ADMIN

2021

02

2021-02-01T12:00:00

Sichere Virtualisierung

TESTS

024

Virtualisierung

Sicherheit

Bitdefender GravityZone for Virtualized Environments

Sicherheitssphäre

von Thomas Bär

Frank-Michael Schlede

Veröffentlicht in Ausgabe 02/2021 - TESTS

Wer seine IT-Systeme absichern will, kommt schon lange nicht mehr damit aus, einfach ein Antivirus-Produkt zu installieren. Das gilt ganz besonders dann, wenn es darum geht, auch virtualisierten Systemen den entsprechenden Schutz angedeihen zu lassen. Bitdefender verspricht Unternehmen, dass sie mit der Lösung "Gravityzone for Virtualized Environments" auch in diesen Fällen gegen Angriffe immunisiert sind.

IT-Umgebungen werden immer komplexer, was es für die IT nicht gerade einfach macht, alle Geräte, Systeme und Endpunkte im Netzwerk zu schützen und zu überwachen. Bitdefender bietet mit "GravityZone" eine Software an, mit der Administratoren die verschiedensten Bereiche einer IT-Infrastruktur absichern können. GravityZone ist dabei auf virtuelle und Cloudumgebungen zugeschnitten und zeigt sich sehr umfangreich. So fiel es auch uns im Laufe des Tests nicht immer einfach, genau abzugrenzen, welche Produktteile oder Add-ons zu welcher Ausprägung mit welcher Produktbezeichnung gehören.
Bitdefender stellt für mittlere und große Unternehmen die Produkte mit den Bezeichnungen "GravityZone Elite" und "GravityZone Ultra Plus" bereit. Dabei vereint die Elite-Version als integrierte Plattform den Endpunktschutz, Risikoanalysen und Angriffsforensik mit Analysen des Benutzerverhaltens. Auf der Webseite des Anbieters steht zudem die "Ultra Plus"-Version als integriertes Angebot samt Präventionsfunktionen, aufwandsarmer Endpoint Detection and Response und Analysen des Netzwerkverkehrs bereit. Für Kleinunternehmen stehen dann noch die Produkte "GravityZone Advanced Business Security" und "GravityZone Business Security" zur Verfügung, die beide sogenanntes Next-Generation-Antivirus bieten sollen.
Bei dem von uns für diesen Test betrachteten Modul "GravityZone for Virtualized Environments", das speziellen Schutz für virtuelle Server und Desktops anbietet, handelt es sich um eine der sogenannten Add-ons- und Sonderlösungen. Solche existieren bei Bitdefender auch noch für die Bereiche "Network Traffic Security Analytics" (bietet Analysen zur erweiterten Bedrohungserkennung) und "GravityZone Email Security" (cloudbasierte E-Mail-Sicherheit).
IT-Umgebungen werden immer komplexer, was es für die IT nicht gerade einfach macht, alle Geräte, Systeme und Endpunkte im Netzwerk zu schützen und zu überwachen. Bitdefender bietet mit "GravityZone" eine Software an, mit der Administratoren die verschiedensten Bereiche einer IT-Infrastruktur absichern können. GravityZone ist dabei auf virtuelle und Cloudumgebungen zugeschnitten und zeigt sich sehr umfangreich. So fiel es auch uns im Laufe des Tests nicht immer einfach, genau abzugrenzen, welche Produktteile oder Add-ons zu welcher Ausprägung mit welcher Produktbezeichnung gehören.
Bitdefender stellt für mittlere und große Unternehmen die Produkte mit den Bezeichnungen "GravityZone Elite" und "GravityZone Ultra Plus" bereit. Dabei vereint die Elite-Version als integrierte Plattform den Endpunktschutz, Risikoanalysen und Angriffsforensik mit Analysen des Benutzerverhaltens. Auf der Webseite des Anbieters steht zudem die "Ultra Plus"-Version als integriertes Angebot samt Präventionsfunktionen, aufwandsarmer Endpoint Detection and Response und Analysen des Netzwerkverkehrs bereit. Für Kleinunternehmen stehen dann noch die Produkte "GravityZone Advanced Business Security" und "GravityZone Business Security" zur Verfügung, die beide sogenanntes Next-Generation-Antivirus bieten sollen.
Bei dem von uns für diesen Test betrachteten Modul "GravityZone for Virtualized Environments", das speziellen Schutz für virtuelle Server und Desktops anbietet, handelt es sich um eine der sogenannten Add-ons- und Sonderlösungen. Solche existieren bei Bitdefender auch noch für die Bereiche "Network Traffic Security Analytics" (bietet Analysen zur erweiterten Bedrohungserkennung) und "GravityZone Email Security" (cloudbasierte E-Mail-Sicherheit).
Die Steuerung und Überwachung von GravityZone findet über eine zentrale Verwaltungskonsole statt, während die Security-Software als virtuelle Appliance läuft. Die Konsole wiederum können Admins auch in der Cloud betreiben. Mit Letzterer kann die IT-Mannschaft dann beispielsweise Sicherheitsrichtlinien für die Endpunkte erstellen, zuweisen und überwachen. Das funktioniert sowohl für physische als auch virtuelle Systeme, die lokal oder in der Cloud arbeiten.
Umfangreiches und flexibles Dashboard
Wir griffen für unseren Test auf die Variante "GravityZone Ultra" in der Cloudausprägung zurück. Nach der Anmeldung im Browser bekamen wir zunächst eine Hilfe angezeigt, die uns durch die ersten Schritte mit der Sicherheitslösung führte. Diese Anzeige lässt sich auch ausschalten, sodass sie nicht mehr bei jeder neuen Anmeldung erscheint. Zu den aufgelisteten wichtigen Aufgaben zählen dabei neben der generellen Installation des Schutzes auch die Sicherheitsrichtlinien, Konten und Berichterstattung. Nicht nur an dieser Stelle, sondern über die ganze Suite hinweg erwiesen sich die Hilfen als sehr ausführlich. Sie stehen zudem komplett in deutscher Sprache bereit, was bei vielen Herstellern immer noch nicht Standard ist.
Im Anschluss findet sich der Administrator in einem großen Dashboard wieder, das eine umfangreiche Auswahl an Informationen bereitstellt. Wer nicht alle davon benötigt oder andere Werte und Parameter angezeigt haben möchte, kann sich diese Darstellung mittels sogenannter Portlets, die sich direkt aus dieser Oberfläche hinzufügen oder entfernen lassen, nach den eigenen Vorstellungen gestalten.
Bei diesen Portlets handelt es sich um Komponenten in Form von HTML-Code. Ein Klick auf den Punkt "Portlet hinzufügen", und der Administrator gelangt in ein Menü, in dem er aus einer großen Anzahl dieser Elemente auswählen kann, die dann im Dashboard auftauchen. Wer von der Fülle der dargestellten Informationen zunächst überwältigt ist, dürfte mit der Zusammenfassung "Executive Summary" gut bedient sein, zu erreichen im linken Abschnitt der Webseite. Diese bietet eine gute Übersicht über die Endpunkte und Ereignisse in der eigenen Infrastruktur.
Für Administratoren ist aber ohne Zweifel der Bereich "Netzwerk" aus dem Menü einer der wichtigsten Anlaufpunkte: Hier finden sie im täglichen Betrieb all ihre geschützten Systeme und beginnen mit der Arbeit, wenn sie neue Systeme schützen möchten. Dabei ist es grundsätzlich gleich, ob es sich um physische oder virtuelle Maschinen handelt. Der erste Schritt besteht immer darin, ein entsprechendes Paket zur Bestückung des Endpunktes zu erstellen. Dazu findet der Systemverwalter im Netzwerkmenü den Eintrag "Pakete". An dieser Stelle kann er ein neues Paket nach den Erfordernissen der entsprechenden Endpunkte erstellen und herunterladen. Dabei lässt sich unter anderem festlegen, welche der verfügbaren Sicherheitsmodule in dem Paket enthalten sein sollen.
Dazu gehören – je nach erworbener Lizenz – dann beispielsweise auch Techniken wie ein Sensor für Endpoint Detec-tion and Response oder die Advanced Threat Control. Ein derart erstelltes Paket lässt sich dann direkt aus der Oberfläche herunterlanden und auf den entsprechenden Systemen installieren. Noch einfacher ist es, im Bereich "Netzwerk" das entsprechende System auszuwählen, einen Rechtsklick auszuführen und so die Installation des Agenten zu starten. Das funktionierte bei uns im Test mit verschiedenen Windows-10-Systemen in virtuellen Maschinen, die im Testnetzwerk sowohl auf Windows Server 2019 unter Hyper-V als auch unter VMware Workstation liefen.
Bild 1: Das Dashboard ist die Zentrale der GravityZone-Plattform: Anwender können diese Seite mit­hilfe der Portlets, die der Anbieter zur Verfügung stellt, nach den eigenen Vorstellungen konfigurieren.
Schutz auf unterschiedlichen Wegen
Uns interessierte es für diesen Beitrag aber ganz besonders, wie GravityZone für Sicherheit in virtualisierten Umgebungen sorgt. Grundsätzlich stellt Bitdefender drei Ansätze bereit, wenn es um die Absicherung von virtuellen Systemen geht. Der Ansatz, der der Idee eines agentenlosen Schutzes am nächsten kommt, heißt bei Bitdefender HVI (Hypervisor Introspection). Diese Technik funktioniert allerdings nur, wenn ein Xen- oder KVM-Hypervisor zum Einsatz kommt. Das liegt daran, dass diese Open-Source-Produkte im Gegensatz beispielsweise zu den Produkten von Microsoft und VMware im Hypervisor eine Schnittstelle zur Verfügung stellen, auf die eine Sicherheitssoftware zugreifen kann.
So installiert die Bitdefender-Software unter Nutzung dieser Schnittstelle eine Software direkt im Hypervisor, mit deren Hilfe sich der Speicher auslesen lässt. Die Ergebnisse werden dann direkt an eine virtuelle Bitdefender-Appliance (HVI Security Virtual Appliance) zur Analyse weitergeleitet und dort analysiert. So lassen sich verdächtige Aktivitäten in den Speicherbereichen der virtuellen Maschinen entdecken und auch bekämpfen. Diese Vorgehensweise stellt laut Bitdefender den ressourcenschonendsten Weg dar.
Bitdefender GravityZone
Produkt
Umfassende Security-Suite zur Absicherung von IT-Umgebungen, in diesem Fall von virtuellen Maschinen.
Hersteller
Bitdefender
Preis und Versionen:
Bitdefender GravityZone in der Basisversion kostet für bis zu zehn Geräte und ein Jahr 400 Euro. Für bis zu 100 Geräte erhöht sich dieser Preis auf 2440 Euro. Die HVI-Technik (Hypervisor Introspection), die Bitdefender für Umgebungen wie XenServer oder KVM anbietet, steht kostenlos unter der Apache-2.0-Lizenz bereit. Support von Bitdefender hierfür schlägt mit 450 Euro pro Jahr und CPU zu Buche.
Systemvoraussetzungen
Bei den Endsystemen werden Windows-Systeme ab Windows 7, verschiedene Linux-Derivate (unter anderem Ubuntu 14.04 LTS oder höher, Red Hat Enterprise Linux/CentOS 6.0 oder höher, SUSE Linux Enterprise Server 11 SP4 oder höher), macOS ab OS X El Capitan (10.11) und Windows Server ab Windows Server 2008 R2 unterstützt.
Als minimale Hardware-Anforderung gibt Bitdefender für die Endsysteme eine 2,4-GHz- Single-Core-CPU oder eine Intel-Xeon-Multi-Core-CPU mit mindestens 1,8 GHz sowie einen freien Arbeitsspeicher von mindestens 512 MByte (1 GByte empfohlen) und 1,5 GByte freien Festplattenspeicherplatz an.
Das GravityZone ControlCenter wird als virtuelle Appliance bereitgestellt, die auf Ubuntu basiert. Sie steht in den Formaten OVA (für VMware vSphere, View), XVA (kompatibel mit Citrix XenServer, XenDesktop, VDI-in-a-Box) und VDH (für Microsoft Hyper-V) bereit. Die virtuelle Appliance für den Security Server unterstützt die gleichen Systeme und basiert ebenfalls auf Ubuntu Linux.
Technische Daten
Das Unternehmen stellt diese Technik und die entsprechende Software als Open Source bereit. Der Code ist dabei Teil des Xen-Projects HVMI (Hypervisor-based Memory Introspection), das unter der Lizenz Apache 2.0 veröffentlicht wurde. Doch ist die Bereitstellung einer solchen Schnittstelle nach Aussagen von Bitdefender von kommerziellen Anbietern wie VMware und Microsoft nicht gewollt. Kunden, die diese Lösung einsetzen möchten, benötigen neben der Lizenz für HVI die bereits erwähnte virtuelle Appliance, die sie auf dem Hypervisor einer ihrer Virtualisierungs-Hostmaschinen installieren. Für die Appliance entstehen Nutzern von GravityZone keine zusätzlichen Kosten, sie können sie direkt aus dem Control-Center heraus verteilen und installieren.
Als zweiten Ansatz bietet Bitdefender auch eine agentenlose Absicherung für VMware-Systeme unter vSphere an. Der Einsatz dieser von VMware propagierten Technik setzt allerdings voraus, dass auf den Gastsystemen jeweils die aktuelle Version der VMware-Tools installiert und aktiviert ist. Das bedeutet, dass diese Software auf den Maschinen als Agent für die Sicherheitssoftware agiert, die sich dort einklinken kann. Die VMware-Tools werden dann dazu eingesetzt, auf den Gastsystemen einen Scan mithilfe der jeweiligen Antivirus-Signaturen auszuführen.
Die Bitdefender-Experten, mit denen wir während unseres Tests in Kontakt standen, bemängeln an diesem Ansatz vor allen Dingen, dass durch diese Umfunktionierung der VMware-Tools keine weiteren Funktionalitäten wie beispielsweise eine KI-Unterstützung oder prozessorientierte Untersuchungen möglich sind. Die Funktionalität ist auf signaturbasierte Virenscans limitiert. Der Einsatz beschränkte sich zudem auf Windows-Systeme. GravityZone kann bei dieser Art der Absicherung aber zumindest auch das Reporting übernehmen, sodass Administratoren die Ergebnisse der Scans in ihrer Konsole zur Verfügung haben.
Der dritte Ansatz beschreibt das, was sich eigentlich hinter der Bezeichnung "Security for Virtualized Environments" verbirgt: die Fähigkeit der GravityZone-Plattform, auch softwaredefinierte und cloudbasierte Infrastrukturen abzusichern. So können Administratoren dann unabhängig von der Umgebung – Bitdefender nennt hier beispielhaft unter anderem VMware-, Microsoft- oder auch Nutanix-Infrastrukturen – ihre Endpunkte schützen. Die durch GravityZone bereitgestellte Sicherheit "wandert" dabei mit den Workloads, ganz gleich, ob sich diese von der privaten in die öffentliche Cloud oder wieder zurück on-premises bewegen.
Die Software kann in diesen Einsatzszenarien auch mit sogenannten Vorlagen beziehungsweise "Golden Images" für die Workloads arbeiten. Administratoren können dabei eine Maschine in einer virtuellen Umgebung mit allen vorgesehenen Features ausrollen und diese im Control-Center zum "Golden Image" erklären. Danach werden alle weiteren Workloads über dieses Image ausgerollt.
Im Nutanix-Umfeld ist dann beispielsweise ein sogenannter "Blue Print" so ausgestattet, dass Workloads immer genauso so wie dieses Image aufgesetzt werden. Ein Vorteil dabei: Durch die Kennzeichnung als "Golden Image" kümmert sich GravityZone automatisch um dessen Aktualisierung. Diese Vorgehensweise kommt häufig in VDI-Umgebungen zum Einsatz, weil auf diese Weise garantiert ist, dass beim Ausrollen der virtuellen Systeme wirklich nur der aktuelle Stand der Sicherheitssoftware auf den Systemen zum Einsatz kommt.
Bild 2: Unter "Netzwerke" finden Administratoren alle Endpunkte und können neue Pakte für den Schutz zusammenstellen und verteilen.
Einsatz auf lokalen virtuellen Systemen
Wir haben in unserem Testnetzwerk einige virtuelle Maschinen, die alle mit Windows 10 (Home, Professional und Professional for Workstations) bestückt waren, sowohl in Hyper-V unter Win­dows Server 2019 als auch in VMware Workstation unter Windows 10 Enterprise installiert. Mittels der Konsole war es dann möglich, sowohl die Agentenpakete herunterzuladen und manuell auf die Gastsysteme zu bringen als auch ein Ausrollen über das Control-Center zu veranlassen.
Dabei hatten wir mit den Zugriffsrechten zu kämpfen, während sich die Systeme wie bei unserem Testaufbau nur in der lokalen Workgroup befanden. Die Installation muss mit Admin-Rechten stattfinden und auf einigen virtualisierten Geräten gelang es dem Agenten unter diesen Bedingungen nicht, die Windows-Firewall am Blockieren zu hindern. Einfacher geht es, wenn sich die Rechner in einer Domäne befinden, was im professionellen Umfeld in der Regel der Fall sein dürfte.
Beim Zusammenstellen der Pakete kann der Administrator dann zusätzlich noch die Entscheidung treffen, den Scan-Modus auf den Endpunkten nicht automatisch festlegen zu lassen, sondern selbst auszuwählen. In diesem Fall ist besonders die Einstellung "Zentralisierter Scan" für die virtuellen Maschinen interessant. Damit diese Art des Scannens möglich ist, muss der Administrator auf mindestens einen seiner Hypervisor den sogenannten "Security Server" installieren. In der Bezeichnung dieser virtuellen Appliance zeigt Bitdefender allerdings eine gewisse Inkonsequenz: Sie wird in der Dokumentation einige Male einfach generell als SVE (Security for Virtualized Environments) und dann wieder als SVA (Security Server Virtual Appliance) bezeichnet.
Es handelt sich dabei um eine virtuelle Maschine, die eine Deduplizierung und Zentralisierung eines Großteils der Malware-Schutzfunktionen der Antiviren-Clients ermöglicht. Sie dient zudem als Scan-Server für die virtuellen Maschinen und ermöglicht dadurch das zentralisierte Scannen. Das verringert die Last auf den virtuellen Maschinen deutlich. Die in den VMs installierten Sicherheitsagenten bauen via TCP/IP eine Verbindung zum Security Server auf. Dabei greifen sie auf die Informationen aus dem zugehörigen Paket oder einer entsprechenden Richtlinie zurück.
Ein Security Server für 100 Gastsysteme
Das Paket mit dem Security Server kann dabei genau wie die Pakete für die Endpunkte aus dem Control-Center für die verschiedenen virtuellen Plattformen heruntergeladen werden. Laut Angaben von Bitdefender reicht ein Security Server für die Arbeit mit bis zu 100 Gastsystemen aus, wobei es ganz gleich ist, auf welchem der Hypervisor im eigenen Netzwerk diese virtuelle Appliance installiert wird. Wir haben die Installation testweise auf dem Hyper-V-Server und in VMware Workstation eingerichtet. Nach dem Start der virtuellen Maschine mussten wir im Menü auf dem Linux-System einige Netzwerkeinstellungen wie beispielsweise den Gebrauch eines DHCP-Servers vornehmen.
An dieser Stelle bietet sich auch die Kommandozeile des Linux-Systems an, um beispielsweise als Root-User das System auf den aktuellen Stand zu bringen. Die von uns heruntergeladene Appliance meldete zunächst 170 mögliche Updates, die wir dann auch problemlos herunterladen und installieren konnten. Danach fanden wir den Security Server genau wie die anderen Systeme im Bereich "Netzwerke" in der Konsole aufgelistet.
Auf jedem System – ganz gleich, ob es sich um einen physischen oder virtuellen Endpunkt handelt – muss ein entsprechender Sicherheitsagent installiert werden. Der erste Endpunkt, auf dem der Schutz installiert wird, muss dabei zudem die sogenannte Relais-Rolle innehaben. Auch diese Einstellung kann der Administrator bei der Konfiguration des Pakets vornehmen.
Dieser Relais-Endpunkt fungiert danach als Sicherheitsagent und Kommunikations-, Proxy- und Update-Server für andere Endpunkte im Netzwerk. Ist diese Rolle nicht installiert, kann der Administrator weitere Sicherheitsagenten nicht per Fernzugriff auf anderen Endpunkten im selben Netzwerk installieren. Der Relais-Endpunkt muss dabei eingeschaltet und online sein. Danach funktioniert die Verwaltung im lokalen Netzwerk sehr gut, wobei GravityZone im Prinzip keinen Unterschied zwischen den physikalischen und den virtualisierten Systemen macht.
Fazit
Die Möglichkeiten und Features, die Bitdefender mit der GravityZone-Plattform bereitstellt, sind sehr umfangreich und vielfältig. Sie decken einen Großteil der Bereiche ab, die es auf den Endpunkten zu schützen gibt. Dabei hat uns besonders beeindruckt, welche unterschiedlichen und durchdachten Wege die Software für den Schutz von virtuellen Umgebungen bereitstellt. Der HVI-Ansatz wirkt am besten gelungen, aber durch den Einsatz des Security Servers als virtuelle Appliance lassen sich auch virtuelle Maschinen unter VMware oder Hyper-V sehr gut und ressourcenschonend verwalten und vom Admin betreuen.
Die umfangreiche Dokumentation, die in fast allen Bereichen auch in deutscher Sprache bereitsteht, hilft ebenso wie die gut aufgebaute Oberfläche des Kontrollcenters bei der Verwaltung der Endpunkte. Die Vielfalt der Möglichkeiten kann anfangs allerdings überwältigen, sodass eine sorgfältige Einarbeitung auf jedem Fall angebracht scheint.
Positiv ist zudem, dass Unternehmen die gesamte Verwaltung auch als Appliance im eigenen Rechenzentrum betreiben und von dort aus die Systeme in den unterschiedlichsten Cloudkonfigurationen absichern können. IT-Verantwortliche, die eine große IT-Landschaft mit vielen unterschiedlichen Virtualisierungslösungen und Anwendungen in der Cloud betreuen möchten, sollten einen Blick auf GravityZone werfen.
(dr)
So urteilt IT-Administrator
Bewertung
Oberfläche und Bedienbarkeit 7 Hilfe und Dokumentation 8 Unterstützung von Endpoints 7 Unterstützung von VMs 7 Schutzfunktionen 7
Dieses Produkt eignet sich
optimal
für große Unternehmen, die nicht nur unterschiedliche Betriebssysteme auf ihren Endpunkten, sondern auch verschiedene Virtualisierungs-Hosts samt deren Clients sowie vorhandene Cloud- und hyperkonvergente Infrastrukturen schützen und überwachen wollen.
bedingt
für Unternehmen mit unterschiedlichen Virtualisierungslösungen, die ihre Infrastruktur weiter in Richtung Cloud ausbauen wollen und auch dafür den entsprechenden Schutz benötigen.
nicht
für kleinere Unternehmen. Diese dürften das spezielle Add-on für Virtualized Environments nicht benötigen, da GravityZone auch ohne diese Erweiterung dazu in der Lage ist, Systeme in virtuellen Maschinen grundsätzlich abzusichern.