Zone Serverとハブの管理

Tanium as a Serviceは、Tanium Core Platformコンポーネント間で自動的に信頼関係を確立および管理します。

ネットワークセキュリティポリシーで、信頼関係のない外部ネットワーク内上のTanium ClientがTanium Serverとの接続を開始することを許可していない展開環境では、DMZにTanium Zone Serverを展開して、クライアントとTanium Server間の通信をプロキシ経由にすることができます。この場合、Tanium ServerはTanium Zone Server Hub経由でZone Serverと通信します。Tanium Serverとハブが通信できるよう、両方のサーバとハブの間の信頼関係を有効にする必要があります。また、信頼関係のあるZone Serverのみがハブと通信するよう各Zone Serverをハブにマッピングする必要もあります。アクティブ/アクティブ展開環境では、Tanium ServerとZone Server、Hubごとに信頼関係を有効にして、マッピングを設定します。

Zone Serverのデプロイ

Tanium™ Appliance展開環境では、Zone Server Hubは必ずTanium Serverにインストールします。Windows展開環境では、通常、ハブはTanium Serverにインストールしますが、専用ホストにインストールすることもできます。

Zone Serverとハブの詳細、およびそれらのインストール手順については、「Tanium Core Platform展開ガイド - Windows: Tanium Zone Server」を参照してください。。

以降の手順では、以下のユースケースに対応しています。

  • Tanium Core Platform 7.3以前のバージョンからアップグレードしましたが、信頼を有効化してマッピングを設定しなければなりません。なぜなら、バージョン7.4以降においてサーバでそれらが要求されるからです。
  • Tanium Server、Zone Server、Zone Server Hubの新規インストールを完了させており、現在、信頼を有効化してマッピングを設定する必要があります。
  • Zone ServerまたはZone Server Hubを既存の展開に追加しなければなりません。
  • Zone ServerまたはZone Server Hubを置き換える必要があります。この場合、信頼状態を取り消し、古いハブのマッピングを削除し、新しいハブの信頼を有効化してマッピングを設定する必要があります。

Zone Serverとハブ間の信頼とマッピングを管理するには、Administrator予約済みロールが必要です。

信頼関係を確立してマッピングを構成する

準備

Tanium Server、Zone Server、Zone Server Hubをインストールします。手順については、Tanium Core Platform Servers (Tanium Core Platformサーバ)の下にあるTaniumインフラストラクチャに関する展開ガイドを参照してください。Zone Server Hubを追加すると、Tanium Consoleによって [Administration (運用管理)] > [Configuration (構成)] > [Tanium Server] > [Zone Server Hub Trust (Zone Server Hubの信頼関係)] ページに自動的にタイルとして表示されます。

アクティブ/アクティブ展開環境のそれらのTanium Serverで、以下のタスクを記載順に実行します。

Zone Server Hubの信頼を承認する

各Zone Server Hubに対して、次の手順を実行します。

Zone Server Hubをバージョン7.3以前からアップグレードした場合、そのハブは信頼が承認された後にZoneServerList.txtファイルをZone Serverマッピングに移行させます。

  1. 後のステップで信頼関係を確立する前にIDを確認できるよう、Zone Server Hubの登録フィンガープリントを表示します。

    アプライアンスの展開:

    1. tanadminロールを持つユーザとして、Zone Server HubアプライアンスのTanOSコンソールにログインします。
    2. @を入力して [About the Appliance (アプライアンス情報)] ページを開き、[TZS Hub Registration Fingerprint (TZS Hubの登録フィンガープリント)] フィールドの値をメモします。閉じた表示画面

    Windowsの展開

    1. Zone Server HubのCLIにサインインします。
    2. Zone Server Hubインストールディレクトリ(例:\Program Files (x86)\Tanium\Tanium ZoneServer)に移動します。

      > cd <Zone Server>

    3. Zone Server Hubの登録フィンガープリントを表示します。

      > TaniumZoneServer pki show-registration-fingerprint

  2. Tanium ServerのTanium Consoleにサインインします。
  3. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Tanium Server] > [Zone Server Hub Trusts (Zone Server Hubの信頼関係)] に移動します。

    このページにはインストールした個々のZone Server Hubのタイルが表示されます。

  4. [Fingerprint (フィンガープリント)] およびそのIP アドレスまたはFQDNで個々のZone Server HubのIDを検証します。

    Zone Server Hubの識別子が誤っている場合、そのハブを廃止してからその信頼を拒否します。拒否された信頼は、ハブの特定のインスタンスにおいて不可逆的です。その後、信頼を承認するには、ハブをアンインストールして再インストールし、新しいフィンガープリントを生成できるようにします。

  5. Zone Server Hubのタイルで、[Accept (承認)] をクリックし、[Confirm (確定)] をクリックします。
  6. ハブの詳細が正しいことを確認して、[Accept (承認)] をクリックし、サインインパスワードを入力して、[OK] をクリックします。

    [Zone Server Hub (Zone Serverハブ)]タイルにおいて、信頼の[Status (ステータス)][Approved (承認済み)]に変更されます。

Zone ServerからZone Server Hubへのマップ

Zone Server Hubの信頼を承認したら、各Zone Serverについて次の手順を実行します。アクティブ/アクティブ展開環境では、両方のZone Serverを各Zone Server Hubにマッピングします。

  1. 後のステップで信頼関係を確立する前にIDを確認できるよう、Zone Serverの登録フィンガープリントを表示します。

    アプライアンスの展開:

    1. tanadminロールを持つユーザとして、Zone ServerアプライアンスのTanOSコンソールにログインします。
    2. @と入力して [About the Appliance (Appliance情報)] ページを開きます。[TZS Registration Fingerprint(TZSの登録フィンガープリント)] フィールドの値をメモします。閉じた表示画面

    Windowsの展開

    1. Zone ServerのCLIにサインインします。
    2. Zone Serverのインストールディレクトリに移動します(例:\Program Files (x86)\Tanium\Tanium ZoneServer)。

      > cd <Zone Server>

    3. Zone Serverの登録フィンガープリントを表示します。

      > TaniumZoneServer pki show-registration-fingerprint

  2. Tanium Consoleにサインインします。
  3. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Tanium Server] > [Zone Server Hub Trusts (Zone Server Hubの信頼関係)] に移動します。
  4. Zone Server Hubタイルにおいて[Add Zone Server (Zone Serverの追加)]をクリックします。
  5. Zone ServerのIP アドレスまたはFQDNを入力します。Zone Server Hubからのトラフィックに向けてデフォルトの17472ではないポートを使用するようにZone Serverを設定した場合、そのポートを<[FQDN] | [IP address]>:<port>の形式で指定しなければなりません(例:zs1.example.com:17473または192.168.2.1:17473)。

    Zone Server HubとTanium Clientからのトラフィックに別々のポートを設定することは、Zone Serverのセキュリティを改善するためのベストプラクティスです。詳しくはWindows用Tanium Core Platform展開ガイド:Zone Server HubおよびTanium Clientからのトラフィックのポートを設定するを参照してください。

  6. [OK] をクリックし、サインインパスワードを入力して、再度 [OK] をクリックします。

    Tanium Consoleは、マッピングの表示に数分かかる場合があります。すると、Zone Serverタイルにおいて、マッピングの[Status (ステータス)](Pending [保留中])が表示されます。マッピングはまた、[Zone Servers to Zone Server Hub Mappings (Zone ServerからZone Server Hubへのマッピング)]グリッドにも表示されます。

  7. [Zone Server]タイルにおいて[Accept/Deny (承認/拒否)]をクリックし、マッピングのワークフローを開始します。
  8. [Fingerprint (フィンガープリント)]  およびそのIP アドレスまたはFQDNで個々のZone ServerのIDを検証します。

    Zone Serverの識別子が誤っている場合、そのサーバを廃止してからその信頼を拒否します。

  9. [Accept (承認)] をクリックし、サインインパスワードを入力して、[OK] をクリックします。

    [Zone Server (Zone Server)]タイルにおいて、マッピングの[Status (ステータス)][Approved (承認済み)]に変更されます。

信頼を取り消し、マッピングを削除する

Zone Server Hubのひとつを置き換える必要がある場合、古いハブの信頼状態とZone Serverのマッピングを取り消し、新しいハブの信頼とマッピングを確立します。Zone Serverを置き換える必要がある場合、そのハブのマッピングを削除し、新しいZone Serverのマッピングを作成します。アクティブ/アクティブ展開環境の各Tanium Serverでこれらのタスクを実行します。

Zone Server Hubを取り消す

  1. Tanium ServerのTanium Consoleにサインインします。
  2. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Tanium Server] > [Zone Server Hub Trusts (Zone Server Hubの信頼関係)] に移動します。

    このページには個々のZone Server Hubのタイルが表示されます。

  3. Zone Server Hubのタイルで、[Revoke (取り消し)] をクリックし、サインインパスワードを入力して、[OK] をクリックします。

    Zone Server Hubセクションにそのハブのタイルは表示されなくなります。

Zone Serverを取り消す

  1. Tanium ServerのTanium Consoleにサインインします。
  2. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Tanium Server] > [Zone Server Hub Trusts (Zone Server Hubの信頼関係)] に移動します。

    このページには個々のZone Serverのタイルが表示されます。

  3. Zone Serverのタイルで、[Revoke (取り消し)] をクリックし、サインインパスワードを入力して、[OK] をクリックします。

    Zone Serverセクションにそのハブのタイルは表示されなくなります。

Zone Server HubからZone Serverへのマッピングを削除する

  1. Tanium ServerのTanium Consoleにサインインします。
  2. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Tanium Server] > [Zone Server Hub Trusts (Zone Server Hubの信頼関係)] に移動します。

    [Zone Servers to Zone Server Hub Mappings (Zone ServerからZone Server Hubへのマッピング)]グリッドは各マッピングのエントリを持っています。

  3. マッピングを選択して、[Delete Mapping (マッピングの削除)] をクリックし、サインインパスワードを入力して、[OK] をクリックします。