Taniumセキュリティ推奨事項

Taniumは、カスタマーがTanium Core Platformのアーキテクチャや構成を安全に実装できるよう、強化されたアプライアンスや文書など、さまざまなリソースを提供します。この文書ではこれらのリソースおよび推奨事項の概要を解説します。

インフラストラクチャオプション

Tanium Core Platformでのデプロイには主に3つのインフラストラクチャオプションがあります。

  1. 強化した物理的、または仮想のTaniumアプライアンス。
  2. クラウドのデプロイ。
  3. カスタマーが提供するハードウェアへのWindowsインストール。

Taniumは、可能な限り、物理的または仮想的なアプライアンスのデプロイを推奨します。アプライアンスのアップデートはTaniumが提供します。アプライアンスが実践的ではない場合、Tanium Core Platformのソフトウェアを、カスタマーが提供するハードウェアにインストールできます。Taniumは、対応するクラウドインフラストラクチャへの自動デプロイ、またはWindows Serverのホストコンピューターへの手動によるインストールに対応します。クラウドインフラストラクチャまたはカスタマー提供のハードウェアのデプロイは、選択してインフラストラクチャをカスタマーが維持、アップデートする必要があります。

一般セキュリティ推奨事項

Taniumのデプロイ方法に関わらず、カスタマーは以下で定義するセキュリティベストプラクティスに従うことを推奨します。

Tanium Consoleへの安全なアクセス

Taniumは、Tanium Consoleへのネットワークアクセスは特定の管理ネットワークや特定のデバイスに制限することを推奨します。また、ユーザーアクセスには多要素認証(MFA)を使用する必要があります。Taniumは、ADIUS、TACACS+、X.509に基づくCACとSAMLを使用した証明書認証による多要素認証に対応しています。

関連リンク

有効なTLS証明書をインストールする

Tanium Consoleへのユーザー接続はTLSにより暗号化されます。自己署名証明書がインストールプロセス中に生成されます。ただし、Taniumはカスタマーが有効なTLS証明書を取得しインストールすることを推奨します。

関連リンク

Tanium秘密キーへ強化したセキュリティを設定する

Taniumはキーマテリアルを高いレベルで保護するためにハードウェアセキュリティモジュール(HSM)の使用を推奨します。HSMを使用する場合、キーマテリアルはTanium ServerではなくHSMに保管され、HSMから取得することはできません。Tanium Serverは、Taniumの要求に対し有効な署名をするHSMとやり取りをします。

関連リンク

アクションにTPI (Two-Person Integrity)を使用する

可能な場合は、アクションの承認機能を有効にして使用することを推奨します。アクションの承認は「4つの目」と呼ばれることもあります。アクションの承認が有効な場合、ユーザーがデプロイしたアクションはどれも、最初に2人目の知識のある従業員に承認されなければなりません。アクションの承認により、有害な可能性のあるアクションをオペレータが誤って発行するリスクを大幅に軽減します。

関連リンク

Taniumのログの有効化と転送

Taniumは監査ログを有効化し、ログ一元管理ソリューションへ転送することを推奨します。Taniumは、グローバル設定、コンピュータグループ、パッケージ、予定済みアクション、保存されたQuestion、センサー、ユーザー、ユーザーグループ、ホワイトリストに登録されたURLに関連する、ユーザーによる変更を含むTaniumユーザーが実行したすべてのアクションのログに対応します。

関連リンク

ロールベースのアクセス制御(RBAC)

Taniumはきめ細いRBACに対応するため、組織は最少特権の原則を実現できます。Taniumは各製品できめ細かいロールを多種提供し、また、カスタム特権による追加のロール作成にも対応します。RBACのほか、コンピュータグループを使用してエンポイントセットへの許可の範囲を制限できます。Taniumはこれらの機能を活用し、既存のユーザーに適切やロールを付与すること、また、新規ユーザーへ、付与されるユーザー特定のジョブ要件に基づきの機能を制限することを推奨します。

関連リンク

インフラストラクチャ特有のセキュリティ推奨事項

一般的な推奨事項のほか、Taniumは、インフラストラクチャの各種類それぞれのセキュリティに関する考慮事項に従うことを推奨します。

Tanium仮想アプライアンスのセキュリティ確保

Taniumは、Tanium仮想アプライアンスのゲストへのアクセスを制限する方法で、仮想ホストの安全性が適切に確保することを推奨します。これには、適切な強化ガイドの適用や、可能な場合、ホストへのアクセスに多要素認証を求めることが含まれます。

クラウドインフラストラクチャのデプロイのセキュリティ確保

Taniumuは Tanium Core Platformサーバをホストするクラウド環境へのアクセスを厳格にコントロールし、既知の、限られたユーザーグループのみ、Taniumのデプロイで使用するクラウドリソースへのアクセスまたは変更を許可することを推奨します。Taniumはクラウドプロバイダのアクセスコントロール機能を活用し、Tanium Core Platformサーバを他の内部または本番システムから隔離することを推奨します。

  • Amazon Web Services (AWS)のインフラストラクチャでは、組織を使用しTanium固有のAWSアカウントでデプロイします。
  • Google Cloud Platform (GCP)のインフラストラクチャでは、Tanium固有のプロジェクトでTaniumをデプロイします。
  • Microsoft Azureのインフラストラクチャでは、Tanium固有のリソースグループでTaniumをデプロイします。

さらに、クラウドプロバイダおよび業界標準の利用可能なセキュリティのベストプラクティスに従い、仮想ネットワークとのネットワーク通信の制限し、クラウドユーザーの多要素認証の有効化、クラウドのAPIアクティビティ監視などを行います。

カスタマーが提供するWindowsインフラストラクチャのデプロイのセキュリティ確保

TaniumをWindows Serverにインストールするときは、カスタマーはTaniumの強化ガイドに従うことを推奨します。ガイドは国防情報システム局(DISA)の協力のもと開発され、Windows環境におけるTanium Serverの安全を確保するための推奨事項を提供します。

次の強化ガイドに加え、TaniumはさらにTanium Windowsのインストールのセキュリティに影響を与えるドメイン認証情報の侵害リスクを低減するため、カスタマーが厳格なアクセスコントロールを導入することを推奨します。最低限、以下を含むべきです。

  • ハードウェアまたはソフトウェアベースのファイアウォールを使用するWindows管理プロトコルへの、インバウンドのアクセスの制御。特に多要素認証で保護されていない場合。アクセスは、ドメインからWindows Serverを削除することで制限することもできます。
  • サービスアカウントの数とサービスアカウントへの許可を、必要なアカウントおよび許可のみに制限します。

関連リンク

最終更新:2020/01/1115:23| フィードバック

Powered by Translations.com GlobalLink OneLink Software