セキュアリレーの要件

セキュアリレーとは、この図に示すように、VPN の代わりに Transport Layer Security (TLS) を使用して、ネットワークから Tenable Identity Exposure に Active Directory データを転送する転送モードのことです。ネットワークがインターネットに到達するためにプロキシサーバーを必要とする場合、リレー機能は認証のあるまたはない HTTP プロキシもサポートします。

Tenable Identity Exposure は、お客様のニーズに応じてドメインにマッピングできる複数のセキュアリレーをサポートすることができます。

TLS 1.2 を使用するには、2024 年 1 月 24 日の時点で、リレーサーバーが次の暗号化パッケージのうち少なくとも 1 つをサポートしている必要があります。

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

また、リレー機能との互換性のために、Windows の設定が、指定された暗号化パッケージと一致していることを確認してください。

  1. PowerShell で次のコマンドを実行します。

    コピー 
    @("TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256") | % { Get-TlsCipherSuite -Name $_ }

  2. 出力 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 を確認します。

  3. 出力が空白の場合、リレーの TLS 接続が機能するために必要な暗号化パッケージがどれも有効になっていないことを示します。少なくとも 1 つの暗号化パッケージを有効にします。

  4. リレーサーバーの楕円曲線暗号 (ECC) 曲線を検証します。この検証は、ECDHE (Elliptic Curve Diffie-Hellman Ephemeral) 暗号化スイートを使用する場合に必須です。PowerShell で次のコマンドを実行します。

    コピー 
    Get-TlsEccCurve

  5. 曲線 25519 があることを確認します。有効になっていない場合は有効にします。

  1. IIS Crypto ツールで、次のオプションが有効になっていることを確認します。

    • クライアントプロトコル: TLS 1.2

    • 暗号: AES 128/128 および AES 256/256

    • 鍵交換: ECDH

  2. 暗号化設定を変更した後、マシンを再起動します。

    注意: Windows の暗号化設定を変更すると、マシン上で実行され、「Schannel」として知られる Windows TLS ライブラリを使用するすべてのアプリケーションに影響します。したがって、調整によって意図しない問題が発生しないようにしてください。選択した設定が、組織の全体的な強化目標またはコンプライアンス要件に適合していることを確認します。

  • プロキシサーバーのない従来のセットアップの場合、リレーには次のポートが必要です。

    プロキシサーバーを使用したセットアップの場合、リレーには次のポートが必要です。

    注意: ネットワークフローは、オンプレミスと SaaS の両方のプラットフォームで同じように機能します。

セキュアリレーをホストする仮想マシン (VM) の要件は次のとおりです。

顧客の規模 Tenable Identity Exposure サービス 必要なインスタンス メモリ (インスタンスごと) vCPU (インスタンスごと) ディスクトポロジ 利用可能なディスク容量 (インスタンスごと)
任意のサイズ

  • Tenable_Relay

  • tenable_envoy

 1 8 GB の RAM 2 vCPU システムパーティションとは別のログ用パーティション 30 GB
注意: セキュアリレーとディレクトリリスナーを同じ仮想マシンにインストールする場合は、それぞれのサイズ要件を合算する必要があります。Resource Sizingを参照してください。
ヒント: 初回インストールでは、インストールプロセスを妨げる可能性のある既存の GPO ポリシーを継承しないように、VM を非ドメイン参加のままにしておくことをお勧めします。インストールの完了後、VM をドメインに参加させることができます。

VM には次の要件も必要です。

  • HTTP/HTTPS トラフィック - HTTP/HTTPS トラフィックがセキュアリレーマシンに向かうようにクライアントを削除する、無効化する、バイパスする、または許可リストに追加します。このアクションにより、セキュアリレーのインストールがブロックされ、Tenable プラットフォームに向かうトラフィックが停止したり、遅くなったりします。

  • Windows Server 2016 以降のオペレーティングシステム (Linux 以外)

  • 解決済みのインターネットに接続した DNS のクエリと、少なくとも cloud.tenable.com および * .tenable.ad に対するインターネットアクセス (TLS 1.2)

  • ローカル管理者権限

  • EDR、ウイルス対策、GPO 設定

    • VM に十分な CPU が残っている — たとえば、Windows Defender のリアルタイム保護機能は、CPU 使用率がかなり高く、マシンを飽和させる可能性があります。

    • 自動更新

      • *.tenable.ad への呼び出しを許可し、自動更新機能がリレー実行可能ファイルをダウンロードできるようにします。

      • 自動更新機能をブロックしているグループポリシーオブジェクト (GPO) がないことを確認します。

      • 「リレーアップデーター」のスケジュールタスクを削除したり変更したりしないでください。

Windows
ファイル
C:\Tenable\*
C:\tools\*
C:\ProgramData\Tenable\*
プロセス
nssm.exe --> パス: C:\tools\nssm.exe
Tenable.Relay.exe --> パス: C:\Tenable\Tenable.ad\SecureRelay\Tenable.Relay.exe
envoy.exe --> パス: C:\Tenable\Tenable.ad\SecureRelay\envoy.exe
updater.exe --> パス: C:\Tenable\Tenable.ad\updater.exe
powershell.exe --> パス: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (OS のバージョンによって異なる場合があります)
スケジュールされたタスク
C:\Windows\System32\Tasks\Relay updater
C:\Windows\System32\Tasks\Manual Renew Apikey
C:\Windows\System32\Tasks\Tenable\Tenable.ad\SecureRelay\CompressLogsSecureRelay
C:\Windows\System32\Tasks\Tenable\Tenable.ad\SecureRelay\RemoveLogsSecureRelay
レジストリキー
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Tenable\Tenable.ad Secure Relay