モバイルの分散型ワークフォース
Tenable では、モバイルワークフォース用にエージェントをデプロイすることを推奨しています。エージェントを使用すれば、デバイスをスキャンするために従業員が VPN を使って組織の本社ネットワークに接続する必要がなくなるためです。このシナリオで WAN または VPN 接続でアクティブスキャンを実行すると、リンク速度が遅くなったり、暗号化オーバーヘッドが高くなったり、リンクの安定性に問題が発生したりする可能性があります。しかし、エージェントを使用するとスキャン時間が数時間から数分に短縮されます。
モバイルワークフォースをサポートするために、Tenable では次のことを推奨しています。
- マネージャーを DMZ にデプロイし、エージェントが通信に使用できる公開 IP アドレスを割り当てます。エージェントとマネージャー間のすべての通信は、TLS 暗号化通信を介して行われます。
-
エージェントスキャンに適切なスキャンウィンドウを設定します。スキャンウィンドウとは、エージェントがスキャンを実行し、その結果をマネージャーに報告する期間のことです。エージェントは、スキャンウィンドウが破棄された後に送信されたスキャンリクエストや結果を破棄し、システムを未スキャンとしてマークします。
このアプローチにより、正確なセキュリティデータを確保すると同時に、重複する無関係なスキャンの必要性を減らすことができます。たとえば、従業員が 2 週間休暇を取った場合、休暇開けにキューで待機している 14 回分のスキャンを (その従業員のシステムがオフラインだった日につき 1 回) 行う必要はありません。