Best Practices für Agentless Scanning

Wiz Expertenteam
Wichtige Erkenntnisse:
  • Agentenloses Scannen untersucht Cloud-Umgebungen auf Sicherheitsrisiken, ohne Software-Agenten auf Workloads zu installieren: Stattdessen werden APIs von Cloud-Anbietern und Snapshot-Analysen verwendet.

  • Dieser Ansatz bietet in wenigen Minuten umfassende Transparenz über alle Cloud-Ressourcen hinweg, ohne zusätzlichen Agenten-Overhead für Ihre Workloads: Das Scannen findet vollständig außerhalb Ihrer laufenden Anwendungen statt, indem APIs von Cloud-Anbietern und temporäre Snapshots verwendet werden, die in isolierten Umgebungen analysiert werden.

  • Unternehmen eliminieren den betrieblichen Aufwand für die Bereitstellung, Aktualisierung und Verwaltung von Agenten in dynamischen Cloud-Umgebungen: Der Wartungsaufwand für Agenten entfällt somit komplett.

  • Agentenloses Scannen erkennt jede Ressource in Ihrer Cloud: Dies verhindert Sicherheitslücken (Blind Spots), die entstehen, wenn Agenten nicht überall installiert sind.

Überblick

Agentless Scanning ist ein Ansatz für Cloud-Sicherheit, der Umgebungen auf Schwachstellen prüft, ohne Software-Agenten auf Workloads zu installieren. Stattdessen nutzt der Ansatz die APIs der Cloud-Anbieter und die Analyse temporärer Snapshots, um alle Cloud-Ressourcen zu erfassen und zu bewerten.

Zentrale Vorteile

Die Methode bietet mehrere Vorteile:

  • Vollständige Abdeckung: Der Ansatz erkennt automatisch alle Ressourcen über Cloud-APIs und verhindert so blinde Flecken.

  • Schnelles Deployment: Sicherheitsverbindungen entstehen innerhalb von Minuten auf Organisationsebene.

  • Keine Leistungseinbußen: Das Scanning läuft außerhalb der aktiven Workloads und verursacht keine zusätzliche CPU- oder Arbeitsspeicherlast.

  • Umfassende Transparenz: Temporäre verschlüsselte Snapshots ermöglichen eine tiefe Analyse der Festplatten in isolierten Umgebungen.

Funktionsweise

Der Ansatz beruht auf zwei Mechanismen:

  1. API-basierte Inventarisierung: Über Berechtigungen mit ausschließlichem Lesezugriff katalogisiert der Ansatz Ressourcen und analysiert Konfigurationen, Netzwerkeinstellungen und Berechtigungen.

  2. Snapshot-Analyse: Der Ansatz erstellt temporäre verschlüsselte Snapshots der Speichervolumes (EBS in AWS, Managed Disks in Azure, Persistent Disks in GCP) und analysiert diese in separaten, isolierten Umgebungen.

Agentless im Vergleich zu Agent-Based

Beide Ansätze erfüllen unterschiedliche Zwecke:

FunktionAgentlessAgent-Based
AbdeckungAlle Ressourcen werden automatisch erkanntNur dort, wo Agenten installiert sind
DeploymentMinutenTage bis Wochen
LeistungseinflussKeiner1–5 % CPU-/Arbeitsspeicherlast
Ideal fürErkennung von Schwachstellen, ComplianceRuntime-Bedrohungserkennung, EDR

Die meisten Unternehmen kombinieren beide Ansätze: Agentless sorgt für eine umfassende Erkennung, agent-based Tools übernehmen die real-time-Bedrohungserkennung auf kritischen Workloads.

Multi-Cloud-Deployment

Jeder Cloud-Anbieter erfordert spezifische Konfigurationen:

AWS: Cross-Account-IAM-Rolle mit der Managed Policy SecurityAudit und Snapshot-Berechtigungen (ec2:CreateSnapshot, ec2:CreateVolume, ec2:AttachVolume, ec2:DeleteSnapshot).

Azure: Service Principal mit der Rolle Reader auf Ebene des Abonnements oder der Verwaltungsgruppe.

GCP: Service-Konto mit den Rollen Viewer und Cloud Asset Inventory sowie Compute-Snapshot-Berechtigungen, sofern die tiefe Festplattenanalyse aktiviert ist.

Absicherung

Zu den zentralen Sicherheitspraktiken gehören:

  • Verschlüsselung: Für Snapshots kommen kundenverwaltete Schlüssel zum Einsatz (AWS KMS, Azure Key Vault, GCP Cloud KMS).

  • TLS 1.3: Für die API-Kommunikation gelten die aktuellen Verschlüsselungsstandards.

  • Private Endpunkte: AWS PrivateLink, Azure Private Link oder GCP Private Service Connect halten den Scan-Datenverkehr innerhalb der Anbieternetze.

  • IAM-Guardrails: Berechtigungsgrenzen und bedingte Zugriffsrichtlinien beschränken die Scanner-Identität auf bestimmte VPC-Endpunkte und IP-Bereiche.

  • Datenresidenz: Alle Daten werden innerhalb bestimmter Regionen verarbeitet, um die Anforderungen der DSGVO und der Datensouveränität zu erfüllen.

Leistungsoptimierung

  • Inkrementelles Scanning: Analysiert werden nur die seit dem letzten Scan geänderten Festplattenblöcke, was die übertragene Datenmenge reduziert.

  • Intelligentes Batching: Gebündelte API-Aufrufe steuern die Ratenbegrenzung.

  • Zeitplanung außerhalb der Spitzenzeiten: Ressourcenintensive Vorgänge laufen in verkehrsarmen Zeiten und vermeiden so eine Drosselung der API.

CI/CD-Integration

Agentless Scanning lässt sich wie folgt in Entwicklungs-Pipelines integrieren:

  • Infrastructure as Code (Terraform, CloudFormation, Kubernetes-Manifeste) wird bereits vor dem Deployment geprüft.

  • Fehlkonfigurationen und offengelegte Secrets werden sofort markiert.

  • Builds werden so lange blockiert, bis die Sicherheitsprobleme behoben sind.

  • So lassen sich shift-left-Praktiken (Vorverlagerung der Sicherheit in den Entwicklungsprozess) umsetzen, die Risiken früh erkennen.

Unterstützung von Compliance-Frameworks

Agentless Scanning unterstützt zahlreiche Compliance-Anforderungen:

  • ISO 27001: Der Ansatz deckt die Bestandsaufnahme der Ressourcen, das vulnerability management und technische Kontrollmaßnahmen ab.

  • SOC 2: Er unterstützt die Systemüberwachung und die Erkennung von Anomalien.

  • PCI DSS: Er ermöglicht das vierteljährliche vulnerability scanning und die Erkennung von Änderungen.

  • HIPAA: Er liefert Risikoanalysen und Prüfkontrollen.

  • FedRAMP: Er erfüllt die Anforderungen an vulnerability scanning und an die Inventarisierung von Komponenten.

Alle Scan-Aktivitäten werden über native Audit-Trails protokolliert (CloudTrail, Activity Logs, Cloud Audit Logs) und stehen für Compliance-Audits bereit.

Monitoring und Fehlerbehebung

Häufige Probleme und ihre Lösungen:

  • IAM-Berechtigungsfehler: Eine Prüfung der SecurityAudit-Policy-Zuordnung, der Snapshot-Berechtigungen und der KMS-Schlüsselfreigaben schafft Abhilfe.

  • Verbindungsprobleme: Ein Blick auf die Netzwerksicherheitsgruppen und die Konfiguration der privaten Endpunkte deckt die Ursache auf.

  • Abdeckungslücken: Warnmeldungen für neue, noch nicht gescannte Ressourcen schließen diese Lücken.

  • API-Drosselung: Ein Monitoring des Ratenlimit-Verbrauchs und ein gebündeltes Vorgehen bei API-Aufrufen beugen der Drosselung vor.

Kostenoptimierung

Zentrale Kostenfaktoren:

  • Der Speicher für Snapshots aus tiefen Scans verursacht Kosten.

  • API-Aufrufe für die kontinuierliche Inventarisierung und für Konfigurationsabfragen schlagen zu Buche.

  • Das sofortige Löschen von Snapshots nach der Analyse verhindert Kosten durch verwaiste Speicher.

  • Ressourcenintensive Vorgänge laufen idealerweise außerhalb der Spitzenzeiten.

  • Kostenzuordnungs-Tags machen die Sicherheitsausgaben nachvollziehbar.

Erweiterte Konfigurationen

Mit zunehmender Reife der Programme ergeben sich weitere Möglichkeiten:

  • Eigene Richtlinien mit Open Policy Agent (OPA) setzen organisationsspezifische Regeln um.

  • Angepasste Risk-Scoring-Algorithmen priorisieren kritische Ressourcen.

  • Über Webhooks fließen Ergebnisse in SIEM-Systeme ein.

  • Eine Anbindung an Ticketing-Systeme (Jira, ServiceNow) automatisiert die Arbeitsabläufe.

  • Eigene Detektoren erkennen shadow IT, configuration drift, Compliance-Verstöße und Kostenanomalien.

Das Wichtigste auf einen Blick

Agentless Scanning liefert schnell und umfassend Transparenz über die Cloud-Sicherheit, ohne den Betriebsaufwand zu erhöhen. Der Ansatz skaliert effizient über mehrere Clouds hinweg. Gleichzeitig wahrt er strenge security controls und Compliance-Anforderungen durch verschlüsselte Datenverarbeitung, eng begrenzte Berechtigungen und lückenlose Audit-Trails.