アクティブスキャンでのスキャンゾーン
関連記事: Tenable Security Center ユーザーガイド のスキャンゾーン
完全なアクティブスキャンの設定には、スキャンゾーンが含まれます。これは 1 つ以上のスキャナーを、ネットワークの特定の領域へと関連付けます。あるゾーン内にある IP アドレスのスキャンでは、そのゾーンに割り当てられたスキャナー間で、負荷が分散されます。これをカスタマイズすることで、お客様独自のネットワークトポロジーに対応できます。たとえば、次のことが可能です。
- 事業部ごとに 1 つのゾーンを作成し、各ゾーンに 1 つのスキャナーを追加する
- 1 つの大きなゾーンを作成し、そのゾーンに複数のスキャナーを追加する
- 分離されたネットワーク (低帯域幅または高レイテンシ接続によって分離されたネットワーク) 用のゾーンを作成し、そのゾーンに 1 つのスキャナーを追加し、そのスキャナーを分離されたネットワーク内へと展開する
スキャンゾーンは、企業における Tenable Security Center のデプロイメントの成功に極めて重要です。スキャナーをスキャンゾーンへ割り当てることで、許可されたネットワークの範囲をスキャンするようにスキャナーを制限し、ファイヤーウォール 経由で、または WAN リンクを超えてスキャンを行うことで発生する問題を回避します。
デプロイメントの例
スキャンゾーンの IP アドレスは、単一の IP アドレス、IP アドレスの範囲、または CIDR 表記のサブネットとして指定できるので、論理グループ、物理的な場所、または IP アドレスの範囲によってネットワーク上のスキャンをセグメント化することができます。
一般に、大規模かつフラットなネットワークでは、Tenable Security Center がスキャン負荷を自動的にスキャナー全体に分散できるため、複数のスキャナーが最も効率的です。大規模な企業では通常、中核となるネットワークにいくつかのスキャナーを展開し、より区分されたネットワーク、またはリモートのネットワークに追加のスキャナーを展開します。また、お客様独自のネットワークインフラに適した、アーキテクチャの組み合わせを設計することもできます。
最適なデプロイメントは、ネットワークおよび企業のニーズによって左右されます。あらゆる状況に対応できるデプロイメント手法は存在しません。
たとえば、30 の物理的な拠点を有する 2 つの地方銀行で、最適なデプロイメントは異なるかもしれません。
- 銀行 A: 5 つのスキャナーをデータセンター内部で展開し、ネットワークリンク経由でのみスキャンを行う
- 銀行 B: 物理的な拠点のそれぞれに 1 つのスキャナーを展開する
さらに、ネットワークサイズに基づく最適な推奨もありません。
- お客様 A: 40 個の Tenable Nessus スキャナーを導入し、合計 300,000 個の IP アドレスをスキャン
- お客様 B: 300 の物理的な拠点に 300 個の Tenable Nessus スキャナーを導入し、ローカルスキャナーの要件を満たすことで、合計 37,000 個の IP アドレスをスキャン
大規模エンタープライズデプロイメントに関する推奨事項
大規模エンタープライズデプロイメントでは、 Tenable は次のことを推奨します。
- 最低でも、ゾーン内のアクティブな IP アドレス 5,000 個ごとに 1 つのスキャナーを追加する。
- 1 つのスキャナーを 1 つのゾーンに追加する。Tenable では、1 つのスキャナーを複数のゾーンに追加することは推奨していません。
- スキャンゾーンに重複する IP アドレスがある場合、自動スキャンディストリビューションを無効化する。
- 任意の IP アドレスを、お客様のネットワークの内部にあるスキャナーと外部にあるスキャナーの両方からスキャンして、その IP アドレスのデータを複数のリポジトリに格納する場合は、自動的なスキャン分散を無効にする。
- 複数のスキャン層または独立した Tenable Security Center インスタンスにまたがるスキャンゾーン設定を監視するには、Tenable Security Center Director を使用します。