セキュアリレーの要件
セキュアリレーとは、この図に示すように、VPN の代わりに Transport Layer Security (TLS) を使用して、ネットワークから Tenable Identity Exposure に Active Directory データを転送する転送モードのことです。ネットワークがインターネットに到達するためにプロキシサーバーを必要とする場合、リレー機能は認証のあるまたはない HTTP プロキシもサポートします。
Tenable Identity Exposure は、お客様のニーズに応じてドメインにマッピングできる複数のセキュアリレーをサポートすることができます。
TLS 1.2 を使用するには、2024 年 1 月 24 日の時点で、リレーサーバーが次の暗号化パッケージのうち少なくとも 1 つをサポートしている必要があります。
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
また、リレー機能との互換性のために、Windows の設定が、指定された暗号化パッケージと一致していることを確認してください。
-
PowerShell で次のコマンドを実行します。
コピー@("TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256") | % { Get-TlsCipherSuite -Name $_ }
-
出力 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 を確認します。
-
出力が空白の場合、リレーの TLS 接続が機能するために必要な暗号化パッケージがどれも有効になっていないことを示します。少なくとも 1 つの暗号化パッケージを有効にします。
-
リレーサーバーの楕円曲線暗号 (ECC) 曲線を検証します。この検証は、ECDHE (Elliptic Curve Diffie-Hellman Ephemeral) 暗号化スイートを使用する場合に必須です。PowerShell で次のコマンドを実行します。
コピーGet-TlsEccCurve
-
曲線 25519 があることを確認します。有効になっていない場合は有効にします。
-
IIS Crypto ツールで、次のオプションが有効になっていることを確認します。
-
暗号化設定を変更した後、マシンを再起動します。
注意: Windows の暗号化設定を変更すると、マシン上で実行され、「Schannel」として知られる Windows TLS ライブラリを使用するすべてのアプリケーションに影響します。したがって、調整によって意図しない問題が発生しないようにしてください。選択した設定が、組織の全体的な強化目標またはコンプライアンス要件に適合していることを確認します。
セキュアリレーをホストする仮想マシン (VM) の要件は次のとおりです。
顧客の規模 | Tenable Identity Exposure サービス | 必要なインスタンス | メモリ (インスタンスごと) | vCPU (インスタンスごと) | ディスクトポロジ | 利用可能なディスク容量 (インスタンスごと) |
---|---|---|---|---|---|---|
任意のサイズ |
|
1 | 8 GB の RAM | 2 vCPU | システムパーティションとは別のログ用パーティション | 30 GB |
VM には次の要件も必要です。
-
HTTP/HTTPS トラフィック - HTTP/HTTPS トラフィックがセキュアリレーマシンに向かうようにクライアントを削除する、無効化する、バイパスする、または許可リストに追加します。このアクションにより、セキュアリレーのインストールがブロックされ、Tenable プラットフォームに向かうトラフィックが停止したり、遅くなったりします。
-
Windows Server 2016 以降のオペレーティングシステム (Linux 以外)
-
解決済みのインターネットに接続した DNS のクエリと、少なくとも cloud.tenable.com および * .tenable.ad に対するインターネットアクセス (TLS 1.2)
-
ローカル管理者権限
-
EDR、ウイルス対策、GPO 設定
Windows |
---|
ファイル |
C:\Tenable\* |
C:\tools\* |
C:\ProgramData\Tenable\* |
プロセス |
nssm.exe --> パス: C:\tools\nssm.exe |
Tenable.Relay.exe --> パス: C:\Tenable\Tenable.ad\SecureRelay\Tenable.Relay.exe |
envoy.exe --> パス: C:\Tenable\Tenable.ad\SecureRelay\envoy.exe |
updater.exe --> パス: C:\Tenable\Tenable.ad\updater.exe |
powershell.exe --> パス: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (OS のバージョンによって異なる場合があります) |
スケジュールされたタスク |
C:\Windows\System32\Tasks\Relay updater |
C:\Windows\System32\Tasks\Manual Renew Apikey |
C:\Windows\System32\Tasks\Tenable\Tenable.ad\SecureRelay\CompressLogsSecureRelay |
C:\Windows\System32\Tasks\Tenable\Tenable.ad\SecureRelay\RemoveLogsSecureRelay |
レジストリキー |
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Tenable\Tenable.ad Secure Relay |