Tenable Identity Exposure のセキュアリレー

セキュアリレーを備えた Tenable Identity Exposure 3.59 のインストールまたはアップグレードを行う際は、次のガイドラインに従います。

1. セキュアリレーの要件を確認します。

2. ネットワーク要件

   • 以前のバージョンと現在のバージョンでは、DL が AMQP(S) プロトコルを使用して SEN と直接通信していました。

   • バージョン 3.59 では、複数の DL がリレーに置き換わりに、HTTPS 経由で残りの唯一の DL と通信します。

   • Envoy はリバースプロキシです。

3. リンクキー: セキュアリレーのインストールには、ネットワークのアドレスと認証トークンを含む 1 回のみ使用可能なリンクキーが必要です。Tenable Identity Exposure は、セキュアリレーのインストールが成功するたびに新しいキーを再生成します。

リンクキーを取得するには

1. Tenable Identity Exposure コンソールで、左側のメニューバーの [システム] をクリックし、[設定] タブ > [リレー] の順に選択します。

   

2. をクリックしてリンクキーをコピーします。

4. ロールのアクセス許可: リレーを設定するには、ロールベースのアクセス許可を持つユーザーである必要があります。必要なアクセス許可は次のとおりです。

   • データエンティティ: エンティティリレー

   • インターフェースエンティティ

     • [管理] > [システム] > [設定] > [アプリケーションサービス] > [リレー]

     • [管理] > [システム] > [リレー管理]

     詳細については、ロールのアクセス許可の設定を参照してください。

必要なユーザーロール: ローカルマシンの管理者

セキュアリレーをインストールするには

1. Tenable のダウンロードサイトからセキュアリレーの実行可能プログラムをダウンロードします。

2. ファイル tenable.ad_SecureRelay_v3.xx.x をダブルクリックして、インストールウィザードを開始します。

   [ようこそ] 画面が表示されます。

   

3. [次へ] をクリックします。

   [カスタムセットアップ] ウィンドウが表示されます。

   

4. [参照] をクリックして、セキュアリレー用に予約した (システムパーティションとは別の) ディスクパーティションを選択します。

5. [次へ] をクリックします。

   [リレー設定] ウィンドウが表示されます。

6. 

7. 以下の情報を入力します。

   1. [リレー名] ボックスに、セキュアリレーの名前を入力します。

   2. [リンクキー] ボックスに、Tenable Identity Exposure ポータルから取得したリンクキーを貼り付けます。

   3. プロキシサーバーを使用する場合は、[リレー呼び出しに HTTP プロキシを使用する] オプションを選択し、プロキシアドレスとポート番号を入力します。

8. [次へ] をクリックします。

   プロキシ設定ウィンドウが表示されます。

   

9. 次のいずれかのオプションを選択します。

   1. なし: プロキシサーバーを使用しません。

   2. 非認証: プロキシサーバーのアドレスとポートを入力します。

   3. 基本認証: アドレスとポートに加えて、プロキシサーバーのユーザーとパスワードを入力します。

   注意: 「非認証」または「基本認証」を使用してプロキシを設定するために、リレーは IPv4 アドレス (192.168.0.1 など) または http:// や https:// のないプロキシ URI (myproxy.mycompany.com など) のみをサポートし、IPv6 アドレス (2001:0db8:85a3:0000:0000:8a2e:0370:7334 など) はサポートしません。

10. [接続をテストする] をクリックします。次のいずれかが発生します。

    • 緑色のライト - 接続に成功しました。

    • 無効なリンクキー - Tenable Identity Exposure ポータルからリンクキーを取得してください。

    • 無効なリレー名 - このボックスは空のままにできません。リレーの名前を入力してください。

    • 接続に失敗しました - インターネットアクセスを確認してください。

      ヒント:
      - 接続に失敗した場合は、ディレクトリリスナーサーバーの環境変数「ALSID_CASSIOPEIA_CETI_Service__Broker__Host」を検証してください。
      - セキュリティエンジンノードの IP アドレスに設定されていることを確認します。この変数がデフォルトの「127.0.0.1」に設定されている場合、セキュアリレーのインストールが失敗します。
      - 環境変数「ALSID_CASSIOPEIA_CETI_Service__Broker__Host」を更新した後、Ceti サービスを再起動します。
      - セキュアリレーのインストールを再開します。そうしないと、ロールバックしてリレーと Envoy の各サービスがインストールされたままになり、それ以上のインストールがブロックされます。

11. [次へ] をクリックします。

    [インストールの準備完了] ウィンドウが表示されます。

12. [インストール] をクリックします。

13. インストールが完了したら、[終了] をクリックします。

セキュアリレーのインストールが完了したら、次の点を確認してください。

Tenable Identity Exposure にインストールされているリレーのリスト

インストールされているリレーのリストを表示するには

• Tenable Identity Exposure で、左側のメニューバーの [システム] をクリックし、[リレー管理] タブを選択します。

  このペインには、セキュアリレーとそのリンクされたドメインのリストが表示されます。

サービス

インストールが成功すると、次のサービスが実行されます。

• Tenable_Relay

• tenable_envoy

  注意: Envoy ライセンスは、Tenable Identity Exposure の [システム] > [法的情報] > [Envoy ライセンス] にあります。

環境変数

インストールの際には、名前が「ALSID」で始まるセキュアリレーに関連する 4 つの新しい環境変数も追加されます。プロキシサーバーの使用を選択した場合、プロキシ IP およびポートに関連する 2 つの追加の変数が存在します。

トラブルシューティング用のログ

ログは次の場所にあります。

• インストールログ: C:\Users\<your user>\AppData\Local\Temp

• リレーログ: インストール時に指定されたフォルダー内のセキュアリレーをホストしている VM 上

• リレーの設定

セキュアリレーをインストールすると、Tenable Identity Exposure は新しいバージョンを定期的にチェックするようになります。このプロセスは完全に自動化されており、ドメインへの HTTPS アクセス (TCP/443) が必要です。ネットワークトレイのアイコンは、Tenable Identity Exposure がセキュアリレーを更新していることを示します。プロセスが完了すると、Tenable Identity Exposure サービスが再起動しデータ収集が再開されます。

セキュアリレーをアンインストールするには

1. Windows で、[設定] > [アプリと機能] > [Tenable Identity Exposure セキュアリレー] の順に移動します。

2. [アンインストール] をクリックします。

   アンインストールが完了すると、Tenable Identity Exposure セキュアリレーサービスと環境変数がシステムに表示されなくなります。

3. Tenable Identity Exposure で、左側のメニューバーの [システム] をクリックし、[リレー管理] タブを選択します。

4. アンインストールしたばかりのリレーを選択し、 をクリックして使用可能なリレーのリストから削除します。