プロキシサーバ設定を構成する

Tanium as a Service展開環境には、Taniumのモジュールが機能するために必要な接続先を許可するお客様固有のプロキシサーバが含むことができます。追加の接続先の許可を依頼する場合は、Taniumサポートに問い合わせる

一部の組織では、プロキシサーバを内部サーバとインターネット間のトラフィックに使用しています。組織がプロキシを使用しており、そのセキュリティポリシーがTanium Core Platformサーバがインターネットロケーションに直接アクセスすることを許可しない場合、プロキシを通してアクセスを設定できます。Tanium Serverは、インターネットに接続して、Taniumからはコンテンツアップデートをダウンロードし、また他の信頼済みサプライヤーからは必要なファイルをダウンロードします。Tanium Module Serverはインターネットに接続して、Taniumからモジュールソフトウェア更新をダウンロードします。個々のTaniumモジュールも、インターネットにアクセスする必要がある可能性があります。

Tanium Client 7.4またはそれ以降がHTTPSプロキシサーバ経由でTanium ServerまたはTanium Zone Serverに接続する設定については、「Tanium Client Managementユーザガイド: HTTPSプロキシサーバ経由で接続する」を参照してください。

[Configuration (構成)] > [Common (共通)] > [Proxy Settings (プロキシ設定)]ページを表示および使用できるのは、管理者予約ロールを持つユーザだけです。

Tanium Core Platformサーバがアクセスする外部サイト一覧は、『Tanium Core Platform展開リファレンスガイド:』を参照してください。必要なインターネットURLを参照してください。

送信先サーバは、証明書認証やユーザ認証など、独自の要件を持つ可能性があります。これらの要件に対する高度なオプションの構成については、TaniumサポートKB:TDownloaderを参照してください。

図1:プロキシサーバによるTanium展開

プロキシサーバの種類

Tanium Core Platformは、次の2種類のプロキシをサポートします。

  • ベーシック: 厳密にIPアドレスベースのプロキシサーバは、リストに指定したサーバがプロキシを経由してネットワークまたはインターネットにアクセスすることを許可します。 プロキシサーバのアクセスリストにTaaSTanium ServerおよびModule ServerのIPアドレスまたは完全修飾ドメイン名を追加します。プロキシサーバで認証が必要な場合は、アカウントIDとパスワードを設定してください。
  • NTLM: Microsoft NT LAN Manager(NTLM)を使用するようにプロキシサーバを構成していて、プロキシサーバを経由するのに十分なアクセス権限を持つサービスアカウントのコンテキストでTaaSTanium Serverサービスが実行されるように構成している場合、アカウントIDとパスワードを設定する必要はありません。

プロキシサーバの構成設定をする

ほとんどの場合、ベストプラクティスは以下のようにしてTanium Consoleを使用し、プロキシ設定を構成することです。ただし、Tanium Consoleにアクセスする前にプロキシ設定を構成する必要がある場合、Tanium ServerまたはModule Serverホストのプロキシ設定を構成できます。これについては、Tanium Core Platform展開参照ガイド:プロキシサーバの設定において説明されています。

プロキシサーバの構成は、Tanium Serverのホストの構成ファイルに保存されます。Tanium Serverはアクティブ/アクティブ展開環境で自動的には構成ファイルの同期をとりません。アクティブ/アクティブクラスタでこれらの設定を変更する場合は、必ず環境の両方のTanium Serverでこの手順を実行します。

  1. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Common (共通)] > [Proxy Settings (プロキシ設定)] に移動します。
  2. 以下のTanium Server Proxy Settings (Tanium Serverのプロキシ設定)を設定して、[Save (保存)] をクリックします
  3. 設定 説明
    プロキシサーバ プロキシサーバのIPアドレス。
    プロキシのユーザID プロキシサーバとの接続に使用されるアカウントのユーザ名。[Proxy Type (プロキシの種類)][Basic (ベーシック)]である場合、このフィールドは必須です。NTLMプロキシは、Tanium Serverサービスを実行するユーザコンテキストの資格情報を使用します。
    プロキシの種類 プロキシの種類を選択します。
    • [None (なし)](プロキシサーバの設定を無効化します)
    • ベーシック
    • NTLM
    ポート番号 プロキシサーバのポート番号。
    プロキシのパスワード プロキシサーバとの接続に使用されるパスワード。パスワードは、レジストリ内にクリアテキストで保存されます。
    プロキシホストリストのバイパス プロキシサーバを構成する場合は、指定ホストとの接続がプロキシサーバを経由しないように例外を構成する必要があります。

    たとえば、アクティブ/アクティブクラスタのTanium Server間のトラフィックにプロキシサーバを使用しないでください。

    プロキシサーバは、Tanium Serverを送信先とする他のトラフィックで問題で起こす可能性があります。たとえば、パッケージの構成では、Tanium Serverに対してローカルなファイルのURIを指定できます。そうしたURIではプロキシサーバをバイパスすることが重要です。

    この設定を使用して、プロキシサーバを使用しない送信先を指定します。たいていの場合、localhostと127.0.0.1、すべてのTanium Serverの名前とIPアドレスを指定します。

    例:

    ts1.example.com、ts2.example.com、localhost、127.0.0.1、10.10.10.11、10.10.10.15

    Tanium Core Platform 7.0.314.6242以降は、ワイルドカードを使用できます。

    CRLチェックホストリストをバイパス この設定を使用して、証明書失効リスト(CRL)をチェックすることなくTanium Serverが信頼するサーバをリストします。このリストにサーバが指定されていない限り、Tanium ServerはCRL検査を実行し、検査に不合格のサーバからはファイルをダウンロードしません。
    信頼済みホストリスト デフォルトでは、Tanium Serverは、接続を確立する時にリモートサーバのSSL/TLS証明書を検証します。特定のサーバの証明書検証をバイパスするには、そのFQDNまたはIPアドレスを入力します。Tanium Core Platform 7.0.314.6242以降は、ワイルドカードを使用できます。IPv6アドレスは角カッコに囲んで入力する必要があります(例:[2001:db8::1])。

    アクティブ/アクティブ展開では、Tanium Serverをリストに追加する必要はありません。サーバは自動的に相互に信頼し、127.0.0.1またはlocalhostからのトラフィックを信頼します。

    この設定を変更するにあたっては、Taniumサポートに問い合わせる参照してください。

    [Trusted Host List (信頼済みホストリスト)]および[Bypass CRL Check Host List (CRLチェックホストリストをバイパス)]を除き、Module Serverへのすべての変更をミラーします。 このオプションは、Module Serverが、Tanium Serverと共有されていない専用ホスト上にある場合にのみ表示されます。Tanium Serverプロキシ設定の値を[Module Server Proxy Settings (Module Serverプロキシ設定)]にコピーする場合、このオプションを有効化します。コピーされていない唯一の値は、[Bypass CRL Check Host List (CRLチェックホストリストのバイパス)][Trusted Host List (信頼済みホストリスト)]です。
  4. Module Server Proxy Settings (Module Serverプロキシ設定)を設定して、[Save (保存)] をクリックします。
  5. [Validate Proxy Settings (プロキシ設定の検証)]フィールドを構成し、[Start Download (ダウンロードを開始)]して、設定をテストします。
    設定説明
    Component (コンポーネント)[Tanium Server]または[Module Server]。
    File Source (ファイルソース)
    • From Tanium (Taniumから) - content.tanium.comとの接続には定義済みの設定を使用します。
    • From Random Site (ランダムサイトから) - www.msftncsi.comとの接続には定義済みの設定を使用します。
    • Specify URL/Hash (URL/ハッシュを指定) - 独自のテスト設定を構成します。
    URL[Specify URL/Hash (URL/ハッシュを指定)]を選択した場合は、URLを指定します。
    Hash (ハッシュ)[Specify URL/Hash (URL/ハッシュを指定)]を選択した場合、ハッシュを指定します。
    Download Time (ダウンロード時間)[Specify URL/Hash (URL/ハッシュを指定)]を選択した場合は、障害メッセージを返すまでの最大ダウンロード時間を指定します。

    Tanium Consoleは、成功または失敗を示すメッセージを返します。テストで問題が発生した場合は、プロキシサーバが動作しており、正しく構成されていることを確認してください。また、指定したTanium Consoleの設定が、プロキシサーバが想定している設定と一致していることを確認します。TDownloaderのログには詳細なイベントメッセージが記録されています(Tanium Core Platform展開参照ガイド:ログを参照)