Taniumセキュリティ推奨事項

Taniumは、カスタマーがTanium Core Platformのアーキテクチャや構成を安全に実装できるよう、強化されたアプライアンスや文書など、さまざまなリソースを提供します。この文書ではこれらのリソースおよび推奨事項の概要を解説します。

インフラストラクチャオプション

Tanium Core Platformでのデプロイには主に2つのインフラストラクチャオプションがあります。

  1. 強化した物理的、または仮想のTaniumアプライアンス。
  2. カスタマーが提供するハードウェアへのWindowsインストール。

Taniumは、可能な限り、物理的または仮想的なアプライアンスのデプロイを推奨します。アプライアンスのアップデートはTaniumが提供します。アプライアンスが実践的ではない場合、Tanium Core Platformのソフトウェアを、カスタマーが提供するハードウェア、またはWindows仮想マシンでクラウドインフラストラクチャにインストールできます。クラウドインフラストラクチャまたはカスタマー提供のハードウェアのデプロイは、選択してインフラストラクチャをカスタマーが維持、アップデートする必要があります。

一般セキュリティ推奨事項

Taniumのデプロイ方法に関わらず、Taniumではセキュリティベストプラクティスに従うことを推奨します。

Tanium Consoleへの安全なアクセス

Taniumでは、Tanium Consoleへのネットワークアクセスを特定の管理ネットワークや特定のデバイスに制限するよう推奨します。また、ユーザアクセスには多要素認証(MFA)を使用する必要があります。Taniumは、ADIUS、TACACS+、X.509に基づくCACとSAMLを使用した証明書認証による多要素認証に対応しています。

関連リンク

有効なTLS証明書をインストールする

Tanium Consoleへのユーザ接続はTLSにより暗号化されます。自己署名証明書がインストールプロセス中に生成されます。ただし、Taniumはカスタマーが有効なTLS証明書を取得しインストールすることを推奨します。

関連リンク

Tanium秘密キーへ強化したセキュリティを設定する

Taniumはキーマテリアルを高いレベルで保護するためにハードウェアセキュリティモジュール(HSM)の使用を推奨します。HSMを使用する場合、キーはTanium ServerではなくHSMに保管され、HSMから取得することはできません。Tanium Serverは、Taniumの要求に対し有効な署名をするHSMとやり取りをします。

関連リンク

アクションにTPI (Two-Person Integrity)を使用する

可能な場合は、アクションの承認機能を有効にして使用することを推奨します。アクションの承認が有効な場合、ユーザがデプロイしたアクションはどれも、最初に2人目の従業員に承認されなければなりません。アクションの承認により、有害な可能性のあるアクションをオペレータが誤って発行するリスクを大幅に軽減します。

関連リンク

Taniumのログの有効化と転送

Taniumは監査ログを有効化し、ログを一元管理ソリューションへ転送することを推奨します。Taniumは、APIトークン、コンピュータグループ、コンテンツセット、ダッシュボード、キー、グローバル設定、パッケージ、プラグインスケジュール、権限、保存済みQuestion、スケジュール済みアクション、ロール、センサー、ユーザ、ユーザグループ、ホワイトリストURLに関連する、ユーザによる変更を含むTaniumユーザが実行したすべてのアクションのログに対応します。

関連リンク

ロールベースのアクセス制御(RBAC)

Taniumはきめ細いRBACに対応するため、組織は最少特権の原則を実現できます。Taniumは各製品できめ細かいロールを多種提供し、また、カスタム特権による追加のロール作成にも対応します。RBACのほか、コンピュータグループを使用してエンポイントセットへの許可の範囲を制限できます。Taniumはこれらの機能を活用し、既存のユーザに適切やロールを付与すること、また、新規ユーザへ、付与されるユーザ特定のジョブ要件に基づきの機能を制限することを推奨します。

関連リンク

インフラストラクチャ固有のセキュリティ推薦事項

一般的な推奨事項のほか、Taniumは、インフラストラクチャの各種類それぞれのセキュリティに関する考慮事項に従うことを推奨します。

Tanium仮想アプライアンスのセキュリティ確保

Taniumは、Tanium仮想アプライアンスのゲストへのアクセスを制限して、仮想ホストの安全性確保を推奨します。これには、適切な強化ガイドの適用や、可能な場合、ホストへのアクセスに多要素認証を求めることが含まれます。

クラウドインフラストラクチャのデプロイのセキュリティ確保

Taniumは、Tanium Core Platformサーバをホストするクラウド環境へのアクセスを厳格に制御し、既知の、限られたユーザグループのみ、Taniumのデプロイで使用するクラウドリソースへのアクセスまたは変更を許可することを推奨します。Taniumはクラウドプロバイダのアクセスコントロール機能を活用し、Tanium Core Platformサーバを他の内部または本番システムから隔離することを推奨します。

  • Amazon Web Services (AWS)のインフラストラクチャでは、組織を使用しTanium固有のAWSアカウントでデプロイします。
  • Google Cloud Platform (GCP)のインフラストラクチャでは、Tanium固有のプロジェクトでTaniumをデプロイします。
  • Microsoft Azureのインフラストラクチャでは、Tanium固有のリソースグループでTaniumをデプロイします。

さらに、クラウドプロバイダおよび業界標準の利用可能なセキュリティのベストプラクティスに従い、仮想ネットワークとのネットワーク通信の制限し、クラウドユーザの多要素認証の有効化、クラウドのAPIアクティビティ監視などを行います。

カスタマーが提供するWindowsインフラストラクチャのデプロイのセキュリティ確保

TaniumをWindows Serverにインストールするときは、カスタマーはTaniumの強化ガイドに従うことを推奨します。ガイドは国防情報システム局(DISA)の協力のもと開発され、Windows環境におけるTanium Serverの安全を確保するための推奨事項を提供します。

TaniumはさらにTanium Windowsのインストールのセキュリティに影響を与えるドメイン認証情報の侵害リスクを低減するため、お客様が厳格なアクセス制御を導入することを推奨します。最低限、以下を含めてください。

  • ハードウェアまたはソフトウェアベースのファイアウォールを使用するWindows管理プロトコルへの、インバウンドのアクセスの制御。特に多要素認証で保護されていない場合。アクセスは、ドメインからWindows Serverを削除することで制限することもできます。
  • サービスアカウントの数とサービスアカウントへの許可を、必要なアカウントおよび許可のみに制限します。

関連リンク

最終更新: 2020/11/19 21:47| フィードバック

Powered by Translations.com GlobalLink OneLink Software