Taniumの鍵の管理

Tanium as a Serviceは、Tanium Core Platformコンポーネント間の接続を保護するデジタルキーと証明書を自動的に管理します。

Taniumのキーの概要

TLS通信

Tanium™ Protocolは、図1に示すようにTLS 1.2を使用して、次のプラットフォームコンポーネント間の通信を暗号化します。

1 アクティブ/アクティブ展開環境のTanium Server間

TaniumデータベースのトラフィックやLDAP同期トラフィックなどのアクティブ/アクティブサーバ間の一部の通信では、Tanium ApplianceはTanium ProtocolではなくIPsecを使用します。

2 Tanium ServerとZone Server Hub間

図1は、Zone Server HubがTanium Serverホストとは別のホストにインストールされていて、接続が暗号化されている環境を示しています。ただし、たいていのWindows展開環境およびすべてのAppliance展開環境では、Tanium Serverと同じホストにハブをインストールします。

3 Zone Server HubとZone Server間
4 Tanium Client(外部)とZone Server間
5 Tanium Client(内部)とTanium Server間
6 Tanium Client間(外部と内部)

Tanium Client 7.4以降のみがTLSを使用してピア間のトラフィックを暗号化します。

図1:Tanium Protocol通信

Tanium Core Platform 7.4以降をインストールまたは7.4以降にアップグレードすると、デフォルトでは、プラットフォームコンポーネント間の通信に対してTLSが有効になります。TLSおよびTLSを有効/無効にする手順については、「Tanium Core Platform展開リファレンスガイド:TLS通信の構成」を参照してください。

TaniumのキーはTaniumのトラフィックのみを保護」を参照してください。ネットワークのエンドポイント間でTanium以外のトラフィックのセキュリティは、組織の公開キーインフラストラクチャ(PKI)によって管理します。

Taniumの鍵を管理するには管理者予約済みロールが必要です。

Tanium Protocolではなく、Hypertext Transfer Protocol Secure (HTTPS)を使用してTanium Core Platformのコンポーネント間の接続を保護するキーの管理については、「Tanium Core Platform展開リファレンスガイド:」を参照してください。Tanium Console、API、Module Serverへのアクセスのセキュリティ確保

Tanium Serverにインポートするコンテンツファイルの署名と認証に使用されるキーについての詳細は、「コンテンツファイルの認証」を参照してください。

Tanium Core Platformは、さまざまなTaniumモジュールと共有サービスが必要とする追加接続のTLSをサポートします。詳しくはTanium製品のユーザガイド(https://docs.tanium.com)を参照してください。

ルート鍵

Tanium Serverをインストールすると、公開/秘密ルート鍵ペアが自動的に生成されます。これらのルート鍵はTaniumの鍵インフラストラクチャの最上部にあり、Tanium Core Platformコンポーネント間をセキュアに接続するためのすべての従属する鍵に必要です。これらのコンポーネントがTanium Serverとのセキュアな通信を行えるよう、インストールまたはアップグレード時にZone Server、Zone Server Hub、Tanium Clientにルート公開鍵を展開します。

Tanium Serverは、Tanium ClientとのTLS通信用の独立したルート鍵ペアを、そのバージョンに基づいて使用します。新規インストールまたはアップグレード後の当初、Tanium Client 7.4以降ではサーバ名が<Tanium Server FQDN>Root 0 のルート公開キーを使用します(図3を参照)。バージョン7.4以降で新規作成するルート公開キーの名前はすべて、<Tanium Server FQDN> Root <#>の形式の一意のサーバ名です。Tanium Client 7.2のルート公開キーのサーバ名はlegacy-rootです。バージョン7.2の場合、新しい鍵を作成できません。

従属する鍵

Tanium Server、Zone Server、Zone Server Hub、およびTanium Clientは従属する鍵をローカルに生成し、個々の鍵ペアのデジタル署名を要求します。TLS通信には署名が必要です。Tanium Core Platformは、図2に示すように以下の下位キーを使用します。

  • TLS鍵: 各Tanium Core PlatformサーバおよびTanium ClientはTLS鍵を使用して他のサーバやクライアントとのTLS通信を行えるようにします。Tanium Serverはルート秘密鍵を使用してサーバTLS鍵用の署名を生成します。
  • メッセージ署名鍵:Tanium Serverはこれらの鍵を使用して、Tanium Clientに送信するメッセージ(アクションパッケージ向けなど)に署名します。Tanium Serverはルート秘密鍵を使用し、メッセージ署名鍵向けの署名を生成します。
  • 中間TLS鍵:中間TLS 秘密鍵は、Tanium ClientのTLS鍵の署名を生成するために使用されます。中間TLSキーペアは、展開環境にZone Serverがある場合はそのZone Serverに、それ以外の場合はTanium Serverに置かれます(図2を参照)。サーバは、署名と中間TLS公開鍵の両方を個々のクライアントに返し、TLS 通信を行えるようにします。この機能のルート鍵の代わりに中間TLS鍵を使用すると、クライアントの登録がより速くなり、CPU集中も抑制されます。セキュリティを確保するために、ルート鍵から切り離して中間鍵をローテーションさせることができます。
図2:Taniumの鍵

ルート公開キーのコピーは、Zone Server HubがTanium Serverと同じホストまたは専用ホストのどちらににインストールされているかに関係なく、Zone Server Hubのインストールディレクトリに置かれます(図2を参照)。

Tanium Core Platformサーバ間の通信を有効化するには、信頼も有効化する必要があります。詳しくはTanium Serverの信頼の管理およびZone Serverとハブの管理を参照してください。

鍵のローテーション

ルート鍵は期限切れにはなりませんが、ルート鍵をローテーションする、つまり、新しい鍵を生成して古い鍵を破棄することができます。鍵のローテーションは、組織が鍵の定期的なローテーションに関するポリシーを策定している場合、あるいはアクティブな鍵のセキュリティが疑わしい場合に役立ちます。アクティブなルート鍵のセキュリティが疑わしい場合、ローテーションをすぐに行ってください。

組織に鍵のローテーションに関するポリシーがない場合、ベストプラクティスは年に1回以上、6か月に1回未満でルート鍵のローテーションを行うことです。

Tanium Client 7.2のルート鍵のローテーションは行えません。Tanium Consoleはサーバ値のlegacy-rootで7.2のルートキーを識別します(図3を参照)。

ルート秘密鍵のセキュリティを確保するため、Tanium Consoleはルート公開鍵のみを表示します。ただし、公開鍵を生成するか無効化すると、Tanium Serverは自動的に秘密鍵を生成および無効化します。さらに、ルート鍵をローテーションさせると、Tanium Core Platformは自動的にすべての従属する鍵をローテーションさせます。ルート鍵をローテーションさせるか否かに関係なく、従属する鍵は自動的に設定可能な間隔でローテーションされます。

次の手順は、鍵のローテーションに関するワークフローをまとめたものです。

  1. (オプションのベストプラクティス)個々のTanium Serverにおいて、ルート鍵、Tanium ServerのTLS鍵、メッセージ署名鍵を含むpki.dbファイルを暗号化します。これは、鍵への不正アクセスを防ぐために実行する1回限りのタスクです。ルート鍵データベースを暗号化するを参照してください。
  2. (オプションのベストプラクティス)サーバが後に回復不可能な損傷に見舞われる場合に備え、個々のTanium Serverに存在するpki.dbファイルをバックアップします。ルート鍵をローテーションさせる場合には必ずこれを行ってください。ルート鍵をバックアップするを参照してください。
  3. 組織が鍵ローテーションポリシーを策定している場合、従属する鍵がポリシーに適合するように自動的なローテーションを設定してください。これは、ポリシーが変更されない限り、1回限りのタスクです。下位キーのローテーションを設定するを参照してください。
  4. 新しいルート公開鍵を生成します。Tanium Serverは対応する新しい秘密鍵を自動で生成し、従属する新しい鍵の作成をトリガーします。ルート鍵を生成するを参照してください。

    ベストプラクティスとして、古いルート鍵を取り消す前に1週間待ち、すべてのTanium Core Platformコンポーネント用の新しい鍵の生成プロセスが終了するのを確認します。取り消すと、このプロセスを終了しなかったすべてのコンポーネントについて、新しい鍵を生成するためにさらに多くの処理リソースとネットワークトラフィックが費やされることになります。ただし、ルート鍵のセキュリティが疑わしい場合、新しい鍵の生成後すぐに古いキーを取り消します。

  5. 古いルート公開鍵を取り消します。Tanium Serverは、関連する秘密鍵を自動的に取り消し、古いルート鍵および従属する鍵に関する取り消し指示をすべてのTanium Core Platformコンポーネントに伝えます。詳細についてはルート鍵を取り消すを参照してください。

ルート鍵の情報を表示する

[Administration (運用管理)] > [Configuration (設定)] > [Tanium Server] > [Root Key Management (ルートキーの管理)] ページには、有効なルート公開キーごとにタイルが1つ表示されます。また、取り消されたキーの取り消し詳細を記載したグリッドも表示されます。アクティブ/アクティブ展開環境の場合、このページには両方のTanium Server用のキーが表示されますが、表示されるのは、両者の間の信頼関係が承認された後でのみです(「Tanium Serverの信頼の管理」を参照)。鍵は、その鍵のハッシュダイジェストである個々の[Fingerprint (指紋)]によって、また、サーバの値によって同定できます。Tanium ServerがTanium Client 7.2とのTLS通信に使用するルート公開鍵はlegacy-rootサーバ値を有しています。他のすべての鍵は、Tanium Core PlatformサーバとTanium Client 7.4以降とのTLS通信に使用されます。

図3:Taniumルート公開鍵

ルート鍵データベースを暗号化する

不正アクセスを防止するためのベストプラクティスとして、Tanium Serverがpki.dbファイルに保存しているルート鍵を暗号化するパスワードを指定します。アクティブ/アクティブ展開環境の各Tanium Server上で次のタスクを実行します。

Tanium Consoleは、設定するほとんどの設定の値を表示します。ただし、セキュリティを確保するため、コンソールは暗号化パスワードを表示しません。ただし、手動で明らかにする場合を除きます。 保護されたTanium Serverの設定を表示するを参照してください。

暗号化パスワードを設定する

PKIDatabasePassword設定を追加してルート鍵を暗号化します。

  1. メインメニューから [Administration (運用管理)] >  [Management (管理)] >  [Local Settings (ローカル設定] に移動し、[New Setting (新規設定)] をクリックします。
  2. [Setting Name (設定名)]にはPKIDatabasePasswordを入力します。
  3. [Setting Value (設定値)]にはパスワードを入力します。
  4. [Value Type (値の種類)] をprotectedに設定し、[Save (保存)] をクリックします。

パスワードは安全な場所に保管してください。

暗号化パスワードを変更する

PKIDatabasePassword設定を追加した後に、以下の方法でパスワードを変更することができます。

  1. メインメニューから [Administration (運用管理)] > [Management (管理)] > [Local Settings (ローカル設定)] に移動します。
  2. PKIDatabasePassword設定を選択します。
  3. [Edit (編集)] をクリックし、[Setting Value (設定値)] に新しいパスワードを入力して、[Save (保存)] をクリックします。

ルート鍵をバックアップする

ルート鍵をローテーションさせる際のベストプラクティスとして、最初にルート鍵を含むpki.dbファイルをバックアップし、さらに、そのファイルを暗号化した場合にはその関連パスワードもバックアップします。Tanium Serverに障害が発生した場合、このバックアップを使用できます。<Tanium_Server>/backupsフォルダのpki.dbファイルを、バックアップを保管しているホストにコピーし、安全な場所にパスワードを保存します。アクティブ/アクティブ展開環境のTanium Serverのそれぞれに次のタスクを実行します。

また、Tanium Server上でバックアップpki.dbを復元する場合、関連するTaniumデータベースも復元してTanium ClientがそのTanium Serverに接続できるようにしなければなりません。したがって、pki.dbをバックアップする際には必ずTaniumデータベースをバックアップしてください。

ルート鍵を生成する

Tanium Serverごとに最大で2つのアクティブな公開-秘密ルート鍵ペアを生成できます。アクティブ/アクティブ展開環境の各Tanium Serverでこのタスクを実行します。

  1. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Tanium Server] > [Root Key Management (ルートキーの管理)] に移動します。
  2. 新しい公開-秘密ルート鍵ペアが要求されるTanium Serverの名前の横にある[Create Key (鍵を作成)]をクリックします。[Root Key Management (ルート鍵の管理)]ページには、ルート公開鍵の詳細が新しいタイルに表示されます。

ルート鍵を取り消す

Tanium Core Platformコンポーネント間の通信が中断しないようにするために、最初に新しい鍵ペアを生成して置き換えるまでルート鍵ペアを取り消すことはできません。古いルートキーペアを取り消す前に鍵のローテーションのワークフローを確認します。アクティブ/アクティブ展開環境の両方のTanium Serverでキーを取り消す必要があります。次の方法で鍵を取り消します。

  1. (アクティブ/アクティブ展開環境の場合のみ) キーを取り消すTanium Serverに有効なルートキーペアが1つしかない場合は、そのキーを取り消す前にそのサーバの信頼関係を取り消す必要があります。「Tanium Server間の信頼関係を取り消す」を参照してください。
  2. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Tanium Server] > [Root Key Management (ルートキーの管理)] に移動します。
  3. [Active Root Keys (アクティブなルート鍵)]セクションで、公開鍵のタイルの[Revoke (取り消し)]をクリックし、プロンプトが表示されたら操作を確認します。

インフラストラクチャ設定ファイル(鍵)をダウンロードする

Zone Server、Zone Server Hub、Tanium Clientは、Tanium Serverを認証してTanium Serverとの通信を有効化しなければなりません。サーバおよびクライアントのバージョン7.4は、認証に向けた 初期化バンドル(tanium-init.dat)内にある鍵(ルート公開鍵を含む)を使用します。Tanium Client 7.2は、認証にルート公開キー(tanium.pub)のみを使用します。Tanium Serverから初期化ファイルまたは公開鍵ファイルをダウンロードすることにより、Tanium Client、Zone Server、Zone Server Hubにファイルを展開できます。

tanium-init.datおよびtanium.pubファイルを、一般アクセス可能なソースコードリポジトリや公共のインターネットからアクセス可能なその他の場所などの組織の外部に配布および保存することを許可することのないよう注意してください。Tanium Clientの展開では配布を特定の用途に限定します。

これらのファイルには秘密キーは含まれておらず、Tanium環境を制御するために使用することはできませんが、悪意のあるユーザは、これらのファイルを使用して未承認のクライアントを接続し、この不正アクセスを使用して、組織がTaniumをどのように使用しているかを知ることができます。

サーバおよびクライアントのバージョン7.4以降では、新規インストールにtanium-init.datが必要です。アップグレードしていて、さらに7.2クライアントを展開する場合は、tanium.pubを使用します。アップグレードし、新規に7.4クライアントを展開する場合、ベストプラクティスはtanium-init.datを使用することです。

  1. (アクティブ/アクティブ展開環境のみ) アクティブ/アクティブ展開環境のTanium Server間の信頼関係をまだ有効にしていない場合は、有効にします。信頼の確立にあたり、サーバは必要な鍵を交換し、各サーバ上のtanium-init.datファイルに両サーバの公開鍵が含まれるようにします。詳しくはTanium Serverの信頼の管理を参照してください。
  2. (Tanium Client 7.2のみ) Tanium Client 7.2が認証に使用するTaniumプロトコルを有効にします。
    1. メインメニューから [Administration (管理)] >  [Management (管理)] > [Global Settings (グローバル設定)] に移動します。
    2. enable_protocol_314_flagを選択し、[Edit (編集)] をクリックします。
    3. [Setting Value (設定値)] を1に設定し、[Save (保存)] をクリックします。
  3. メインメニューから[Administration (運用管理)] >  [Configuration (構成)] > [Tanium Server] > [Infrastructure Configuration Files (インフラストラクチャ構成ファイル)] に移動します。
  4. 必要なファイルに従って、[Client v7.4+とZone Server] または[Client v7.2] セクションで [Download (ダウンロード)] をクリックします。インフラストラクチャ設定ファイル
  5. オプションで、デフォルトのファイル名を変更し、OKをクリックします。

    ファイルは、Tanium Consoleへのアクセスに使用するシステムのDownloadsフォルダに表示されます。

tanium-init.datまたはtanium.pubを展開するには、関連するユーザガイドを参照してください。

  • Tanium ClientTanium Client Managementユーザガイドを参照してください。
  • Zone Serverおよびハブhttps://docs.tanium.comへアクセスし、[Tanium Core Platform Servers (Tanium Core Platformサーバ)]を検索して展開ガイドを見つけます。Zone ServerとHubのインストールまたはアップグレードに関連するタスクを実行します。

下位キーのローテーションを設定する

Tanium Core Platformのコンポーネントは、ローテーションの時期が到来したら従属する新しい鍵ペアを自動で生成します。たとえば、Tanium Clientは、デフォルトでそれぞれ7日間の有効期間(有効期限の間隔)が終了する4時間前(更新ウィンドウ)に個々のTLS鍵を更新します。更新ウィンドウによって、コンポーネントが最新の鍵の有効期限切れ前にTanium環境における信頼を再確立できる十分な時間を確保できます。有効期間と更新ウィンドウを設定し、組織のポリシーに一致させます。組織においてポリシーが策定されていない場合、デフォルトのウィンドウと有効期間を使用することがベストプラクティスです。各タイプの従属する鍵ペアについて次の手順を実行します。

  1. メインメニューから[Administration (運用管理)] > [Management (管理)] > [Global Settings (グローバル設定)] に移動して、グリッド内の設定を選択します(表1を参照)。
  2. [Selected System Setting (選択されたシステム設定)]ペインで[Edit (編集)]をクリックします。
  3. [Setting Value (設定値)]において、適切な有効期間または更新ウィンドウを入力します。
  4. 選択した設定に基づいて、[Affects (影響)] ドロップダウンメニューからオプションを選択します。
    • PKIClientTLSKeyRenewalWindowHours[Client (クライアント)]を選択します。
    • その他のすべての設定:[Server (サーバ)]を選択します。
  5. [Save (保存)] をクリックします。
 表1:鍵のローテーションの設定
設定 ガイドライン
pki_server_tls_key_duration_days 他方のTanium Server (アクティブ/アクティブ展開環境の場合)、またはZone Server Hub、Tanium Client (Zone Serverのない展開環境の場合)とのTLS通信にTanium Serverが使用するキーペアの有効期限。デフォルトは60日です。
pki_server_tls_key_renewal_window_hours 他方のTanium Server (アクティブ/アクティブ展開環境の場合)、またはZone Server Hub、Tanium Client (Zone Serverのない展開環境の場合)とのTLS通信にTanium Serverが使用するキーペアの更新時間枠。デフォルトは4時間です。
pki_message_signing_key_duration_days Tanium Serverが、Tanium Clientに送信する(アクションパッケージ向けなどの)メッセージに署名するために使用する鍵ペアの有効期間。デフォルトは180日です。
pki_message_signing_key_renewal_window_hours Tanium Serverが、Tanium Clientに送信する(アクションパッケージ向けなどの)メッセージに署名するために使用する鍵ペアの更新ウィンドウ。デフォルトは4時間です。
pki_hub_tls_key_duration_days Zone Server HubがTanium ServerとZone ServerとのTLS通信に使用する鍵ペアの有効期間。デフォルトは60日です。
pki_hub_tls_key_renewal_window_hours Zone Server HubがTanium ServerとZone ServerとのTLS通信に使用する鍵ペアの更新ウィンドウ。デフォルトは4時間です。
pki_zoneserver_tls_key_duration_days Zone ServerがZone Server HubとTanium ClientとのTLS通信に使用する鍵ペアの有効期間。デフォルトは60日です。
pki_zoneserver_tls_key_renewal_window_hours Zone ServerがZone Server HubとTanium ClientとのTLS通信に使用する鍵ペアの更新ウィンドウ。デフォルトは4時間です。
pki_client_tls_ca_key_duration_days Zone Serverまたは(Zone Serverなしの展開における)Tanium Serverが新しいTLS鍵ペアの生成時にTanium Client向けにデジタル署名を提供するために使用する鍵ペアの有効期間。デフォルトは180日です。
pki_client_tls_ca_key_renewal_window_hours Zone Serverまたは(Zone Serverなしの展開における)Tanium Serverが新しいTLS鍵ペアの生成時にTanium Client向けにデジタル署名を提供するために使用する鍵ペアの更新ウィンドウ。デフォルトは168時間(7日間)です。
pki_client_tls_key_duration_days Tanium Clientが相互に、および(Zone Serverなしの展開における)Zone ServerまたはTanium ServerとのTLS通信に使用する鍵ペアの有効期間。デフォルトは7日です。
PKIClientTLSKeyRenewalWindowHours Tanium Clientが相互に、および(Zone Serverなしの展開における)Zone ServerまたはTanium ServerとのTLS通信に使用する鍵ペアの更新ウィンドウ。デフォルトは4時間です。