Tanium Clientサブネットの設定

分割サブネットおよび隔離サブネットは、Tanium Clientのデフォルトのピアリング動作の修正方法になります。デフォルトのピアリング設定では、Tanium™ リニアチェーンアーキテクチャ上のクライアントのサブネットの境界を定義します。分割サブネットまたは分離サブネットを構成するにあたっては、デフォルトの設定で定義されている動作と変更による影響を必ず理解しておいてください(「Tanium Client Managementユーザガイド:Tanium Clientピアリングの設定」を参照)。

Tanium Clientのサブネット構成を表示および管理するための権限については、「Tanium Clientのサブネットを構成設定する 」を参照してください。

Tanium Core Platform 7.4.3以降では、Tanium Serverはサブネット構成をTaniumデータベースに書き込み、アクティブ/アクティブ展開環境では自動的にそれらの構成の同期をとります。Zone Serverでは、SeparatedSubnets.txtIsolatedSubnets.txtファイルを手動で構成して管理する必要があります。

ほとんどの環境では、分割および分離サブネット構成はすべてのZone ServerとTanium Serverで同じです。混乱を避けるため、構成はサーバ間で常に同期をとってください。サブネットが重複している複雑な環境では、Zone Serverごとにサブネットを別々に区別する必要があります。そのような場合は、一意の構成を必要とする各Zone Serverのサブネット構成を変更します。

次の図は、内部Tanium Clientがアクティブ/アクティブ展開環境のTanium Serverと接続し、外部クライアントがZone Serverと接続する展開環境を示しています。この例は、デフォルトのピアリング設定によって定義されているリニアチェーン内の分割サブセットネットと分離サブネットを示しています。

次図は、専用ホストにTaniumデータベースがあるWindows展開環境を示しています。ただし、Tanium アプライアンスの展開では、このデータベースはTanium Serverと同じホスト上にあります。

図1:Tanium Clientのピアリング

分割サブネットを設定する

分割サブネット上のTanium Clientは、同じサブネット内にある他のクライアントとのみピアリングできます。分割サブネットを構成することで、アドレスマスクまたはプレフィックス設定(「アドレスマスクとプレフィックスの設定」を参照)によって定義されるデフォルトの/24サブネット境界よりも、Tanium Clientのピアリングに対してよりきめの細かい例外を指定することができます(「Tanium Client Managementユーザガイド: アドレスマスクとプレフィックスの設定」を参照)クライアントは、Tanium Serverに接続するのかZone Serverに接続するのかに基づいて、ピアリングのための分割サブネット構成を使用します。各サーバは、この構成を使用して、サーバから登録されているクライアントに対するピアリストを管理します。分割サブネットを構成した後、サーバを再起動する必要はありません。

分割サブネットが構成された後、Tanium Clientは、新しい構成に関連付けられたすべての変更の適用を完了するのに2~6時間(ランダムなクライアントリセット間隔)かかります。クライアントの登録後に、分割サブネットが正しく機能していることを確認する方法については、「Tanium Client Managementユーザガイド: Tanium Clientのピアリングとリーダ接続を確認する」を参照してください。

Tanium Serverで分割サブネットを設定する

  1. メインメニューから [Administration (管理)] >  [Configuration (構成)] > [Subnets (サブネット)] に移動します。
  2. [Separated Subnets (分割サブネット)] セクションで [New Subnets (新規サブネット)] をクリックします。
  3. CIDRの形式(192.168.2.0/26など)ですべての分割サブネットを指定します。1行にサブネットを1つ指定します。コメント(任意)の前には文字「;」か「#」を使用します。

    Tanium Core Platform 7.3以降はIPv6サブネットをサポートしています(詳細は、Taniumサポート([email protected])にお問い合わせください)。IPv6サブネットは角カッコで囲み、プレフィックス([2001:db8::]/32 など)を付ける必要があります。

    例:

    192.168.0.0/26 #これはデータセンターのサブネットです。
    192.168.2.0/26 ;これは支店のサブネットです。
    [2001:db8::]/32

    展開物にZone Serverが含まれる場合は、Zone Serverで分割サブネットを構成するときに使用できるよう、テキストフィールドの内容をクリップボードにコピーします。

  4. [Save (保存)] をクリックします。

Zone Serverで分割サブネットを設定する

展開物にZone Serverが含まれる場合は、Taniumのインフラストラクチャに従って次の手順を実行して、分割サブネットの構成を各サーバに追加します。

Windowsインフラストラクチャ

  1. SeparatedSubnets.txtという名前のプレーンテキストファイルを作成します。
  2. Tanium Serverで入力した分割サブネット情報をSeparatedSubnets.txtにコピーします。

    クリップボードに情報をコピーしていない場合は、[Administration (管理)] > [Configuration (設定)] > [Subnets (サブネット)] に移動し、分割サブネット構成を選択します。続いて、[Edit (編集)] をクリックし、テキストフィールドの入力内容をコピーします。

  3. 各Zone Serverについて、SeSeparatedSubnets.txtをサーバのインストールディレクトリに移動します(デフォルトのインストールディレクトリは\Program Files (x86)\Tanium\Tanium Zone Server)。独自の構成を必要とするZone Serverについては、必要に応じてそのファイル内容を変更できます。

Tanium Applianceインフラストラクチャ

  1. Zone Serverアプライアンス上で、tanadminロールを持つユーザとしてTanOSコンソールにサインインします。
  2. tanadminメニュー2を入力し、[Tanium Operations (Taniumの操作)] メニューに移動します。閉じた表示画面
  3. 2を入力し、[Configuration Settings (設定)]メニューに移動します。閉じた表示画面
  4. 12を入力し、SeparatedSubnets.txtファイルを編集します。閉じた表示画面
  5. このメニューを使用して、CIDR形式でサブネットを指定します。

隔離サブネットを設定する

隔離サブネットを構成することで、指定されたリストに記載されたサブネットおよびエンドポイントIPアドレスに対してクライアントのピアリングを無効にすることができます。Tanium ClientのIPアドレスが分離サブネットにある場合、TaaSTanium Server/Zone Serverは、クライアントに空のピアリストを送信することで、そのクライアントがピアリングに参加しないようにします。

分離サブネットの構成後、Tanium Server/Zone Serverを再起動する必要はありません。Tanium Clientは、新しい構成に関連付けられたすべての変更の適用を完了するのに2~6時間(ランダムなクライアントリセット間隔)かかります。クライアントの登録後に、分離サブネットが正しく機能していることを確認する方法については、「Tanium Client Managementユーザガイド:」 Tanium Clientのピアリングとリーダ接続を確認する」を参照してください。

VPN内にあるTanium Clientに対する隔離サブネットを構成します。VPNクライアントは特別なVPNアドレスブロック内でローカルIPアドレスを有していますが、ホストエンドポイントは実際には互いに近接してはいません。VPNクライアントがピアリングにWANリンクを使用すると、クライアントとサーバ間の接続よりも遅延時間が著しく長くなります。

その他の場合は、たとえば、ネットワークの問題のトラブルシューティングでピアリングをテストまたはデバッグする場合などは、隔離サブネットを使用してピアリングを無効にすると便利です。ピアリングを無効にすると、帯域幅とWAN上のクライアントとサーバ間の接続の面でTanium Clientは消費するネットワークリソースが増えることに注意してください。トラブルシューティングの場合は、ベストプラクティスとして、ネットワークの問題を解決したら、隔離サブネット構成からクライアントを削除してピアリングを再開できるようにすることをお勧めします。

Tanium Serverで分割サブネットを設定する

  1. メインメニューから [Administration (管理)] >  [Configuration (構成)] > [Subnets (サブネット)] に移動します。
  2. [Isolated Subnets (分割サブネット)] セクションで [New Subnets (新規サブネット)] をクリックします。
  3. CIDRの形式(192.168.2.0/26など)ですべての分割サブネットを指定します。1行にサブネットを1つ指定します。コメント(任意)の前には文字「;」か「#」を使用します。

    Tanium Core Platform 7.3以降は、IPv6サブネットをサポートしています(Taniumサポート[email protected]にお問い合わせください)。IPv6サブネットは、角カッコで囲み、プレフィックス([2001:db8::]/32など)を付ける必要があります。

    例:

    192.168.0.0/26 #これはデータセンターのサブネットです。
    192.168.2.0/26 ;これは支店のサブネットです。
    [2001:db8::]/32

    展開物にZone Serverが含まれる場合は、Zone Serverで分割サブネットを構成するときに使用できるよう、テキストフィールドの内容をクリップボードにコピーします。

  4. [Save (保存)] をクリックします。

Zone Serverで分割サブネットを設定する

展開物にZone Serverが含まれる場合は、すべてのクライアントまたは特定のサブネット上のクライアントとTaniumインフラストラクチャを分離するかどうかに従って次のいずれかの手順を実行します。

Zone Serverは最も厳しいルールを適用することでクライアントのサブネットを決定します。zs_address_maskまたはAddressMaskの設定でクライアントを分離するように設定した場合、その設定は、IsolatedSubnets.txt ファイルに設定されているサブネットベースの分離に優先します。

任意のZone Serverに接続されているすべてのクライアントを分離する

Tanium Server上のzs_address_maskグローバル設定([Administration (管理)] > [Management (管理)] > [Global Settings (グローバル設定)])を4294967295に設定します。これで、すべてのZone Serverに対してサブネット境界/32(単一ホスト)が指定されます。

詳細は、『Tanium Client Managementユーザガイド』の「」を参照してください。アドレスマスクとプレフィックスの設定を参照してください。

特定のZone Serverに接続されているすべてのクライアントを分離する

  1. 管理者ユーザとしてTanium Zone Serverホストにサインインします。
  2. CLIにアクセスします(Tanium Core Platformデプロイリファレンスガイド:コマンドラインインターフェースを参照)。
  3. Zone Serverのインストールフォルダに移動します。

    > cd <Zone Server>

  4. AddressMaskローカル設定で/32サブネット境界(単一ホスト)を指定することができます。

    > TaniumZoneServer config set AddressMask 4294967295

詳細は、『Tanium Client Managementユーザガイド』の「」を参照してください。アドレスマスクとプレフィックスの設定を参照してください。

Windowsインフラストラクチャを利用して特定のサブネット上のクライアントを分離する

  1. IsolatedSubnets.txtという名前でプレーンテキストファイルを作成します。
  2. Tanium Serverで入力した分割サブネット情報をIsolatedSubnets.txtにコピーします。

    クリップボードに情報をコピーしていない場合は、[Administration (管理)] > [Configuration (設定)] > [Subnets (サブネット)] に移動し、分割サブネット構成を選択します。続いて、[Edit (編集)] をクリックし、テキストフィールドの入力内容をコピーします。

  3. 各Zone Serverについて、IsolatedSubnets.txtをサーバのインストールディレクトリに移動します(デフォルトのインストールディレクトリは\Program Files (x86)\Tanium\Tanium Zone Server)。独自の構成を必要とするZone Serverについては、必要に応じてそのファイル内容を変更できます。

Tanium Applianceインフラストラクチャを利用して特定のサブネット上のクライアントを分離する

  1. Zone Serverアプライアンス上で、tanadminロールを持つユーザとしてTanOSコンソールにサインインします。
  2. tanadminメニュー2を入力し、[Tanium Operations (Taniumの操作)] メニューに移動します。閉じた表示画面
  3. 2を入力し、[Configuration Settings (設定)]メニューに移動します。閉じた表示画面
  4. 11を入力し、isolatedsubnets.txtファイルを編集します。閉じた表示画面
  5. このメニューを使用して、CIDR形式でサブネットを指定します。