Es ist eigentlich ein grundsätzliches Problem bei der Arbeit mit unterschiedlichen Cloudtechnologien und -instanzen: Wie schafft es der Administrator, alle Systeme unter einen Hut zu bringen? Das gilt besonders dann, wenn neben den unterschiedlichen Cloudumgebungen der verschiedenen Anbieter auch noch lokale System beispielsweise unter vCenter von VMware hinzukommen. So wird es schnell unübersichtlich, wenn in hybriden Cloudlandschaften unterschiedliche Systeme zur Verwaltung nebeneinander im Einsatz sind.

Fast alle Security-Anbieter stellen deshalb in der Zwischenzeit Software bereit, die solchen Ansprüchen gerecht werden und die Sicherheitsverantwortlichen entlasten soll. Trend Micro bezeichnete seine Software für einen solchen Ansatz zunächst als "Deep Security" – ähnlich den On-Premises-Produkten. Die Software für den Schutz von Hybrid-Cloud-Installationen wiederum heißt etwas sperrig "Cloud One Workload Security". Dabei ist laut Trend Micro der Funktions- und Leistungsumfang von Cloud One Work-load Security und Deep Security nahezu identisch. Während es sich bei der Cloud-One-Software um eine klassische SaaS-Plattform (Software-as-a-Service) handelt, die in den Rechenzentren von Trend Micro gehostet wird, steht der Name Deep Security nun für die On-Premises-Produkte, die von den Kunden im eigenen Rechenzentrum eingesetzt werden.

Trend Micro bietet die Möglichkeit, das SaaS-Angebot für 30 Tage kostenlos zu testen. Dazu ist es nur notwendig, sich mit einer E-Mail-Adresse auf der Webseite anzumelden. Wir haben ein solches Konto angelegt, hatten aber gleichzeitig auch noch die Gelegenheit, mithilfe von Trend Micro einen Blick auf eine Installation mit allen Möglichkeiten zu werfen. Die freie Testversion ist naturgemäß nicht mit Daten gefüllt und obwohl wir zwar die grundsätzliche Verbindung und dabei den Einsatz in einer Cloud anschauen und ausprobieren konnten, war es uns zudem wichtig, eine Installation mit Livedaten und Einbindung mehrerer Cloud­anbindungen unter die Lupe zu nehmen.

Grundsätzlich besteht Trend Micro Cloud One Workload Security aus den folgenden Komponenten: - Workload Security Console: Eine webbasierte Konsole, die dem Administrator die Möglichkeit gibt, Sicherheitseinstellungen seiner Workloads sowohl auf den lokalen Systemen als auch in der Cloud zu konfigurieren und zu überwachen. - Deep Security Agent: Ein Agenten-Programm, das auf die zu überwachenden Computer ausgerollt wird und dort die entsprechenden Sicherheitsfeatures ausführt. - Relay-Modul: Teil der Deep-Security Agenten. Wird dieses Modul in einem Agenten aktiviert, kann dieser Agent Software und Sicherheitsupdates auf andere Systeme verteilen. - Deep Security Notifier: Eine Anwendung, die auf den Windows-Systemen im Tray-Bereich der Taskleiste aktiv ist und entsprechende Informationen zum Sicherheitsstatus und Ereignissen auf dem jeweiligen System anzeigt.

Wichtig sind dann noch die verschiedenen Sicherheitsmodule, die dem Nutzer zur Verfügung stehen. Dazu gehören die Bereiche Intrusion Prevention, Anti-Malware, ein eigenes Firewall-Modul, Web-Reputation, Integrity Monitoring (zur Überwachung sowohl von autorisierten als auch unautorisierten Veränderungen, die an einer Instanz vorgenommen werden), Log-Inspection für die Systemprotokolle und die Anwendungsüberwachung (Application Control).

Nach der Anmeldung und der Wahl, ob der Anwender die Oberfläche in englischer oder japanischer Sprache nutzen möchte (andere Sprachoptionen stellt Trend Micro leider nicht zur Verfügung, das betrifft auch die Dokumentation), startet das System mit der Konsole der Cloud One. Hier ist die von uns ausgewählte "Workload Security" nur eine von sechs Kacheln, die den Einstieg in die verschiedenen Bereiche dieser Sicherheitslösung ermöglichen.

Nach der Auswahl der Kachel mit der Bezeichnung "Workload Security" gelangt der Nutzer auf das Dashboard dieses Bereichs. Dabei handelt es sich um eine dynamisch gehaltene Oberfläche, die mittels entsprechender Widgets nach den eigenen Bedürfnissen konfiguriert werden kann. Zudem ist es möglich, weitere eigene individuell ausgestattete Dashboards anzulegen, beispielsweise für bestimmte Nutzergruppen und Administratoren. Geht es um die Verwaltung von hybriden Cloud-Umgebungen, dürfte der Administrator dann wahrscheinlich zunächst einen Blick auf den Eintrag "Computers" werfen, den er in einer Leiste am oberen Rand des Dashboards findet. Hier lässt sich über die Konnektoren die Verbindung sowohl zu den "normalen" Computersystemen als auch zu den unterschiedlichen Cloudumgebungen einrichten.

Wechselt der Administrator in den Bereich "Computer" und wählt dort die durch ein Plus-Signal gekennzeichnete "Add"-Schaltfläche aus, bekommt er in einem Pulldown-Menü alle Verbindungsmöglichkeiten präsentiert. Neben der Möglichkeit, lokale System einzubinden, sind dort auch die Cloudsysteme von Amazon (AWS), Microsoft (Azure), Google (GCP) und VMware (vCloud) zu finden. Weiterhin besteht die Möglichkeit, auch die Workloads einzubinden, die beispielsweise unter VMware vCenter im eigenen Rechenzentrum betrieben werden.

Dieses erst Ende 2020 hinzugekommene Feature realisiert der Anbieter mittels eines "Datacenter-Gateway", das den Kunden über die "Cloud One" bereitgestellt wird. Dabei handelt es sich um ein Tool, das die Kunden dann in der Regel in der DMZ installieren.

Die Konnektoren erlauben es, eine Integration in bestimmte Administrationswerkzeuge der jeweiligen Cloudanbieter vorzunehmen. So lassen sich beispielsweise ein oder mehrere AWS-Accounts direkt hinzufügen. Durch diese Integration finden sich dann sämtliche Work-loads aus AWS auch automatisiert in der Oberfläche von Cloud One Workload Security wieder. Bei Firmen, die andere, beispielsweise lokale, Cloudangebote nutzen, ist der Zugang über ein API möglich.

Trend Micro hebt hervor, dass dies die Komplexität reduziert, die in solchen Cloudinstallationen stecken kann. Da die Systeme in den Clouds, die mit der Software verbunden sind, sofort in der Übersicht auftauchen, entgeht es den Administratoren dann auch nicht mehr, wenn beispielsweise eine Abteilung unvermittelt weitere Workloads an den Start bringt und einsetzt. Neue Instanzen tauchen automatisch mitsamt allen Daten, wie etwa der Plattformbeschreibung, in der Übersicht auf.

Wir haben mit der Testversion der Trend-Micro-Software eine Verbindung zu einer Azure-Cloudinstanz aufgebaut. An dieser Stelle war dann die Onlinehilfe in englischer Sprache durchaus eine große Unterstützung. Das gilt zum Beispiel dann, wenn Administratoren dadurch wissen, was sie alles in der Konsole des Azure-Portals konfigurieren müssen, damit die Verbindung zu "Cloud One" reibungslos funktioniert.

Die Onlinehilfe bot uns hierzu eine Schritt-für-Schritt-Anleitung an, was wir zu konfigurieren hatten, um eine Azure-App anzulegen, mit deren Hilfe wir dann eine "Nur-Lesen"-Verbindung für den Zugriff auf die Azure-Ressourcen durch die "Workload Security" ermöglichen konnten. Dabei waren ganz besonders die entsprechenden Warnungen wichtig, die sich der Administrator ob der vielen Identifikationsnummern im Azure-Portal lieber notieren sollte, wenn er seine Azure-Workloads mit Cloud One verbinden möchte. Waren die entsprechenden Einstellungen in Azure vorgenommen, konnten wir mittels des Konnektors und der entsprechenden IDs die Verbindung einrichten. Gleich danach tauchten unsere zwei in der Azure-Cloud testweise angelegten Windows-Server in der Oberfläche der "Workload Security" auf.

Damit die Systeme verwaltbar und geschützt sind, müssen sie mit den entsprechenden Agenten ausgestattet werden. Die Software bietet für alle unterstützten Betriebssysteme von Windows über diverse Linux-Derivate bis hin zu Sun Solaris und AIX von IBM eine fast unüberschaubare Menge an Agenten (in unserem Fall waren es fast 700), die unter dem Eintrag "Support" in der Weboberfläche direkt zum Download bereitstehen. Auch hier haben wir uns wieder auf die Dokumentation gestützt und, wie dort angegeben, aus dem Support-Menü ein Deployment-Skript heruntergeladen. Dabei handelt es sich im Fall von Windows um ein PowerShell-Skript, das wir sowohl auf der Windows-Workstation- als auch der Server-Version eingesetzt haben. Auch ein Einbinden eines derartigen Skripts zur Verteilung in das Active Directory ist möglich.

Das Skript lädt die jeweils aktuelle Version des Agenten herunter und kann so konfiguriert werden, dass beispielsweise der Agent automatisch aktiviert wird, was wir auf unseren Testmaschinen eingeschaltet haben, und ihm zugleich auch eine Basisrichtlinie zugewiesen wird. Gleich danach erscheint das entsprechende System als "Managed" in der Übersicht. Der Administrator braucht sich dadurch grundsätzlich keine Gedanken darüber zu machen, in welcher Cloud oder auf welchem lokalen System sich ein Workload befindet. Eine sogenannte "Agentless"-Überwachung unterstützt "Workload Security" allerdings nicht, diese Art der Überwachung bietet Trend Micro in der "Deep Security"-Variante der Software an.

Wächst eine Umgebung und tauchen dadurch sehr viele Workloads in der Oberfläche auf, kann es sinnvoll sein, diese entsprechend zu ordnen. Hier bietet sich die Möglichkeit, Ordner anzulegen und diese den Maschinen zuzuordnen. Aber auch diese Aufgabe lässt sich mittels sogenannter "Smart Folder" automatisieren. Diese Ordner greifen Attribute von Maschinen auf, die ein Administrator festlegt. Hierzu steht eine lange Liste an Eigenschaften wie etwa Maschinenname, Betriebssystem, die ID der Security Group aus AWS oder Tags zur Verfügung. Anhand dieser Merkmale lassen sich Maschinen dann für eine bessere Übersicht ordnen. Dieses Feature hat jedoch nichts mit den Richtlinien (Policies) zu tun, sondern dient einzig und allein dazu, Administratoren einen besseren Überblick zu verschaffen.

Wir haben uns für diesen Test darauf konzentriert, wie sich die Software von Trend Micro in hybriden Umgebungen nutzen lässt. Die Sicherheitsfeatures und -einstellungen unterscheiden sich nicht wesentlich von denen, die aktuell bei allen Anwendungen dieser Art zur Verfügung stehen. Die Sicherheitseinstellungen gelangen über Policies auf die Endgeräte. Unter dem Eintrag "Policies" finden Administratoren dazu Basisrichtlinien, unter denen dann entsprechend verzweigte "Bäume" mit Regeln entstehen. Ganz ähnlich den Gruppenrichtlinien in der AD-Domäne bekommen die Richtlinien, die unter einer Basis-Policy eingerichtet werden, die Einstellungen der Basisrichtlinie vererbt – ein Prinzip, das den meisten Administratoren vertraut sein dürfte.

In den Richtlinien legen Administratoren dann auch fest, welche der Sicherheitsmodule im Rahmen einer Policy aktiv sein sollen oder dort nicht nötig sind. Unter dem Stichwort "Smart Protection" lässt sich über Richtlinien auch die Datei- und Web-reputation aus dem cloudbasierten "Smart Protection Network" von Trend Micro einbinden. Diese Informationen ergänzen die Daten, die der klassische Virenscan (hier unter dem Namen "Anti-Malware") verwendet, um Bedrohungen zu erkennen. Kunden können diese Smart-Protection-Server zudem auch lokal einsetzten, falls diese Informationen nicht aus der Cloud geholt werden sollen. Damit verbleiben in sicherheitskritischen Bereichen die Reputationsanfragen im Unternehmen.

Im Menü "Computers" lassen sich dann Richtlinien mittels Rechtsklick und des entsprechenden Menüeintrags einem System zuweisen, sofern sie nicht schon beim Deployment mit ausgeliefert wurden. In diesem Kontextmenü eines jeden Systems konnten wir uns auch mittels des Eintrags "Details" sowie durch einen Doppelklick auf die entsprechende Maschine alle Informationen auf den Bildschirm holen. Dazu gehören beispielsweise Informationen über die auf dieser Workload aktiven Sicherheitsmodule und entsprechende Systemereignisse. Unter dem Punkt "Event & Reports" stand uns dann noch eine große Auswahl an unterschiedlichen Reports unter anderem zu den eingesetzten Agentenversionen oder zu verdächtigen Vorfällen zur Verfügung. Dabei lassen sich Einzelberichte direkt erstellen oder solche Reports automatisch in bestimmten Intervallen ausgeben. Für die meisten dieser Berichte bieten sich sowohl PDF als auch RTF als Formate an.

Besonders im Hinblick auf hybride Cloudumgebungen ist es wichtig, eine einheitliche Sicht auf die Systeme und ihren Sicherheitsstatus zu erhalten – ganz gleich, in welchem Teil der hybriden Umgebung sich diese befinden. Die Trend-Micro-Software zeigte sich als übersichtlich und leicht zu bedienen. Es waren wirklich alle Systeme unter einem Dach vereint und konnten entsprechend verwaltet werden. Was uns besonders gut gefallen hat: Auf den Hilfeseiten wird dem Administrator in den meisten Fällen eine Schritt-für-Schritt-Anleitung angeboten, mit der er die entsprechende Aufgabe abarbeiten kann. Die Auswahl an unterschiedlichen Schutzmodulen sollte im praktischen Einsatz dabei die meisten Systembereiche abdecken, die eine moderne Sicherheitsumgebung bieten muss.

Bei aller Unterstützung und Übersichtlichkeit erfordert die Software ganz besonders dann, wenn sie in hybriden Umgebungen mit unterschiedlichen Cloudumgebungen zum Einsatz kommt, aber auf jeden Fall entsprechendes Know-how der Administratoren und die Unterstützung von Trend Micro oder einem der Partnerunternehmen bei der Einführung. Eine Empfehlung ist sie gerade für die Unternehmen, die noch nicht so genau sagen können, welche ihrer Workloads in den nächsten Jahren in welcher Cloud oder welche weiter lokal betrieben werden sollen.