VMware introduceert tijdens VMworld US 2017 een nieuwe security-oplossing voor applicaties in virtuele of cloudgebaseerde omgevingen. AppDefense maakt gebruikt van de intentie van de betreffende applicatie: er wordt vastgesteld wat een applicatie behoort te doen, waarna de gebruiker een waarschuwing ontvangt zodra er een afwijking optreedt.
Het beveiligen van applicaties is als het zoeken van een speld in een hooiberg, laat Jeremy van Doorn, directeur pre-sales, EMEA Network & Security divisie van VMware, weten in een telefonische toelichting. ‘In andere oplossingen wordt er gekeken naar wat mogelijk kwaadaardig is, daardoor heb je te maken met een hoop ‘false positives’. AppDefense kijkt naar wat een applicatie hoort te doen volgens de beschrijving van de ontwikkelaar. Wijkt het daarvan af, dan volgt er een melding.’
Ontwikkelaars kunnen zelf een blauwdruk maken van wat hun applicatie kan en mag. Dit kan ook automatisch gedaan worden door de oplossingen van VMware of door integratie met oplossingen van andere leveranciers. Daarnaast zijn updates mee te nemen in dit manifest. Hierdoor worden updates direct verwerkt in de security-lifecycle. Volgens Van Doorn kunnen ontwikkelaars hierdoor sneller blijven doorontwikkelen zonder hinder te ondervinden door een trage implementatie van de beveiliging van hun applicatie in de productie-omgeving.
Als een blauwdruk is opgebouwd, kan een applicatiebeheerder via monitoring zien of de applicatie draait volgens de aangemaakte standaarden. Vanuit een hypervisor is vast te stellen of de machine doet wat deze moet doen. Wanneer er dus een hacker of virus binnenkomt, is dit direct te detecteren.
Afwijkende situatie
Wanneer een situatie afwijkt, zijn er verschillende mogelijke vervolgstappen. Via ESX is de applicatie geautomatiseerd te beschermen en/of wordt er direct een melding gemaakt bij aangesloten partners zoals Palo Alto, Checkpoint of Trend Micro die de applicatie controleren. Middels een koppeling met NSX kan de applicatie ook automatisch in quarantaine geplaatst worden voor totale netwerkafsluiting. Van Doorn geeft aan dat deze oplossing een wezenlijk nieuwe manier van beveiligen is. ‘Er is continue grip op de situatie van een applicatie.’
AppDefense is te gebruiken en te integreren met bestaande security-oplossingen. Endpoint security, SIEM en Security Operations Center Analytics (SOCs) kunnen integreren in de oplossing om unieke applicatiecontext te verkrijgen maar ook om direct te kunnen handelen in risicosituaties. Ook kunnen leveranciers een nieuw datacenter en een cloudsecurity-oplossing ontwikkelen rondom AppDefence. Huidige partners van VMware die AppDefense integreren, zijn IBM Security, RSA, Carbon Black, SecureWorks en Puppet Enterprise.
Direct beschikbaar
VMware AppDefense is per direct beschikbaar voor klanten van vSphere 6.5 en draait op een Amerikaanse locatie van Amazon. Van Doorn verwacht dat Nederlandse klanten het product pas begin 2018 in gebruik zullen nemen in verband met de GDPR-richtlijnen. Het product is dan ook vanuit een Europese locatie beschikbaar.
Integratie met partners
- IBM Security is van plan om AppDefense te integreren met zijn QRadar security analytics-platform. Hierdoor hebben security-teams meer inzicht op de situatie en kunnen zij beter reageren op geavanceerde aanvallen, zowel on-premise als in cloud-omgevingen (zoals IBM Cloud). IBM Security en VMware gaan samenwerken om dit geïntegreerd als app aan te bieden in de IBM Security App Exchange.
- De RSA NetWitness Suite is gelinkt aan AppDefense. Hierdoor is er een overzichtelijk applicatie-context binnen het virtuele datacenter, response automation/orchestration en inzicht in applicatieaanvallen. RSA NetWitness Endpoint werkt samen met AppDefense om procedures voor afwijkend gedrag te inspecteren zodat beveiligingsanalisten of AppDefense-beheerders kwaadaardig gedrag kunnen blokkeren, voordat het impact heeft op het datacenter.
- AppDefense maakt gebruik van Carbon Black reputation-feeds om te helpen bij het beveiligen van gevirtualiseerde omgevingen. Door gebruik te maken van de reputation-classificatie van Carbon Black kunnen beveiligingsteams sneller alerts interpreteren door automatisch te bepalen welke gedragingen extra verificatie nodig hebben en welke vooraf zijn goed te keuren.
- SecureWorks ontwikkelt een nieuwe oplossing die AppDefense gebruikt. De oplossing maakt deel uit van het SecureWorks Cloud Guardian-portfolio en zal beveiligingsdetectie, -validatie en -responsmogelijkheden bieden binnen virtuele omgevingen. Deze oplossing maakt gebruik van wereldwijde Threat Intelligence van SecureWorks, waardoor organisaties het ontwikkelen, afstemmen en handhaven van security-policies voor hun virtuele omgeving kunnen overlaten aan een team van experts met bijna twee decennia ervaring in managed services.
- Puppet Enterprise is geïntegreerd met AppDefense en biedt inzicht in de gewenste configuratie van VM’s, waardoor onderscheid is te maken tussen geautoriseerde wijzigingen en kwaadaardig gedrag.