Tanium Clientサブネットの設定

分割サブネットおよび隔離サブネットは、Tanium Clientのデフォルトのピアリング動作の修正方法になります。デフォルトのピアリング設定では、Tanium™ リニアチェーンアーキテクチャ上のクライアントのサブネットの境界を定義します。分割サブネットまたは分離サブネットを構成するにあたっては、デフォルトの設定で定義されている動作と変更による影響を必ず理解しておいてください(「Tanium Client Managementユーザガイド：Tanium Clientピアリングの設定」を参照)。

Tanium Clientのサブネット構成を表示および管理するための権限については、「Tanium Clientのサブネットを構成設定する」を参照してください。

Tanium Core Platform 7.4.3以降では、Tanium Serverはサブネット構成をTaniumデータベースに書き込み、アクティブ/アクティブ展開環境では自動的にそれらの構成の同期をとります。Zone Serverでは、SeparatedSubnets.txtとIsolatedSubnets.txtファイルを手動で構成して管理する必要があります。

ほとんどの環境では、分割および分離サブネット構成はすべてのZone ServerとTanium Serverで同じです。混乱を避けるため、構成はサーバ間で常に同期をとってください。サブネットが重複している複雑な環境では、Zone Serverごとにサブネットを別々に区別する必要があります。そのような場合は、一意の構成を必要とする各Zone Serverのサブネット構成を変更します。

次の図は、内部Tanium Clientがアクティブ/アクティブ展開環境のTanium Serverと接続し、外部クライアントがZone Serverと接続する展開環境を示しています。この例は、デフォルトのピアリング設定によって定義されているリニアチェーン内の分割サブセットネットと分離サブネットを示しています。

次図は、専用ホストにTaniumデータベースがあるWindows展開環境を示しています。ただし、Tanium アプライアンスの展開では、このデータベースはTanium Serverと同じホスト上にあります。

分割サブネットを設定する

分割サブネット上のTanium Clientは、同じサブネット内にある他のクライアントとのみピアリングできます。分割サブネットを構成することで、アドレスマスクまたはプレフィックス設定(「アドレスマスクとプレフィックスの設定」を参照)によって定義されるデフォルトの/24サブネット境界よりも、Tanium Clientのピアリングに対してよりきめの細かい例外を指定することができます(「Tanium Client Managementユーザガイド: アドレスマスクとプレフィックスの設定」を参照)。クライアントは、Tanium Serverに接続するのかZone Serverに接続するのかに基づいて、ピアリングのための分割サブネット構成を使用します。各サーバは、この構成を使用して、サーバから登録されているクライアントに対するピアリストを管理します。分割サブネットを構成した後、サーバを再起動する必要はありません。

分割サブネットが構成された後、Tanium Clientは、新しい構成に関連付けられたすべての変更の適用を完了するのに2～6時間(ランダムなクライアントリセット間隔)かかります。クライアントの登録後に、分割サブネットが正しく機能していることを確認する方法については、「Tanium Client Managementユーザガイド: Tanium Clientのピアリングとリーダ接続を確認する」を参照してください。

Tanium Serverで分割サブネットを設定する

メインメニューから [Administration (管理)] > [Configuration (構成)] > [Subnets (サブネット)] に移動します。
[Separated Subnets (分割サブネット)] セクションで [New Subnets (新規サブネット)] をクリックします。
CIDRの形式(192.168.2.0/26など)ですべての分割サブネットを指定します。1行にサブネットを1つ指定します。コメント(任意)の前には文字「;」か「#」を使用します。
Tanium Core Platform 7.3以降はIPv6サブネットをサポートしています(詳細は、Taniumサポート([email protected])にお問い合わせください)。IPv6サブネットは角カッコで囲み、プレフィックス([2001:db8::]/32 など)を付ける必要があります。
例:
192.168.0.0/26 #これはデータセンターのサブネットです。
192.168.2.0/26 ;これは支店のサブネットです。
[2001:db8::]/32
展開物にZone Serverが含まれる場合は、Zone Serverで分割サブネットを構成するときに使用できるよう、テキストフィールドの内容をクリップボードにコピーします。
[Save (保存)] をクリックします。

Zone Serverで分割サブネットを設定する

展開物にZone Serverが含まれる場合は、Taniumのインフラストラクチャに従って次の手順を実行して、分割サブネットの構成を各サーバに追加します。

Windowsインフラストラクチャ

SeparatedSubnets.txtという名前のプレーンテキストファイルを作成します。
Tanium Serverで入力した分割サブネット情報をSeparatedSubnets.txtにコピーします。
クリップボードに情報をコピーしていない場合は、[Administration (管理)] > [Configuration (設定)] > [Subnets (サブネット)] に移動し、分割サブネット構成を選択します。続いて、[Edit (編集)] をクリックし、テキストフィールドの入力内容をコピーします。
各Zone Serverについて、SeSeparatedSubnets.txtをサーバのインストールディレクトリに移動します(デフォルトのインストールディレクトリは\Program Files (x86)\Tanium\Tanium Zone Server)。独自の構成を必要とするZone Serverについては、必要に応じてそのファイル内容を変更できます。

Tanium Applianceインフラストラクチャ

Zone Serverアプライアンス上で、tanadminロールを持つユーザとしてTanOSコンソールにサインインします。

tanadminメニューで2を入力し、[Tanium Operations (Taniumの操作)] メニューに移動します。

表示画面

------------------------------------------------------

             >>> Tanium Operations Menu <<< 

         1: Tanium Service Control
         2: Tanium Configuration Settings
         4: Install Custom SOAP Cert
         5: Manage Custom Signing Keys
         6: Download Public Key
         7: Download SOAP Certificate
         9: Import CAC Certificate

         A: Configure Remote Module Server
         B: Configure Tanium Cluster
         C: Manage Content
         M: Module Operations

         I: Import public key to Tanium Zone Server

         X: Advanced Operations

         H: Help
         R: Return to previous menu

------------------------------------------------------

2を入力し、[Configuration Settings (設定)]メニューに移動します。

表示画面

------------------------------------------------------

 >>> Tanium Operations -> Configuration Settings <<< 

Note: Some settings may require a service restart to take effect.

          1: Edit Tanium Server Settings
          2: Edit Tanium Server TDL Settings
          3: Add Tanium Server TDL Auth User
          4: Add Tanium Server TDL Auth Cert

          5: Edit Tanium Module Server Settings
          6: Edit Tanium Module Server TDL Settings
          7: Add Tanium Module Server TDL Auth User
          8: Add Tanium Module Server TDL Auth Cert

          9: Edit Tanium Zone Server Settings
          11: Edit isolated subnets list
          12: Edit separated subnets list

          13: Control Root CA Certs

          H: Help
          R: Return to previous menu

------------------------------------------------------

12を入力し、SeparatedSubnets.txtファイルを編集します。

表示画面

>>> Tanium TanOS -> Tools -> Edit Files -> SeparatedSubnets.txt <<< 

          #: 行の内容

          1：192.168.1.0/24

          A: 行を追加する

          R 前のメニューに戻る

------------------------------------------------------

このメニューを使用して、CIDR形式でサブネットを指定します。

隔離サブネットを設定する

隔離サブネットを構成することで、指定されたリストに記載されたサブネットおよびエンドポイントIPアドレスに対してクライアントのピアリングを無効にすることができます。Tanium ClientのIPアドレスが分離サブネットにある場合、TaaSTanium Server/Zone Serverは、クライアントに空のピアリストを送信することで、そのクライアントがピアリングに参加しないようにします。

分離サブネットの構成後、Tanium Server/Zone Serverを再起動する必要はありません。Tanium Clientは、新しい構成に関連付けられたすべての変更の適用を完了するのに2～6時間(ランダムなクライアントリセット間隔)かかります。クライアントの登録後に、分離サブネットが正しく機能していることを確認する方法については、「Tanium Client Managementユーザガイド:」 Tanium Clientのピアリングとリーダ接続を確認する」を参照してください。

VPN内にあるTanium Clientに対する隔離サブネットを構成します。VPNクライアントは特別なVPNアドレスブロック内でローカルIPアドレスを有していますが、ホストエンドポイントは実際には互いに近接してはいません。VPNクライアントがピアリングにWANリンクを使用すると、クライアントとサーバ間の接続よりも遅延時間が著しく長くなります。

その他の場合は、たとえば、ネットワークの問題のトラブルシューティングでピアリングをテストまたはデバッグする場合などは、隔離サブネットを使用してピアリングを無効にすると便利です。ピアリングを無効にすると、帯域幅とWAN上のクライアントとサーバ間の接続の面でTanium Clientは消費するネットワークリソースが増えることに注意してください。トラブルシューティングの場合は、ベストプラクティスとして、ネットワークの問題を解決したら、隔離サブネット構成からクライアントを削除してピアリングを再開できるようにすることをお勧めします。

Tanium Serverで分割サブネットを設定する

メインメニューから [Administration (管理)] > [Configuration (構成)] > [Subnets (サブネット)] に移動します。
[Isolated Subnets (分割サブネット)] セクションで [New Subnets (新規サブネット)] をクリックします。
CIDRの形式(192.168.2.0/26など)ですべての分割サブネットを指定します。1行にサブネットを1つ指定します。コメント(任意)の前には文字「;」か「#」を使用します。
Tanium Core Platform 7.3以降は、IPv6サブネットをサポートしています(Taniumサポート[email protected]にお問い合わせください)。IPv6サブネットは、角カッコで囲み、プレフィックス([2001:db8::]/32など)を付ける必要があります。
例:
192.168.0.0/26 #これはデータセンターのサブネットです。
192.168.2.0/26 ;これは支店のサブネットです。
[2001:db8::]/32
展開物にZone Serverが含まれる場合は、Zone Serverで分割サブネットを構成するときに使用できるよう、テキストフィールドの内容をクリップボードにコピーします。
[Save (保存)] をクリックします。

Zone Serverで分割サブネットを設定する

展開物にZone Serverが含まれる場合は、すべてのクライアントまたは特定のサブネット上のクライアントとTaniumインフラストラクチャを分離するかどうかに従って次のいずれかの手順を実行します。

Zone Serverは最も厳しいルールを適用することでクライアントのサブネットを決定します。zs_address_maskまたはAddressMaskの設定でクライアントを分離するように設定した場合、その設定は、IsolatedSubnets.txt ファイルに設定されているサブネットベースの分離に優先します。

任意のZone Serverに接続されているすべてのクライアントを分離する

Tanium Server上のzs_address_maskグローバル設定([Administration (管理)] > [Management (管理)] > [Global Settings (グローバル設定)])を4294967295に設定します。これで、すべてのZone Serverに対してサブネット境界/32(単一ホスト)が指定されます。

詳細は、『Tanium Client Managementユーザガイド』の「」を参照してください。アドレスマスクとプレフィックスの設定を参照してください。

特定のZone Serverに接続されているすべてのクライアントを分離する

管理者ユーザとしてTanium Zone Serverホストにサインインします。
CLIにアクセスします(Tanium Core Platformデプロイリファレンスガイド：コマンドラインインターフェースを参照)。
Zone Serverのインストールフォルダに移動します。

> cd <Zone Server>
AddressMaskローカル設定で/32サブネット境界(単一ホスト)を指定することができます。

> TaniumZoneServer config set AddressMask 4294967295

詳細は、『Tanium Client Managementユーザガイド』の「」を参照してください。アドレスマスクとプレフィックスの設定を参照してください。

Windowsインフラストラクチャを利用して特定のサブネット上のクライアントを分離する

IsolatedSubnets.txtという名前でプレーンテキストファイルを作成します。
Tanium Serverで入力した分割サブネット情報をIsolatedSubnets.txtにコピーします。
クリップボードに情報をコピーしていない場合は、[Administration (管理)] > [Configuration (設定)] > [Subnets (サブネット)] に移動し、分割サブネット構成を選択します。続いて、[Edit (編集)] をクリックし、テキストフィールドの入力内容をコピーします。
各Zone Serverについて、IsolatedSubnets.txtをサーバのインストールディレクトリに移動します(デフォルトのインストールディレクトリは\Program Files (x86)\Tanium\Tanium Zone Server)。独自の構成を必要とするZone Serverについては、必要に応じてそのファイル内容を変更できます。

Tanium Applianceインフラストラクチャを利用して特定のサブネット上のクライアントを分離する

Zone Serverアプライアンス上で、tanadminロールを持つユーザとしてTanOSコンソールにサインインします。

tanadminメニューで2を入力し、[Tanium Operations (Taniumの操作)] メニューに移動します。

表示画面

------------------------------------------------------

             >>> Tanium Operations Menu <<< 

         1: Tanium Service Control
         2: Tanium Configuration Settings
         4: Install Custom SOAP Cert
         5: Manage Custom Signing Keys
         6: Download Public Key
         7: Download SOAP Certificate
         9: Import CAC Certificate

         A: Configure Remote Module Server
         B: Configure Tanium Cluster
         C: Manage Content
         M: Module Operations

         I: Import public key to Tanium Zone Server

         X: Advanced Operations

         H: Help
         R: Return to previous menu

------------------------------------------------------

2を入力し、[Configuration Settings (設定)]メニューに移動します。

表示画面

------------------------------------------------------

 >>> Tanium Operations -> Configuration Settings <<< 

Note: Some settings may require a service restart to take effect.

          1: Edit Tanium Server Settings
          2: Edit Tanium Server TDL Settings
          3: Add Tanium Server TDL Auth User
          4: Add Tanium Server TDL Auth Cert

          5: Edit Tanium Module Server Settings
          6: Edit Tanium Module Server TDL Settings
          7: Add Tanium Module Server TDL Auth User
          8: Add Tanium Module Server TDL Auth Cert

          9: Edit Tanium Zone Server Settings
          11: Edit isolated subnets list
          12: Edit separated subnets list

          13: Control Root CA Certs

          H: Help
          R: Return to previous menu

------------------------------------------------------

11を入力し、isolatedsubnets.txtファイルを編集します。

表示画面

>>> Tanium TanOS -> Tools -> Edit Files -> IsolatedSubnets.txt <<< 

          #: Line Content

          1: 192.168.1.0/24

          A: Add a line

          R: Return to previous menu

------------------------------------------------------

このメニューを使用して、CIDR形式でサブネットを指定します。