VMware AppDefense: een nieuwe kijk op applicatiebeveiliging

Dat virtualisatie marktleider VMware zich steeds meer met IT-security gaat bezighouden, is een trend die al langer zichtbaar is. VMware gelooft in het Software Defined Data Center (SDDC), en daarbij gaat het niet alleen om virtuele machines en opslag. NSX, het VMware product waarmee ook de netwerklaag gevirtualiseerd kan worden, verstevigde VMware’s positie op beveiligingsgebied. Immers: Zero Trust concepten als microsegmentatie zijn met de tools die NSX biedt veel sneller en volledig geautomatiseerd uit te voeren.

Maar op de afgelopen editie van VMware’s jaarlijkse VMworld spektakel werd duidelijk dat de ambities van de onderneming nog groter zijn wanneer het om cybersecurity gaat. AppDefense is het nieuwe product waarmee VMware zijn virtuele infrastructuur wil gebruiken om applicaties voortdurend te kunnen monitoren op gewenst of juist abnormaal gedrag. De belangstelling voor de break-out sessies, die VMware-specialisten tijdens de afgelopen editie van Bright & Cloudy verzorgden, toonde aan dat IT-professionals die aanpak veelbelovend vinden.

Druk op datacenter en IT-staf steeds groter

Volgens Jeremy van Doorn, Senior Director van de Network & Security Division van VMware, is VMware’s toegenomen belangstelling voor cybersecurity goed te verklaren. Het datacenter staat volgens hem vandaag de dag voor een enorme uitdaging. Werknemers en klanten willen vanaf elke plek ter wereld 24/7 toegang tot applicaties en data, terwijl IT-security vereist dat alleen de juiste mensen toegang hebben tot alleen dié data die ze echt nodig hebben.

Van Doorn: “We hebben in de afgelopen jaren veel innovatieve oplossingen zien ontstaan om cybercrime effectiever aan te pakken. Neem bijvoorbeeld de next-generation firewalls van leveranciers als Palo Alto Networks, en hun applicatie identificatie (AppID) en gebruiksidentificatie (UserID) technologie. Of de steeds slimmere vormen van malware herkenning op basis van kunstmatige intelligentie (AI) en het delen van informatie in de cloud. En ook het beschikbaar zijn van encryptie voor mobiel- en wifiverkeer zorgde voor een betere beveiliging. Rond je data en applicaties probeer je vast te houden aan het idee van least privilege, een gebruiker of proces moet niet meer toegang tot data en resources hebben dan wat strikt nodig is voor een bepaalde toepassing. En door je netwerk op te delen in logische microsegmenten probeer je te voorkomen dat een inbraak op één plaats toegang biedt tot andere delen van het netwerk.”

“Er is een grens aan de informatiestroom die mensen kunnen monitoren, hoe talrijk en getalenteerd zij ook zijn”

Maar is het wel een speld?

Maar ondanks alle vooruitgang lijkt het er volgens hem op dat we IT-security op wezenlijk andere manieren moeten gaan aanpakken om gelijke tred te kunnen blijven houden met de hackers. Automation is daarin cruciaal. Aanvallers worden nog steeds geraffineerder, en hun aantal groeit nog steeds exponentieel. Er is een grens aan de informatiestroom die mensen kunnen monitoren, hoe talrijk en getalenteerd zij ook zijn.

Er is in ieder geval een grens aan de hoeveelheid acties die ze op basis van een incident-melding kunnen uitvoeren. Een datacenter bestaat soms uit tienduizenden processen op verschillende OS’en op duizenden virtuele hosts en in toenemende mate ook in de cloud. Die processen communiceren ook onderling, en ergens in die hooiberg zoek je naar een speld die op verdacht gedrag kan wijzen.

Lieuwe Jan Koning, CTO van ON2IT, was er tijdens zijn Bright & Cloudy keynote dit jaar zelfs nog stelliger over: “Je weet meestal niet eens weet of er een speld is. En als je er één hebt, weet je niet of je ze daarmee allemaal hebt gevonden.”

Automation is enige oplossing

Die uitdaging kan volgens Van Doorn alleen succesvol worden opgepakt door een extreem hoge mate van automatisering van het beveiligingsproces. En daar is direct het raakvlak met VMware. “In een softwareomgeving kun je veel eenvoudiger acties automatiseren dan in een omgeving met ijzeren boxen. Dat is natuurlijk altijd al de grote kracht van virtualisatie geweest: een beheerder kan binnen enkele minuten een virtual machine in de lucht brengen, compleet met netwerkverbindingen, OS en applicatiesoftware.

In de afgelopen jaren zijn we bij VMware gaan nadenken over de vraag of we die mate van automatisering ook niet op security zouden kunnen loslaten. Wij hebben met ons vSphere platform en onze NSX-technologie immers een unieke positie in het datacenter. We zien wat er gebeurt in elke app in elk OS, welke gebruiker inlogt, welke netwerk- en opslagresources worden gebruikt. En tegelijk staan we met de hypervisor ook buiten het OS zelf.

Een hacker kan niet zien dat wij meekijken, omdat hij alleen toegang tot het gast-OS heeft. Technieken als Zero Trust en microsegmentatie zijn ongelooflijk nuttig, maar ze werken meer op netwerkniveau dan op workloadniveau. Door ons te richten op die workloads in de virtuele machines zijn we aanvullend op die andere beveiligingsconcepten.”

Analyse the good, not the bad

Het kernidee achter AppDefense wijkt af van de aanpak die veel andere leveranciers kiezen, zegt Van Doorn. “Zij richten zich vooral op het identificeren en onschadelijk maken van de tienduizenden mogelijke vormen van exploits en malware. Vroeger werden die bedreigingen vooral herkend aan de hand van hun zogeheten signature, maar naarmate de hackers slimmer werden heb je ook slimmere herkenningstechnieken nodig.”

AppDefense gaat dus uit van een andere aanpak. Niet het herkennen van malware in het netwerk, maar het herkennen van afwijkend gedrag in een applicatie is de eerste stap in de AppDefense verdedigingslinie. Met behulp van kunstmatige intelligente technieken als deep learning analyseert AppDefense op basis van de werking van een applicatie en de data uit vSphere en de hypervisor allereerst wat normaal gedrag is. “We kunnen die bevindingen presenteren aan de security-specialisten en aan leveranciers of ontwikkelaars. Is het logisch dat deze app met de directory-server communiceert? Is het nodig dat deze workload met drie database-clusters verbinding heeft?”

Met behulp van de antwoorden op die vragen slaat AppDefense per applicatie een zogeheten manifest op. Dat is een zo compleet mogelijke beschrijving van het gewenste gedrag van die app. Vanaf dat moment kan AppDefense het feitelijke gedrag van alle apps vergelijken met het verwachte gedrag zoals dat in hun manifest is vastgelegd. Wanneer een app bijvoorbeeld onverwacht een proces opstart, of het master boot record van het OS probeert de manipuleren, zal dat tot een melding leiden.

VMware ecosysteem gebruiken voor tegenmaatregelen

Daarna, en dat is volgens Van Doorn minstens zo belangrijk, kan op basis van dat geconstateerde afwijkende gedrag automatisch actie ondernomen worden in het VMware software ecosysteem. De VMware ESX/NSX virtualisatieomgeving biedt een rijke set aan geautomatiseerde tools en dashboards voor alle delen van het datacenter en steeds vaker ook voor de infrastructuur in de cloud.

AppDefense kan gebruik maken van dat grote arsenaal aan geautomatiseerde taken om onmiddellijk te kunnen reageren op verdacht gedrag in een app-omgeving. Voorbeelden van dergelijke acties zijn het maken van een snapshot, het stopzetten of in quarantaine zetten van een workload, het blokkeren van (delen van) het netwerk of het opstarten van nieuwe services.

AppDefense sluit volgens Van Doorn naadloos aan bij de DevOps manier van werken die in steeds meer organisaties wordt ingevoerd. “Net zoals ouders weten wat een normale temperatuur voor hun kind is, zo kennen ontwikkelaars als allerbeste het normale gedrag van hun applicaties. Of het nu om publieke cloud apps of in huis ontwikkelde apps gaat, de wisselwerking tussen de netwerkspecialisten en de app-specialisten zorgt ervoor dat we bedreigingen en zwakke plekken sneller kunnen herkennen en actie kunnen ondernemen.”

It’s an open world

AppDefense is een nieuwe oplossing die geïntegreerd zal worden in een doorgaans al uitgebreide set van security hardware en software. VMware biedt dan ook integratie en koppelingen met platforms en producten van een groeiend aantal belangrijke leveranciers van security-producten, zoals SIEM-management en orchestratie-tools. Dankzij die open opzet kan AppDefense op basis van ON2IT’s Security Framework (ONSF) ook worden geïntegreerd in de Managed Security oplossingen die ON2IT biedt.

“Met AppDefense laten we zien dat we een unieke bijdrage kunnen leveren aan veruit de grootste uitdaging voor IT-professionals.”

Van Doorn hoopt dat VMware steeds minder gezien zal worden als ‘die server-virtualisatie marktleider’, maar vooral als een toonaangevende partij voor de gehele infrastructuur van het software defined data center, inclusief de cloud. “NSX was een belangrijke stap in die richting, en met AppDefense laten we zien dat we een nieuwe en unieke bijdrage kunnen leveren aan veruit de grootste uitdaging voor IT-professionals.”