Vor etwas mehr als vier Jahren haben wir einen Blick auf die Software "Cloud One Workload Security" von Trend Micro geworfen. Diese war angetreten, die Sicherheit der Workloads über verschiedene Cloudumgebungen hinweg unter einer einheitlichen Oberfläche zu gewährleisten, und konnte uns damals auch überzeugen. In der Zwischenzeit setzen die Verantwortlichen von Trend Micro mit der Software "Vision One" auf eine umfassende Security-Plattform.

Es handelt sich dabei um eine klassische SaaS-Anwendung, die Software lässt sich aber auch on-premises einsetzen – wenn auch mit höherem Kosten- und Administrationsaufwand. Die Cloudsicherheit ist ein Teil von Vision One, der auch weiterhin als separates Produkt zur Verfügung steht. Wir haben uns einen Überblick über die Plattform verschafft und vergleichen, was sich bei der Cloudkomponente seit unserem letzten Test 2021 verändert hat.

Trend Micro ordnet Vision One als cloudnative Security-Operations-Plattform ein, die Cloud-, Hybrid- und On-Premises-Umgebungen bedienen soll. Das Unternehmen bietet eine kostenlose 30-Tage-Testversion an, die nach Angabe einer E-Mail-Adresse direkt bereitsteht. Positiv dabei ist, dass Trend Micro dazu keine vorherige Eingabe von Kreditkartendaten verlangt, wie es bei immer mehr Unternehmen und deren kostenlosen Testangeboten aktuell der Fall ist.

Nach der Abfrage einiger Daten und einer E-Mail-Adresse kann sich ein Nutzer auf Vision One anmelden und dort fast alle Möglichkeiten und Features ausprobieren. Dafür bekommt er eine "leere" Umgebung zur Verfügung gestellt, die nicht mit Arbeitsdaten gefüllt ist. Wir haben uns ein solches Konto angelegt, hatten aber zudem die Möglichkeit, auf eine Demo-Umgebung des Herstellers zuzugreifen, die mit Testdaten und Verbindungen zu mehreren Clouddiensten ausgestattet war.

Leider haben die Entwickler auch in den vergangenen vier Jahren die Software nicht weiter lokalisiert: Nach wie vor stehen bei den Sprachen für die Oberfläche und die Dashboards nur Englisch und Japanisch zur Verfügung – das gilt auch für den Großteil der Dokumentation. Das angezeigte Datum und die Uhrzeit lässt sich zwar in den Einstellungen für die Konsole auf die Zeitzone "Europe/Berlin" setzen, trotzdem nutzt die Konsole weiterhin die englisch/amerikanische Darstellung des Datums. Natürlich sind das Kleinigkeiten und es stellt für IT-Fachleute – und nur die werden diese professionelle Umgebung in der Regel einsetzen und betreuen – sicher kein Problem dar, diese in englischer Sprache zu benutzen. Aber der erste Blick auf die Vielfalt der Möglichkeiten und Einstellungen, die den Nutzer bei der Anmeldung überwältigen können, ruft bei uns immer wieder den Wunsch nach entsprechend lokalisierten Hilfestellungen hervor.

Wie bei vielen anderen Cloudprogrammen mit Dashboard hat sich auch Trend Micro dazu entschlossen, die gesamte Oberfläche nun in dunklen Farben zu halten. Eine Anpassung ist nicht möglich und die weiße Oberfläche, die in der Trend-Micro-Software 2021 noch Standard war, ist offenbar passé. Insgesamt ist die Konsole aber gut zu bedienen. In ihr finden Nutzer an der linken Seite standardmäßig eine Leiste mit Icons, über die der direkte Zugriff auf die verschiedenen Kategorien der Plattform möglich ist. Während das Wolkensymbol für die Cloudsicherheit noch selbsterklärend ist, werfen manch andere eher Fragen auf. Aber wenn der Admin seinen Mauszeiger über ein solches Icon schweben lässt, öffnet sich ein Untermenü mit der Bezeichnung der entsprechenden Kategorie und den vorhandenen Features. Außerdem ist es möglich, diese Leiste am linken Rand zu expandieren, sodass die Bezeichnungen aller Kategorien ausgeschrieben und derart leichter zu unterscheiden sind.

Für den allgemeinen Überblick und auch einen direkten Zugriff auf einzelne Funktionen bieten sich die Menüpunkte sowohl in der linken Spalte als auch am oberen Rand der Konsole an: "Directory" beziehungsweise "Platform Directory". Dort finden Anwender Links zu allen Möglichkeiten der Plattform, die in unterschiedliche Abschnitte aufgeteilt sind. Der Hersteller bezeichnet dieses Feature als den lokalen Ort, an dem User sowohl auf alle Module als auch auf Submodule, Anwendungen, Dienste und Tools innerhalb der One Vision Zugriff bekommen. Bei der erstmaligen Auswahl einer dieser Abschnitte startet jeweils ein Einführungstutorial, das sich aber abbrechen lässt. Die Fülle der Informationen, die sich Admins hier bietet, ist enorm. IT-Profis, die mit der Software arbeiten, können sich zum Glück individuelle Dashboards zusammenstellen und so die für sie wichtigen Informationen anzeigen lassen.

Grundsätzlich beinhaltet die "Cloud Security" zusammen mit der "Server- und Workload-Security" die gleichen Features und Möglichkeiten, die schon in der früheren Variante "Cloud One Workload Security" bereitstanden. Administratoren können somit Cloudkonten, Serversysteme und Workloads mit der Plattform verbinden, überwachen und verwalten. Der Aufbau solcher Verbindungen erfolgt wie schon bei der Cloud-One-Software mithilfe von integrierten Wizards, die sich bis auf die etwas veränderte Oberfläche nicht von den früheren Programmteilen unterscheiden und es ähnlich einfach ermöglichen, die Verbindung zu den verschiedenen Clouddiensten aufzubauen. Dabei werden die Plattformen von Amazon, Google und Microsoft unterstützt – und neu im Vergleich zu Cloud One von vor vier Jahren nun auch die chinesische B2B-Plattform Alibaba. Allerdings ist die Alibaba-Cloud in der Oberfläche teilweise noch als "Preview" gekennzeichnet und dürfte für den deutschen Markt kaum eine Rolle spielen.

Zur Abwehr von Sicherheitsrisiken, die derartige Installationen bedrohen können, unterstützt die Vision-One-Software laut der Auflistung von Trend Micro eine ganze Reihe von Techniken. Dazu zählen unter anderem

- Cloud Security Posture Management,

- Attack Surface Management,

- External Attack Surface Management,

- Cloud Infrastructure Entitlement Management,

- AI Security Posture Management,

- Data Security Posture Management,

- IaC-/Template-Scanning sowie

- agentenloses Scanning auf Schwachstellen und Malware.

Wer im Directory oder in der Seitenleiste den Bereich "Cloud Security" auswählt, findet dann dort auch alle Bereiche, die er vielleicht bisher schon in der Cloud-One-Software genutzt hat. Dabei ist dieser Bereich noch einmal in "Cloud Risc Management" und "Container Security" aufgeteilt. Im Bereich des "Risc Management" stehen Menüpunkte zur Verfügung, mit denen Admins unter anderem die Präferenzen und Complianceregeln für ihre Cloudplattformen sowie entsprechende Regeln einstellen und überwachen können.

Als eine Änderung zur früheren Version der Cloud One existiert in der Plattform unter "Verwaltung" jetzt ein Endpoint-Inventory für die Cloudsicherheit. Dies ist laut Trend Micro ein weiterer Schritt weg von den verschiedenen Konsolen für einzelne Bereiche wie die damalige Cloud One hin zu einer einheitlichen Konsole für alle Teilbereiche. Bei "Endpoint Security" tauchen nun alle Maschinen auf, ganz gleich, welcher Endpoint-Agent auf ihnen installiert und aktiv ist.

An dieser Stelle finden sich dann alle Server- und Clientrechner ebenso wie alle Systeme, die sich in den verschiedenen Clouds befinden. Direkt aus diesem Menü heraus können Systeme mit Agenten versehen werden. Aber genau wie bei Cloud One zuvor ist dies auch weiterhin über "Server & Workload Protection" möglich, der sich in der Cloud Security befindet. Natürlich lassen sich auch weiterhin entsprechende MSI-Pakte als Installer herunterladen, um sie mittels der Softwareverteilung auszubringen.

Im Gegensatz zu der vorherigen Cloud-One-Software stehen inzwischen auch spezielle Pakete für VDI-Umgebungen an dieser Stelle bereit. Neu sind in diesem Bereich auch Version-Control-Policies, die es Administratoren ermöglichen, mit ihrer Hilfe das Ausbringen neuer (Test-)Gruppen für die Updates vollautomatisch ablaufen zu lassen.

Grundsätzlich wurden die Funktionalitäten der bisherigen Cloud-One-Software laut Trend Micro nur wenig verändert, aber die Software ist sehr viel tiefer und vollständiger in die gesamte Vision-One-Plattform integriert. Während die Container-Security allerdings zuvor nur ein kleiner Teil von Cloud One war, hat sie mit der Integration in die Vision One ein umfassendes Update bekommen. So ist es für Admins mit dieser Version möglich, Schwachstellen, Schadsoftware oder auch Verstöße gegen die Compliance direkt in den Container-Images zu entdecken. Auch Container, die mit zu weitreichenden Rechten ausgestattet wurden, lassen sich mithilfe der Software aufspüren und entsprechend bearbeiten.

Gegen Ende unserer Testphase vermeldete die Software beim Start noch eine offizielle Release-Ankündigung für die Cloudsicherheit: Sie beinhaltete die Meldung, dass das Feature "Cloud Detection for Amazon Security Lake" offiziell freigegeben wurde und den Anwendern zur Verfügung steht. Amazon bezeichnet dieses Feature als einen vollständig verwalteten Sicherheitsdienst für sogenannte Data Lakes. Bei einem solchen "Datensee" handelt es sich um ein Repository für Informationen im Rohdatenformat. Dieser Bereich kann dabei sowohl strukturierte Daten aus relationalen Daten als auch unstrukturierte Daten beinhalten.

Laut Amazon automatisiert Security Lake die Erfassung sicherheitsrelevanter Protokoll- und Ereignisdaten von AWS-Diensten sowie von Diensten von Drittanbietern. Durch die damit bestehende Möglichkeit, diese Daten mit Vison One zu verwenden, sollen Admins die XDR-Fähigkeiten der Software dazu nutzen können, verdächtige und gefährliche Aktivitäten in den Cloudressourcen und -diensten besser zu entdecken. Vison-One-Kunden, die diese neue Funktionalität der Cloudsicherheit einsetzen wollen, müssen allerdings die damit verbundene Datennutzung mit zusätzlichen Credits zahlen.

Wir wollten von den Spezialisten bei Trend Micro in Hinblick auf die aktuell vieldiskutierten Themen digitale Souveränität und US-amerikanische Cloudanbieter wie Microsoft und Amazon wissen, warum bisher nur solche Anbieter in der Software Vision One vorkommen. Trend Micro teilte uns dazu mit, dass es aktuell kaum oder keine Nachfragen der Kunden nach deutschen Cloudplattformen in diesem Zusammenhang gäbe. Zudem würden gerade die Kunden aus dem öffentlichen oder staatlichen Bereich nach wie vor auf die bekannten amerikanischen Anbieter setzen. Allerdings mache sich Micro bereits entsprechende Gedanken und würde die Möglichkeiten zur Einbindung deutscher oder europäischer Dienste überdenken.

Trend Micro stellt mit Vision One eine Sicherheitsplattform bereit, die ein möglichst breites Spektrum der IT-Sicherheit abdecken soll. Der Schwerpunkt liegt dabei auf der Endpoint Protection und Extended Detection and Response (XDR). Die Vielfalt der Auswahl und die große Anzahl der unterschiedlichen Bereiche und Möglichkeiten machen diese Software zu einem Tool, das besonders für große Unternehmen mit eigener IT-Abteilung und weniger für kleinere Unternehmen des Mittelstands geeignet ist. Diese Profis dürften sich entsprechend schnell in der Oberfläche zurechtfinden und die benötigten Dashboards konfigurieren können. Trend Micro bietet Kunden auch die Unterstützung durch Experten bei der Installation und Inbetriebnahme der Software an.

Der Integrationsgrad der verschiedenen Plattformkomponenten ist beeindruckend, und auch der vormals separate Teil der Cloudsicherheit fügt sich hier nahtlos ein. Diese Komponente deckt, soweit wir das in diesem Test feststellen konnten, alle Möglichkeiten ab, die zuvor von "Cloud One – Workload Security" geboten wurden, ergänzt durch diverse Integrationen in das große Paket "Vision One". Damit stellt sich natürlich auch die Frage, wie weit es für ein Unternehmen noch sinnvoll ist, auf die nach wie vor einzeln erhältliche Software für die Cloudsicherheit zu setzen oder lieber doch gleich die gesamte Sicherheit auf das Komplettpaket umzustellen. Das ist jedoch ganz sicher auch eine Kostenfrage.