センサーのセキュリティ

Tenable Vulnerability Management プラットフォームを使用する際のセンサーのセキュリティと暗号化の詳細については、以下のセクションを参照してください。

センサーの概要

センサーは、次のサイトから Tenable Vulnerability Management にアクセスします: <port> - sensor.cloud.tenable.com:443。すべてのセンサー (Tenable Nessus スキャナー、Tenable AgentsTenable Network Monitor) には cloud.tenable.com:443 へのアクセス権が必要です。

注意: 中国本土にある Tenable Nessus スキャナー、Tenable AgentsTenable Web App Scanning スキャナー、または Tenable Network Monitor (NNM) を介して Tenable Vulnerability Management に接続している場合は、sensor.cloud.tenable.com ではなく sensor.cloud.tenablecloud.cn で接続する必要があります。

Tenable Nessus スキャナーと Tenable Network Monitor をどのようにデプロイしてい設定するかに応じて、それぞれのユーザーインターフェースにアクセスし初期設定する必要があります。

  • Tenable Nessus<IP>:8834

  • Tenable Network Monitor<IP>:8835

    注意: Tenable CoreTenable Nessus または Tenable Network Monitor をデプロイする場合は、基盤となる仮想アプライアンスインターフェース (<IP>:8000) へのアクセス権も必要です。

Tenable Vulnerability Management は、Tenable のお客様向けの API により動作するユーザーインターフェースをすべての操作に使用します。Tenable Vulnerability Management に接続するセンサーは、脆弱性と資産情報を収集して、セキュリティにおいて重要な役割を果たします。このデータを保護し、通信パスの安全性を確保することは、Tenable Vulnerability Management のコア機能です。

Nessus センサーは、Tenable Vulnerability Management に対して安全に認証され、リンクした後に、Tenable Vulnerability Management プラットフォームに接続します (詳細については、次のセクションのリンクキーを参照)。リンクが完了すると、Tenable Vulnerability Management はすべての更新を管理して、センサーを常に最新の状態に保ちます。

センサーは常にセンサーと Tenable Vulnerability Management の間のトラフィックを開始します。トラフィックはポート 443 を介したアウトバウンド専用です。トラフィックは、TLS 1.2+ (NIAP モードの場合はバージョン 1.2) と 4096 ビットキーを使用し、SSL 通信によって暗号化されます。これにより、ファイヤーウォールを変更する必要がなくなり、ファイヤーウォールルールを介して接続を制御できるようになります。

注意: NIAP モードの詳細については、各製品のユーザーガイドで以下のトピックを参照してください。

リンクキー

Tenable Vulnerability Management は、センサーの初期認証トークンとしてリンクキーを使用します。リンクキーを使用すると、センサー (Nessus スキャナー、Nessus Agent、または Tenable Network Monitor) と Tenable Vulnerability Management の間に初期リンクを作成できます。

Tenable Vulnerability Management プラットフォームはセンサーからリンクリクエストを受信すると、有効なリンクキーで提示されたリンクキーを検証します。Tenable Vulnerability Management は、リンクキーが有効なリンクキーと一致した場合は、センサーのリンクを許可します。

リンク時に、Tenable Vulnerability Management は 256 ビット長のキーをランダムに生成して、保存し、センサーに送信します。このキーはセンサーに対して一意です。

リンクプロセスが完了すると、センサーではリンクキーが不要になり、使用されません。それ以降の認証は、以下の方法で行われます。

  • センサーからプラットフォームへの認証

    最初のリンクプロセス以降は、センサーは 256 ビットのキーを提供して、リクエストを識別し、認証します。これらのリクエストには、ジョブ、スキャンポリシー、プラグインの更新、スキャナーバイナリの更新のリクエストや、スキャン結果やセンサーの健全性データといった情報の Tenable Vulnerability Management への提供が含まれますが、これらに限定されません。

  • センサーからプラットフォームへのジョブ通信

    センサーは Tenable Vulnerability Management に頻繁にチェックインします (センサーのタイプによってチェックイン頻度が異なります)。スキャンジョブが起動されると、Tenable Vulnerability Management はポリシーを生成し、ランダムに生成された 128 ビットキーでポリシーを暗号化します。センサーは、プラットフォームからポリシーをリクエストします。ポリシーはディスクに保存されますが、キーはメモリ内にのみ存在します。コントローラーはキーを使用して、スキャン認証情報を含むポリシーを暗号化します。

データの暗号化

Tenable Vulnerability Management は AES-256 以上を使用して、少なくとも 1 つのレベルですべての状態のすべてのデータを暗号化します。

  • 保存データ - Tenable Vulnerability Management は、少なくとも 1 つのレベルの AES-256 暗号化を使用して、暗号化メディアにデータを保存します。一部のデータクラスには、第 2 レベルのファイルごとの暗号化が含まれています。

  • 転送中データ - Tenable Vulnerability Management は TLS バージョン 1.2+ と 4096 ビットキーを使用して、転送中 (内部転送を含む) のデータを暗号化します。

  • バックアップまたは複製されたデータ - Tenable Vulnerability Management は、ソースと同じレベル (AES-256 以上) の暗号化を使用して、ボリュームスナップショットとデータレプリカを保存します。すべての複製は AWS 内で行われます。Tenable は、物理的なオフサイトのメディアおよび物理システムにはデータをバックアップしません。

  • インデックスデータ - Tenable Vulnerability Management は、少なくとも 1 つのレベルの AES-256 暗号化を使用して、暗号化メディアにインデックスデータを保存します。

Tenable は、保存されているすべての暗号化データを新しいキーにローテーションできます。新しいサイトに切り替えて新しいキーを使用することもできます (つまり、Tenable は新しいサイトをプロビジョニングするときにキーを再利用しません)。Tenable は、AWS Key Management Service を使用してキーを管理します。