デプロイメントに関する考慮事項

Tenable Nessus をデプロイするときは、ルーティング、フィルター、ファイヤーウォールのポリシーに関する知識が役立ちます。NAT デバイスの背後に Nessus をデプロイすることは、内部ネットワークをスキャンするのでない限り、望ましくありません。脆弱性スキャンが NAT デバイスまたは何らかの種類のアプリケーションプロキシを通過するたびに検査が正確に伝わらず、結果的に誤検出または検出漏れが生じる可能性があります。

また、Tenable Nessus を実行しているシステムにパーソナルまたはデスクトップファイヤーウォールが実装されている場合は、リモート脆弱性スキャンの効果がこのようなツールによって著しく制限される可能性があります。ホストベースのファイヤーウォールは、ネットワーク脆弱性スキャンの妨げになることがあります。ファイヤーウォールの設定によっては、Tenable Nessus スキャンの調査がファイヤーウォールによって阻止、歪曲、非表示にされる可能性があります。

ステートフル検査を実行するネットワークデバイスの一部 (ファイヤーウォール、ロードバランサー、侵入検出/防止システムなど) は、Tenable Nessus がそれらのデバイス経由でスキャンが実行する場合に、悪影響を与えることがあります。Tenable Nessus には、このようなデバイス経由のスキャンの影響を軽減するのに役立つチューニングオプションがいくつか用意されています。ただし、このようなネットワークバイス経由のスキャンに固有の問題を回避する最良の方法は、認証情報を使用したスキャンを実行することです。

Tenable Nessus Manager をエージェント管理用に設定する場合、Tenable Nessus Manager をローカルスキャナーとして使用することはお勧めしません。たとえば、Tenable Security Center のスキャンゾーンに Tenable Nessus Manager を含めるように設定したり、Tenable Nessus Manager からネットワークベースのスキャンを直接実行したりしないでください。このような設定は、エージェントスキャンのパフォーマンスに悪影響を与える可能性があります。

このセクションでは、デプロイメントに関する以下の考慮事項について説明します。