Initech 社のケーススタディ

Initech 社は、30 以上の子会社、40,000 人のユーザー、60,000 個のデバイス、および 15 万以上のアクティブな IP を擁する大規模なフェデレーション環境全体に Tenable Security Center を複層式でデプロイメントしていました。Initech 社は、米国各地にある拠点に 75 個を超えるスキャナーを配置し、毎週ネットワーク脆弱性評価を行っていました。

Initech 社のレポート要件には、システムの評価をより頻繁に行うこと、およびユーザーのノートパソコンが持ち出されている間もリモートでデータを収集できるようにすることが含まれていました。Initech 社はこのタスクを完遂するために 50,000 を超える Tenable Agents をデプロイしました。そして、Tenable Nessus ManagerTenable Vulnerability Management の両方でハイブリッドモデルを使用し、分析とレポートのためにデータを Tenable Security Center にフィードしました。

このケーススタディは、Initech 社が Tenable Agents のデプロイを進める際に実装された、設定に関する主な考慮事項をハイライトしています。

目的

Tenable Agent プロジェクトの成功を測定するために Initech 社が定めた主な目標は、データをより頻繁に収集し、リモートシステムを評価し、分散している大規模なエンタープライズ全体の認証情報管理の負荷を軽減することでした。

ソリューション

このエンタープライズ環境のエージェントには、Tenable Nessus ManagerTenable Vulnerability Management のハイブリッドデプロイメントが使用されました。Tenable Vulnerability Management はユーザーワークステーションの Tenable Agent スキャン操作に必須で、Tenable Nessus Manager はサーバーおよびその他の恒久的なオンプレミスインフラに使用しました。

  • Tenable Vulnerability Management のスケーリング機能、アップタイム保証、クラウドの柔軟性を利用して、絶えず変化するワークステーション環境の動的要件に対応しました。
  • オンプレミスソリューションに Tenable Nessus Manager を使用して、サーバーインフラなどのより機密性の高いシステムのスキャンデータをより詳細に制御できるようにしました。

Initech 社は、既存の Tenable Security Center インフラを利用して、エージェントスキャンデータを Tenable Nessus Manager および Tenable Vulnerability Management から Tenable Security Center にインポートして統合されたレポート作成と分析を行うことで、脆弱性管理プログラムの目標を達成しました。

エージェントのデプロイメント (Tenable Nessus ManagerTenable Vulnerability Management)

Tenable Nessus Manager の主な目的は、オンプレミスインフラ (10,000 システム) のエージェント管理とエージェントスキャン操作を実行することでした。一方、Tenable Vulnerability Management はユーザーワークステーション (40,000 システム) のエージェント管理とスキャン操作に使用されていました。

実行される機能

  • デプロイされたエージェントは、システムタイプに応じて Tenable Nessus Manager または Tenable Vulnerability Management にリンクされます。
  • エージェントは、エージェントグループに編成されています。インストールプロセス中に、エージェントをエージェントグループに割り当てることができます。
  • エージェントスキャンは、エージェントグループを介してエージェントから評価結果を取得するために確立されます。
  • Tenable Nessus Manager または Tenable Vulnerability Management によって、エージェントのプラグインとバージョンのアップデートが自動的に適用されます。

考慮事項

  • Initech の社内ソフトウェア配布プロセス (このケースでは、Altiris、SCCM、Tivoli、Casper などを含む多様なプラットフォーム) を使用して、エージェントがデプロイされました。
  • エージェントグループに含まれるエージェントは、グループあたり 2,000 以下です (推奨は 1,000)。各エージェントグループのエージェント数を制限することで、Tenable Security Center がスキャン結果を正常にインポートできるようになります。この制限は、Tenable Security Center がデプロイメントの一部である場合にのみ適用されます。
  • エージェントスキャンは、1 回につき 1 つのエージェントグループに制限されていました。
  • エージェントスキャン配布の効率が向上したため、エージェントスキャンポリシーは、ネットワークスキャンよりも詳細で冗長でした。
  • オンプレミス/サーバーエージェントのスキャンウィンドウは、個々の組織の要件を満たすために、各サブ組織によって選択されたカスタムタイムフレームに制限されていました。
  • ユーザーワークステーションのスキャンウィンドウは最大 24 時間に設定され、システムがいつオンになったかにかかわらず完全にカバーされるように、毎日繰り返されました。
  • エージェントグループメンバーシップは、企業別に確立され、場合によっては運用層または他の部署の要件に合わせて確立されました。
  • Initech 社は、エージェントのデプロイメントの問題 (インストールの失敗、リンクの失敗など) を帯域外 (ログクライアント、スクリプトなど) で監視しました。
  • エージェントはローカルの脆弱性評価のみを実行し、ネットワークベースの評価 (SSL または CGI ネットワークベースの評価など) は行っていません。
  • ネットワークとファイヤーウォールは、インフラのエージェントがオンプレミスの Tenable Nessus Manager とカスタムポート経由で通信し、ユーザーのワークステーションが https://cloud.tenable.com と通信できるように設定されていました。

層の設計

設計の前提条件は、以下の通りです。

  • Initech 社は、社内プロセスとツールを利用して、エージェントソフトウェアをデプロイします。
  • Initech 社は、Tenable Nessus ManagerTenable Vulnerability Management の両方に 30 〜 50 のエージェントグループを確立します。
  • Initech 社は、Tenable Nessus ManagerTenable Vulnerability Management の両方に 30 〜 50 のエージェントスキャンを設定します。
  • Initech 社は、接続している 10,000 エージェントを処理できるように Tenable Nessus Manager を設定しプロビジョニングします。

レポートおよびネットワークスキャン (Tenable Security Center)

レポート層の主な目的は、Tenable Agents と既存のネットワークスキャンから収集されたデータの一元的な分析とレポート作成を可能にすることでした。ダッシュボード、分析、レポート、および Assurance Report Card がこの層で利用されます。

実行される機能

次のプロセスと使用が Tenable Security Center で行われます。

  • Tenable Nessus Manager および Tenable Vulnerability Management が「エージェント対応」スキャナーとして Tenable Security Center に追加されました。
  • Tenable Security Center のエージェントスキャンは、Tenable Nessus Manager および Tenable Vulnerability Management からエージェントスキャン結果を取得するように設定されました。
  • 既存のデータモデルに従って、エージェントデータが新しいリポジトリに配置されました。
  • Tenable Security Center の分析、ダッシュボード、レポート、および Assurance Report Card が、すべての評価タイプ (エージェントおよびネットワークスキャン) で利用されました。

考慮事項

  • Tenable Security Center はエージェントの結果をサポートするために追加のデータリポジトリを必要としました。Tenable は、Initech 社がエージェント結果用の複数の新しいリポジトリを Tenable Security Center で確立することを推奨しました。これは、同じリポジトリでエージェントとネットワークの評価結果を組み合わせると、レポート作成で問題が発生する可能性があるためです。
  • Initech 社は、エージェントスキャン結果のインポートから生じた追加データのために CPU/RAM/HD がさらに必要かどうかを判断するため、現在の Tenable Security Center ハードウェア設定でフル分析を実行する必要がありました。
  • エージェント評価が実行され、データが Tenable Security Center にインポートされた後、既存のネットワークスキャン構造/ポリシーを評価して、データの重複を確実に抑える必要がありました。

層の設計

設計の前提条件は、以下の通りです。

  • Initech 社は、エージェントのスキャン結果を保存する複数のリポジトリを確立します。
  • Initech 社は、60 〜 100 のエージェントジョブを確立して、Tenable Vulnerability Management および Tenable Nessus Manager からエージェントスキャン結果を取得します。
  • Initech 社は、現在のインフラを評価し、CPU/RAM/HDD がさらに必要かどうかを判断します。
  • Initech 社は、既存のスキャン構造/ポリシーを評価して、データの重複を抑えます。