit ist leichtgewichtig und weniger ressourcenintensiv als installierte Agenten. Die Einführungs- und laufenden Betriebskosten sind geringer. Da der zentrale Dienst Daten über APIs sammelt, sind die Leistungsauswirkungen auf die Geräteauslastung minimal. Dies kann für IoT-Geräte mit begrenzten Onboard-Ressourcen entscheidend sein.
- Flexibilität. Der Wechsel des Sicherheitsanbieters und sogar die gleichzeitige Nutzung mehrerer Dienste ist einfacher, da die agentenlose Sicherheit nicht eingreift und Konflikte zwischen den Diensten unwahrscheinlich sind.
Nachteile der agentenlosen Sicherheit
Obwohl viele der mit Agenten verbundenen Probleme gelöst werden, sind die folgenden Nachteile von agentenlosen Systemen zu beachten:
- Fragilität bei der Absicherung von Prozessen. Die agentenlose Sicherheit hängt von der Netzwerkkonnektivität ab und verwendet sichere Tunnel für die Verbindung zu Endpunkten, die sich an den äußeren Rändern des Netzwerks befinden. Dies macht die Sicherung von Prozessen anfällig. Obwohl die agentenlose Sicherheit nicht so ressourcenintensiv ist wie die agentenbasierte Sicherheit, erfordert sie eine starke Infrastruktur und dedizierte Hardware, um die Zuverlässigkeit des Systems zu gewährleisten.
- Keine echte Echtzeitüberwachung oder aktiver Laufzeitschutz. Sicherheitsdaten können nicht mit demselben Detaillierungsgrad erfasst werden, und APIs und Protokolldateien können nur Momentaufnahmen des Status und Zustands eines Geräts liefern. Daher sind eine echte Echtzeitüberwachung und ein aktiver Laufzeitschutz nicht möglich.
- Herausforderungen bei der Automatisierung. Die Verwaltung von Sicherheitsrichtlinien und -einstellungen auf einzelnen Endgeräten kann schwieriger zu automatisieren sein, da es keinen direkten Zugang zu ihnen gibt.
- Kompatibilität. Wie bei der agentenbasierten Sicherheit können auch hier Kompatibilitätsprobleme auftreten, insbesondere in hybriden Umgebungen mit Cloud- und On-Premises-Ressourcen.
Agentenlos oder agentenbasiert – wann eignet sich was?
Je nach Anwendungsfall oder Umgebungen können sich beide Ansätze empfehlen. Es ist daher wichtig, die Vorteile und Grenzen beider Ansätze im Hinblick auf die besonderen Anforderungen und Prioritäten des Unternehmens abzuwägen.
Die agentenbasierte Sicherheit bietet zwar einen umfassenderen Schutz in Echtzeit und ist nicht auf eine Netzwerkverbindung angewiesen, kann aber aufgrund ihres hohen Ressourcenverbrauchs für bestimmte Geräte nicht in Frage kommen. Agentenbasierte Sicherheit ist auch arbeitsintensiver, da jedes Gerät eingerichtet, konfiguriert und gewartet werden muss. Die agentenlose Sicherheit hingegen erfordert nur eine einmalige Einrichtung auf dem zentralen Kontrollserver. Dies macht sie flexibler und skalierbar für Netzwerke mit unterschiedlichen Geräten und spart Zeit und Aufwand.
Welchen Sicherheitsansatz Ihr Unternehmen wählt, hängt von seinen Sicherheits- und Compliance-Anforderungen sowie von seiner Netzwerkumgebung ab. Agentenbasierte Systeme sind eine kluge Wahl für unternehmenskritische Systeme vor Ort, bei denen Sicherheit und Zuverlässigkeit an erster Stelle stehen. Agentenbasierte Sicherheit verhindert Lücken, die durch Konnektivitätsprobleme entstehen könnten, und führt alle notwendigen Maßnahmen durch, wenn das Gerät vom Hauptnetzwerk getrennt wird. Im Gegensatz dazu wäre ein agentenloses System die bessere und einfachere Wahl für komplexe, groß angelegte, ausschließlich Cloud-basierte Umgebungen, in denen die Ressourcen ständig hoch- und runtergefahren werden oder in denen eine große Anzahl von Geräten nicht leicht zugänglich ist, wie zum Beispiel in industriellen Steuerungssystemen (ICS).
Eine Kombination aus agentenbasierter und agentenloser Sicherheit kann der umfassendste Ansatz sein. Allerdings dürfte dies für viele eine Herausforderung hinsichtlich des Budgets sein