システム要件
Tenable Core + OT Security または OT Security センサー をインストールして実行するには、アプリケーションとシステムが次の要件を満たしている必要があります。
ヒント: OT Security では、事前にイメージ処理された状態で直接出荷されるターンキーアプライアンスを提供しています。このオプションを選ぶと、使用とデプロイがはるかに容易になり、価値実現までの時間が速まります。ただし、独自のハードウェアを調達して、それに ISO イメージを適用することもできます。自前で用意するまたは弊社のものを使用するいずれの場合でも、Tenable OT ハードウェア仕様をガイドラインまたはベストプラクティスと見なしてください。OT Security のすべてのコンポーネント、ICP EM、センサーは、仕様を満たしているどのハードウェアでも実行できます。
注意: Tenable は、Tenable Core の 1 つのインスタンスに複数のアプリケーションをデプロイすることを推奨していません。Tenable Core に複数のアプリケーションをデプロイする場合は、アプリケーションごとに一意のインスタンスをデプロイしてください。
注意: インストール中またはデプロイメント中に問題が発生した場合でも、ご使用のホストオペレーティングシステムに関連する問題については、Tenable サポート でサポートすることはできません。
環境 | Tenable Core ファイル形式 | 追加情報 | |
---|---|---|---|
仮想マシン | VMware | .ova ファイル | |
Microsoft Hyper-V | .zip ファイル | ||
ハードウェア Tenable 提供のハードウェア |
.iso イメージ |
注意: パッケージを使用して他の環境で Tenable Core を実行することもできますが、Tenable はその手順に関するドキュメントを提供していません。
OT Security ハードウェア要件
特に OT Security または OT Security センサー のハードウェア要件について詳しくは、General Requirements Guide の Tenable OT Security Hardware Specifications (Tenable OT Security ハードウェア仕様) を参照してください。
OT Security 仮想ハードウェア要件
エンタープライズネットワークでは、そのパフォーマンス、容量、プロトコル、アクティビティが多岐にわたります。デプロイメントにあたり検討すべきリソース要件には、ネットワーク理論速度、監視対象ネットワークの規模、アプリケーションの設定などがあります。
次のチャートは、仮想環境で Tenable Core + OT Security を運用するための基本的なガイドラインを示しています。
Tenable Core + OT Security には、AVX および AVX2 を搭載した CPU (例: Intel Haswell 以降など) が必要です。
インストールシナリオ | CPU コア | メモリ | ディスク容量 |
---|---|---|---|
仮想マシン | 8 コア | 16 GB RAM | 200 GB |
Tenable では、最高のパフォーマンスを実現するために、ダイレクトアタッチストレージ (DAS) デバイス、できればソリッドステートドライブ (SSD) に OT Security をインストールすることを推奨しています。Tenable は、長期間使用できるように、1 日あたりのドライブ書き込み数 (DWPD) レーティングが高いソリッドステートストレージ (SSS) の使用を強くお勧めします。
Tenable は、ネットワークアタッチストレージ (NAS) デバイスへの OT Security のインストールをサポートしていません。このようなケースでは、ストレージのレイテンシが 10 ミリ秒以下のストレージエリアネットワーク (SAN)、または Tenable ハードウェアアプライアンスを代わりに使用すると良いでしょう。
エンタープライズネットワークでは、そのパフォーマンス、容量、プロトコル、アクティビティが多岐にわたります。デプロイメントにあたり検討すべきリソース要件には、ネットワーク理論速度、監視対象ネットワークの規模、アプリケーションの設定などがあります。プロセッサ、メモリ、ネットワークカードの選択は、これらのデプロイメント設定に大きく依存しています。必要なディスク容量は、データ量やシステムにデータを保存する期間に基づく使用状況によって異なります。
OT Security は、監視対象トラフィックのフルパケットキャプチャを実行する必要があります。また、OT Security が保存するポリシーイベントデータのサイズは、デバイスの数と環境の種類によって異なります。
圧縮係数 0.25 に基づいた 1 日あたりのストレージ要件 (GB/日) は、トラフィックレート (Mbps) * 2.7 で計算できます。
2 つのセンサーがそれぞれ 23 Mbps の SPAN トラフィックを受信する場合、1 日あたりのストレージ要件 (GB/日) は、(23*2)*2.7=124 GB と計算し、これがトラフィックストレージの 1 日の容量になります。
最大 SPAN/TAP スループット (Mbps) | CPU コア1 | メモリ (DDR4) | ストレージ要件 | ネットワークインターフェース |
---|---|---|---|---|
50 Mbps 以下 | 4 | 16 GB RAM | 128 GB | 最小 4 x 1 Gbps |
50 ~ 150 Mbps | 16 | 32 GB RAM | 512 GB | 最小 4 x 1 Gbps |
150 ~ 300 Mbps | 32 | 64 GB RAM | 1 TB | 最小 4 x 1 Gbps |
300 Mbps ~ 1 GB | 32-64 | 128 GB RAM 以上 | 2 TB 以上 | 最小 4 x 1 Gbps |
OT Security では、次のようにマウントされたパーティションを使用します。
パーティション | コンテンツ |
---|---|
/ | オペレーティングシステム |
/opt | アプリケーションおよびデータベースファイル |
/var/pcap | パケットキャプチャ (フルパケットキャプチャ、イベント、クエリ) |
標準インストールプロセスでは、これらのパーティションを同じディスクに配置します。Tenable では、スループットを向上させるために、これらを別々のディスクのパーティションに移動することを推奨しています。OT Security はディスクを集中的に使用するアプリケーションなので、SSD などの読み取り/書き込み速度の速いディスクを使用すると、最高のパフォーマンスが得られます。お客様が用意するハードウェアへのインストールで OT Security のパケットキャプチャ機能を使用する場合、Tenable は、DWPD レーティングが高い SSD の使用を推奨しています。
ヒント: 独立ディスクの冗長配列 (RAID 0) を付けて設定されているハードウェアプラットフォームに OT Security をデプロイすると、パフォーマンスが大幅に向上します。
ヒント: Tenable は、大企業のお客様にも RAID ディスクを必須条件にはしていません。しかし、100 万件以上の脆弱性を管理するお客様でより高速な RAID ディスクを使用した事例では、クエリの応答時間が数秒から 1 秒未満に短縮されました。
OT Security をインストールする前に、デバイスに 2 つ (以上) のネットワークインターフェースが存在している必要があります。Tenable はギガビットインターフェースの使用を推奨しています。VMWare OVA はこのようなインターフェースを自動的に作成します。ISO (Hyper-V など) をインストールする時は、これらのインターフェースを手動で作成します。
注意: Tenable は、10 G ネットワークカードの使用で SR-IOV をサポートしておらず、10 G ネットワークカードを使用しても 10 G の速度は保証されていません。
-
OT Security が必要とする EM 用の NIC は 1 つのみです。
-
OT Security では、ICP 用とセンサー用に最低 2 つの NIC が必要です。
-
OT Security では、ICP/EM/センサーに静的 IP アドレスを使用する必要があります。
-
センサーと ICP の両方を、複数の SPAN インターフェースを監視するように設定できます。
ハードウェアまたは仮想環境に Tenable Core + OT Security をインストールした場合、nic0 (192.168.1.5) と nic3 (192.168.3.3) に静的 IP アドレスが設定されます。他のネットワークインターフェースコントローラー (NIC) は DHCP を使用します。
VMware に Tenable Core + OT Security をデプロイした場合、nic3 (192.168.3.3) に静的 IP アドレスが設定されます。他の NIC は DHCP を使用します。Tenable Core + OT Security nic1 MAC アドレスが、VMware パッシブスキャン設定の NIC MAC アドレスと一致することを確認してください。必要なら、VMware の設定を変更して Tenable Core MAC アドレスと一致させてください。
詳細については、Manually Configure a Static IP Address (静的 IP アドレスの手動設定)、Manage System Networking (システムネットワークの管理)、および VMware のドキュメントを参照してください。