Transparenz in Echtzeit im Rechenzentrum – Agentenbasiert Daten erfassen, analysieren und verarbeiten

Digitalisierte Unternehmen betreiben Geschäftsanwendungen auf einer Vielzahl von Servern in heterogenen Umgebungen und nutzen dabei auch Leistungen von Cloud-Providern. Agile Methoden, Micro-Services und mobile Apps erhöhen die Komplexität und die Geschwindigkeit, mit der sich die Applikationen verändern. Das führt zu grossen Herausforderungen, wenn es darum geht, Applikationsbeziehungen und -abhängigkeiten nachzuvollziehen, damit Sicherheitsvorgaben erfüllt und die Compliance erreicht werden kann.

Verfügbar, mobil, sicher

Von der Verfügbarkeit und Sicherheit der Applikationen hängt bei modernen, vollständig oder teilweise digitalisierten, Unternehmen der Geschäftserfolg massgeblich ab. Sie müssen 

• schnell einsatzbereit gemacht werden können, 
• in der täglichen Praxis maximal verfügbar sein, 
• unter Erfüllung aller Sicherheits- und Compliance-Vorgaben betrieben werden 
• und bei Bedarf eine schnelle Migration ermöglichen. 

Um all das gewährleisten zu können, müssen IT-Verantwortliche wissen, welche Anwendungen gerade aktiv sind, welche wie miteinander interagieren, wie hoch deren Auslastung ist und ob alle sicherheitstechnischen Kriterien eingehalten wurden. Daher ist es notwendig, die Kommunikationsmuster der Applikation transparent zu machen sowie das Applikationsverhalten zu veranschaulichen und analysierbar zu gestalten.

Agentenbasiertes Monitoring

Seit den 90er Jahren hat sich zur Bewältigung dieser Mammutaufgabe die Agententechnologie erfolgreich in der IT etabliert. Mit ihr kann die notwendige, umfassende Überwachung gemeistert werden. Dennoch werden seit jeher immer wieder Bedenken und Vorbehalte gegen diese Technologie vorgebracht – bei näherer Betrachtung allerdings zu Unrecht. 

Software-Agenten sind intelligente, flexible und autonome Problemlöser, die vorausschauend und proaktiv agieren. Sie beobachten ihre Umgebung und sind in der Lage, auf relevante Ereignisse angemessen zu reagieren. Ihre Vorteile liegen vor allem in diesen Bereichen:

• Tiefgehende Analysen
  Agentenbasierte Monitoring-Lösungen blicken deutlich tiefer in die zu überwachenden Systeme hinein als agentenlose. Damit können zusätzliche, kontextuelle Informationen für die Analyse genutzt werden.
• Sicherheit
  Agenten sind eine effiziente und sichere Alternative bzw. Ergänzung zum Aufbrechen der Verschlüsselung (TLS Inspection). Sicherheitsfunktionen, besonders bei Web Security und Data Protection, sind darauf angewiesen, in den verschlüsselten Verkehr hineinsehen zu können. Für das Aufbrechen von Verschlüsselung ist einiges an Aufwand notwendig. Wenn es nicht sehr professionell gemacht wird, übersteuern die Risiken den Nutzen. Agenten, welche auf einem System in die Applikationen sehen, bevor die Verschlüsselung stattfindet, bieten die vollen Vorteile von TLS Inspection, jedoch ohne diese auch realisieren zu müssen.
• Höhere Mobilität
  Je mobiler das System ist, umso wichtiger ist die Möglichkeit, Verkehrsströme bereits an der Quelle zu erfassen und zu lenken. Agentenlose Lösungen haben weniger Sicht auf das System und den Kontext als agentenbasierte und deutlich weniger Möglichkeiten zur Einflussnahme. Agentenlose Datensammlung benötigt zudem die entsprechende Infrastruktur.

Digitalisierte Unternehmen profitieren

Hängt der Geschäftserfolg in hohem Mass vom tadellosen Funktionieren der IT-Systeme ab, führt am agentenbasierten Monitoring also de facto kein Weg vorbei. Denn in einem solchen Unternehmen haben Ausfälle oder Leistungseinbrüche schwerwiegende Folgen. Die genaue Kenntnis der Applikationslandschaften und aller Abhängigkeiten ist für die IT-Verantwortlichen dieser Unternehmen daher unabdingbar. Je tiefgehender ihr Verständnis ist, desto besser und effizienter können sie die Anwendungen zur Verfügung stellen, verwalten und absichern. 

Den Nebelschleier entfernen

Klare Sicht über ihre Applikationslandschaft erhalten Unternehmen mit der von ISPIN eingesetzten Lösung. Sie sammelt Telemetriedaten von Hardware- und Software-Agenten und untersucht diese auf der zentralen Plattform, mittels modernem, maschinengestützten Analyseverfahren (Machine Learning). Die Lösung ermittelt aufgrund der Datenflussanalyse die Abhängigkeiten von Applikationen, macht basierend auf diesen Erkenntnissen Vorschläge zur Gestaltung eines Regelwerks (Application Policy Whitelisting) und ermöglicht die automatische Konfiguration auf den Systemen, Firewalls und Netzwerkkomponenten. 

Dennoch äussern IT-Verantwortliche immer wieder Bedenken bei der Installation von Software-Agenten, die jedoch schnell entkräftet werden können:

1. Der Agent verbraucht zu viele Ressourcen im System
   Generell sind in der heutigen Zeit mit den modernen Prozessoren oder mit Cloud-Instanzen, welche fast endlos Ressourcen zur Verfügung stellen können, Engpässe eher eine Seltenheit. Der Agent kann seinen Ressourcenbedarf für jede Funktion individuell einstellen. Auf der zentralen Plattform lassen sich zudem die Auslastung, die Erreichbarkeit und die Konfiguration überwachen und bei Bedarf optimieren.
2. Wir haben keine Möglichkeit, tausende Sensoren in kurzer Zeit zu verteilen und später zu aktualisieren
   Für die Installation gibt es Skripts, welche den Agent herunterladen, installieren und automatisch an der Plattform anmelden. Auch mit kundenspezifischen Konfigurationswerkzeugen ist der Agent verteilbar. Die Aktualisierung erfolgt danach automatisiert über die Plattform.
3. Wir möchten nicht, dass vertrauliche Daten gesammelt werden
   Der Agent sammelt nur die Metadaten über eine Kommunikationsverbindung - aufgrund der zunehmenden Verschlüsselung der Inhalte und zur Reduktion der Datenmenge und des Datenverkehrs. Zudem sind die Softwarepakete an die kundenspezifische Plattform gebunden und benutzen die plattform-interne Zertifikatsverwaltung.

Die mit den Agenten gewonnenen Telemetrie-Daten lassen sich nun für die Modernisierung bestehender IT-Infrastrukturen in eine hybride Umgebung nutzen, oder Anwendungen können optimiert und sicherer betrieben werden. Die Daten können für verschiedene Szenarien eingesetzt werden. Folgende Mehrwerte sind dabei umsetzbar:

• Abhängigkeiten von Applikationen im Rechenzentrum und in der Cloud verstehen.
• Fundierte Entscheidungen treffen und den Effekt von Richtlinienänderungen prüfen, bevor diese implementiert werden.
• Milliarden Datenflüsse in Echtzeit, für forensische Zwecke, durchforsten.
• Das Verhalten von Anwendungen kontinuierlich überwachen, um abweichende Kommunikationsmuster schnell zu identifizieren.
• Konsistente Sicherheitsrichtlinien bei jeder Anwendung durchsetzen, unabhängig von ihrer Laufzeitumgebung.
• Software-Inventarisierung, Schwachstellen-Erkennung und Isolierung von gefährdeten Systemen.
• Überwachen des Prozessverhaltens gegenüber einer Referenzkonfiguration zur Identifikation von Abweichungen mit statistischen Methoden.

Know-how vom Spezialisten

ISPIN bietet umfassende Dienstleistungen an, welche den Unternehmen dabei hilft, die Komplexität im Rechenzentrum zu verstehen, zu visualisieren und zu bewirtschaften. ISPIN Security Experten unterstützen bei der Definition spezifischer Einsatzszenarien und deren Umsetzung.

Mit klarer Sicht volle Fahrt voraus

Benötigen Sie tiefgreifenden Durchblick in Ihre Anwendungslandschaft? Stehen Sie vor einer Migration und benötigen den Überblick über alle Applikationsabhängigkeiten? Setzen Sie auf unsere Expertise und Erfahrung und wechseln Sie vom Blindflug im Rechenzentrum hin zur freien Fahrt bei bester Sicht.
 

Wir beraten Sie gerne. Kontaktieren Sie uns via cloudsecurity[at]ispin.ch oder +41 44 838 3111.