KI-gestützte Sicherheitslösung Hypershield

Wie Cisco Cyber Security neu erfinden will

19.04.2024
Von 
Michael Cooney ist Senior Editor bei der amerikanischen Schwesterpublikation Network World.
Mit dem KI-basierten Hypershield kündigt Cisco eine sich selbst aktualisierende Sicherheitsstruktur an, die verteilte Anwendungen, Geräte und Daten schützen soll.
Cisco Hypershield soll überall dort Sicherheit bieten, wo sie benötigt wird – ob Software, Server oder künftig sogar in einem Netzwerk-Switch.
Cisco Hypershield soll überall dort Sicherheit bieten, wo sie benötigt wird – ob Software, Server oder künftig sogar in einem Netzwerk-Switch.
Foto: Cisco

Laut Tom Gillis, Senior Vice President und General Manager von Cisco Security, verspricht Hypershield, dass Unternehmen ihre Netzwerke autonom segmentieren können, wenn Bedrohungen ein Problem darstellen. Gleichzeitig erhielten sie einen schnellen Schutz vor Exploits, ohne ihre Firewalls patchen oder überarbeiten zu müssen und könnten automatisch Software-Upgrades durchführen, ohne ihre Computerressourcen zu unterbrechen.

Hypershield implementiert dazu eine selbstverwaltende Struktur, die die IT-Sicherheit genau dort einsetzt, wo sie benötigt wird - auf einer Netzwerkkomponente, einem Workload, einem Server oder einer virtuellen Maschine. "Betrachten Sie es als eine Sicherheitsstruktur, die die gesamte Umgebung abdeckt, und nicht als einen Zaun, der nur einen Teil davon blockiert", erklärt der Cisco-Manager.

Kernstück von Hypershield ist eine Cloud-native KI-Engine, die im August verfügbar sein wird und auf einer zentralen Host-Konsole läuft. Eingebettete Agenten in verteilten Unternehmenskomponenten wie VMs, Kubernetes-Clustern, Firewalls, Load Balancern und Netzwerkkomponenten geben ständig Rückmeldung über den Zustand der Anwendungen und des Netzwerks.

Darüber hinaus plant Cisco, Hypershield in Zukunft auch in DPUs und GPUs sowie in Netzwerk-Routern und -Switches einzubetten. "Cisco arbeitet derzeit daran, das Cybersecurity-KI-Framework Morpheus von Nvidia für die beschleunigte Erkennung von Netzwerkanomalien sowie die Nvidia NIM-Microservices zu nutzen, um maßgeschneiderte Sicherheits-KI-Assistenten für Unternehmen zu entwickeln, kündigt der Security-Experte an.

Kompatibilitätstests in digitalem Zwilling

"Einmal eingerichtet, erstellt Hypershield zwei Abbildungen oder eine duale Datenebene - also im Grunde eine Produktionsumgebung und einen digitalen Zwilling der Umgebung", schreibt Craig Connors, Vizepräsident und CTO der Cisco Security Business Group, in einen Blogbeitrag zu Hypershield.

"Diese Dataplane unterstützt zwei Datenpfade: einen primären (Main) und einen sekundären (Shadow). Der Datenverkehr wird zwischen dem primären und dem sekundären Pfad repliziert", erklärt Connors. "Software-Updates werden zuerst auf die sekundäre Datenebene angewandt, und wenn sie vollständig überprüft sind, werden die Rollen der primären und sekundären Datenebene getauscht. Ebenso können neue Sicherheitsrichtlinien zuerst auf die sekundäre Datenebene angewendet werden, und wenn alles gut aussieht, wird die sekundäre zur primären."

Die Idee dabei ist, dass Software-Upgrades und Änderungen an den Policies in einem digitalen Zwilling platziert werden können, der die Updates auf Basis der spezifischen Kombination aus Traffic, Richtlinien und Funktionen des Kunden testet und diese Updates dann ohne Ausfallzeiten übernimmt, so Connors.

Um Störungen zu vermeiden, ermöglicht es Cisco Hypershield, Software-Upgrades und Änderungen an den Policies in einem digitalen Zwilling zu testen.
Um Störungen zu vermeiden, ermöglicht es Cisco Hypershield, Software-Upgrades und Änderungen an den Policies in einem digitalen Zwilling zu testen.
Foto: Cisco

Schweizer Technologie als Basis

Hypershield basiert auf der eBPF-Konnektivitätstechnologie (Extended Berkeley Packet Filter), die Cisco mit der kürzlich abgeschlossenen Übernahme des Schweizer Open-Source- und Cloud-nativen Netzwerk- und Sicherheitsunternehmens Isovalent erworben hat.

eBPF ist eine Open-Source-Technologie für den Kernel des Linux-Betriebssystems, mit der Programme sicher in einer Sandbox innerhalb des Kernels des Betriebssystems laufen. Dadurch können Kunden Security-, Observability- und Netzwerkfunktionen schnell und einfach einbinden, ohne den Kernel-Quellcode zu ändern oder sich mit Netzwerk-Overlays oder anderen mühsamen Programmieraufgaben zu beschäftigen.

Darüber hinaus bildet eBPF die Grundlage für die weit verbreiteten Open-Source- und Cloud-basierten Softwarepakete Cilium und Tetragon von Isovalent. Cilium nutzt eBPF zur Unterstützung von Netzwerken, Sicherheit und Beobachtbarkeit für containerisierte Kubernetes-Workloads, während Tetragon es Nutzern ermöglicht, Sicherheitsrichtlinien mithilfe von eBPF festzulegen. Beide Dienste seien Teilbereiche von Hypershield, so Gillis.

Hypershield wurde so konzipiert, dass es sich selbst aktualisieren und erweitern kann, so Gillis. "Aufgrund der verteilten Architektur fungieren die eBPF-Agenten, die die Telemetriedaten übermitteln, auch als Policy Enforcement Points (PEP). Dabei wird ein zum Patent angemeldetes Design verwendet, das das CI/CD-Modell der Cloud mit kontinuierlichen Aktualisierungen auf stationäre Systeme überträgt, sei es auf Netzwerk-, Workload-, Datei- oder Prozessebene."

Letztlich geht es darum, Unternehmen dabei zu helfen, Bedrohungen effektiver zu erkennen und darauf zu reagieren, indem sie automatisch testen und Compensation Controls in der verteilten Struktur der Enforcement Points einsetzen, so Gillis.

Hypershield beobachtet ständig und bewertet bestehende Richtlinien neu, um das Netzwerk selbstständig zu segmentieren, was in großen und komplexen Umgebungen eine mühsame Aufgabe sein kann, so Gillis. Die Kunden können die Autonomie des Systems erhöhen, wenn sie sich damit vertraut gemacht haben, sagte er. Diese bemerkenswerte, fast magische Fähigkeit sei nur möglich, weil das System speziell für das KI-Management entwickelt wurde, warb der Cisco-Manager.

"Cisco übernimmt Vorreiterrolle"

Aus Sicht von Analysten liefert Hypershield Unternehmen einen großen Mehrwert, da diese KI einsetzen könnten, um Hacker und andere Bedrohungen schnell zu bekämpfen. "Die Time to Value ist wahnsinnig kurz", erklärte Frank Dickson, Group Vice President, Security & Trust, bei IDC. Es müsse dafür keine Hardware dazugekauft werden, sondern das Hypershield werde in der bestehenden Infrastruktur installiert und aktiviert.

"Für diejenigen, die an Security in Depth glauben, ist dies ein völlig neuer Ansatz, da er die IT-Sicherheit vom Netzwerkkern in den Edge-Bereich verlagert und in die Struktur des Netzwerks integriert", so Dickson weiter. Das Resultat sei ein Skalenvorteil, da die in Edge-Geräten eingebettete Rechenleistung für die Sicherung der IT-Infrastruktur eingesetzt werde.

Dickson zufolge ist Cisco in der jüngeren Vergangenheit nicht gerade als Vordenker oder Innovator in der Branche aufgetreten. Nun sei Hypershield ein Beispiel dafür, wie Cisco das Bild verändert, erklärte der IDC-Mann. "Die Konkurrenten werden darauf reagieren, aber man muss Cisco den Vorteil des Vorreiters zugestehen", so Dickson: "Hypershield ist völlig neu und ein wichtiger Schritt zur Verbesserung der Sicherheit." (mb)

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation Network World.