階層化されたデプロイメント

関連記事: Tenable Security Center ユーザーガイドの階層型リモートリポジトリと一般要件ガイドのハードウェア要件

階層化されたリモートリポジトリ設定では、リモートリポジトリを使用して複数の Tenable Security Center インスタンス間でデータを共有します。

100,000 を超えるホストまたは複数の Tenable Security Center コンソールをサポートする環境では、Tenable は、Tenable 環境に関する付加的な運用インサイトを提供するように Tenable Security Center Director を設定することを推奨しています。

100,000 個～ 249,999 個のホストに対応する場合、Tenable では階層化されたリモートリポジトリ設定を推奨しています。
250,000 個以上のホストに対応する場合は、Tenable では階層化されたリモートリポジトリ設定が必要です。

階層化された Tenable Security Center インスタンスは、Tenable Security Center デプロイメント全体の中で非公式な役割を果たします。Tenable では、最低 1 つの指定されたレポート用の Tenable Security Center と、ネットワーク上のホスト 100,000 個～ 150,000 個ごとに 1 つの追加 Tenable Security Center インスタンスを推奨しています。

スキャン層の Tenable Security Center は、接続されたスキャナー全体に渡ってスキャンジョブを管理することで、スキャンを最適化します。スキャン層の Tenable Security Center インスタンスは、スキャンデータの効率的な収集を優先します。
レポート層の Tenable Security Center は、スキャン層の Tenable Security Center インスタンスにより収集されたデータを集約することで、ダッシュボードとレポートを最適化します。Tenable Security Center Director はレポート層として機能することができます。リモートリポジトリとしてスキャン層からデータを取り込み、アクティブなスキャンジョブ、プラグインのアップデート、スキャナー設定などの運用アクティビティに関するインサイトを提供します。

注意: スキャン層およびレポート層の Tenable Security Center インスタンスは、同一の Tenable Security Center バージョンが動作している必要があります。

階層化されたリモートリポジトリ設定がない場合、エンタープライズ規模のスキャンおよび分析によって、単一の Tenable Security Center 上でパフォーマンスの問題が発生する可能性があります。リモートリポジトリを階層化することで、スキャンのパフォーマンスに悪影響を及ぼすことなく、分析とレポートの生成を最適化します。

ヒント: 2 つの Tenable Security Center インスタンスをオフラインリポジトリとして接続することは可能ですが、オフラインリポジトリはインスタンス間の真の接続を確立しません。すべてのデータは、オフラインリポジトリ間で手動で転送される必要があります。

リポジトリを使用して階層を接続する

スキャン層を、レポート層の Tenable Security Center デプロイメントの読み取り専用リポジトリとしてレポート層に接続します。

階層化されたリモートリポジトリのデプロイメントを設定するには

スキャン層の Tenable Security Center インスタンスで、スキャン結果データを保存するための 1 つ以上のリポジトリを作成します。

注意: レポート層の Tenable Security Center インスタンスで、スキャン階層の Tenable Security Center インスタンスのトレンドデータを表示するには、スキャン階層の Tenable Security Center インスタンスの各リポジトリのトレンドデータを生成するオプションを有効にします。詳細は、エージェントリポジトリおよび IPv4/IPv6 リポジトリを参照してください。
スキャン層の Tenable Security Center インスタンスで、スキャンを実行してリポジトリにデータを埋め込みます。
レポート層の Tenable Security Center インスタンスで、スキャン層の Tenable Security Center インスタンス上の各リポジトリにリモートリポジトリを作成します。

レポート層の Tenable Security Center が、スキャン層の Tenable Security Center リポジトリからスキャン結果データを同期します。

デフォルトでは、リモートリポジトリは毎日同期されます。Tenable Security Center API を使用することで、より頻繁にデータの更新を行うことができます。

バージョンとアップグレードの考慮事項

スキャン層およびレポート層の Tenable Security Center インスタンスは、同一の Tenable Security Center バージョンが動作している必要があります。新しいバージョンの Tenable Security Center へとアップグレードする場合、スキャン層インスタンスの前に、レポート層インスタンスを更新してください。

ハードウェアの考慮事項

最良のパフォーマンスを得るために、スキャン層およびレポート層インスタンスのハードウェアをカスタマイズします。

スキャン層インスタンス	レポート層インスタンス
スキャン層インスタンスは、次の恩恵を受けます。高速な CPU 高速なディスク I/O スピードアクティブスキャンとセンサーの管理を支援するために、CPU とディスク I/O のリソースの追加を検討してください。	レポート層インスタンスは、次の恩恵を受けます。大容量で高速な RAM 大容量のディスクスペースレポート、ユーザー管理、およびデータのクエリを支援するために、RAM とディスクスペースの追加を検討してください。 Tenable では、100,000 個のアクティブな IP アドレス毎に 128 GB の RAM (たとえば、150,000 個の IP アドレスの場合は 192 GB の RAM の割り当て) を推奨しています。

スキャン層インスタンス

レポート層インスタンス

スキャン層インスタンスは、次の恩恵を受けます。

高速な CPU
高速なディスク I/O スピード

アクティブスキャンとセンサーの管理を支援するために、CPU とディスク I/O のリソースの追加を検討してください。

レポート層インスタンスは、次の恩恵を受けます。

大容量で高速な RAM
大容量のディスクスペース

レポート、ユーザー管理、およびデータのクエリを支援するために、RAM とディスクスペースの追加を検討してください。

Tenable では、100,000 個のアクティブな IP アドレス毎に 128 GB の RAM (たとえば、150,000 個の IP アドレスの場合は 192 GB の RAM の割り当て) を推奨しています。

詳細は、パフォーマンスを参照してください。

ユーザーアクセス制御を計画する

スキャン層およびレポート層の各インスタンスの目的に合わせてユーザーにアクセス権を付与する場合、次のアカウント構造を検討してください。

スキャン層インスタンス	レポート層インスタンス
次のユーザーのためのアカウントを作成します。インスタンスで管理設定を行う必要のあるテクニカルユーザースキャンを設定し実行する必要のあるテクニカルユーザー	次のユーザーのためのアカウントを作成します。リポジトリや階層設定を管理する必要のあるテクニカルユーザーレポート作成のための累積データやトレンドデータを一元的に把握する必要があるビジネスユーザー脆弱性分析のための累積データやトレンドデータを一元的に把握する必要があるテクニカルユーザー

スキャン層インスタンス

レポート層インスタンス

次のユーザーのためのアカウントを作成します。

インスタンスで管理設定を行う必要のあるテクニカルユーザー
スキャンを設定し実行する必要のあるテクニカルユーザー

次のユーザーのためのアカウントを作成します。

リポジトリや階層設定を管理する必要のあるテクニカルユーザー
レポート作成のための累積データやトレンドデータを一元的に把握する必要があるビジネスユーザー
脆弱性分析のための累積データやトレンドデータを一元的に把握する必要があるテクニカルユーザー