センサーのセキュリティ

Tenable Vulnerability Management プラットフォームを使用する際のセンサーのセキュリティと暗号化の詳細については、以下のセクションを参照してください。

センサーの概要

センサーは、次のサイトから Tenable Vulnerability Management にアクセスします: <port> - sensor.cloud.tenable.com:443。すべてのセンサー (Tenable Nessus スキャナー、Tenable Nessus AgentsTenable Nessus Network Monitor) には cloud.tenable.com:443 へのアクセス権が必要です。

注意: 中国本土にある Tenable Nessus スキャナー、Tenable Nessus AgentsTenable Web App Scanning スキャナー、または Tenable Nessus Network Monitor (NNM) を介して Tenable Vulnerability Management に接続している場合は、sensor.cloud.tenable.com ではなく sensor.cloud.tenablecloud.cn で接続する必要があります。

Tenable Nessus スキャナーと Tenable Nessus Network Monitor をどのようにデプロイしてい設定するかに応じて、それぞれのユーザーインターフェースにアクセスし初期設定する必要があります。

  • Tenable Nessus<IP>:8834

  • Tenable Nessus Network Monitor<IP>:8835

    注意: Tenable CoreTenable Nessus または Tenable Nessus Network Monitor をデプロイする場合は、基盤となる仮想アプライアンスインターフェース (<IP>:8000) へのアクセス権も必要です。

Tenable Vulnerability Management は、Tenable のお客様向けの API により動作するユーザーインターフェースをすべての操作に使用します。Tenable Vulnerability Management に接続するセンサーは、脆弱性と資産情報を収集して、セキュリティにおいて重要な役割を果たします。このデータを保護し、通信パスの安全性を確保することは、Tenable Vulnerability Management のコア機能です。

Nessus センサーは、Tenable Vulnerability Management に対して安全に認証され、リンクした後に、Tenable Vulnerability Management プラットフォームに接続します (詳細については、次のセクションのリンクキーを参照)。リンクが完了すると、Tenable Vulnerability Management はすべての更新を管理して、センサーを常に最新の状態に保ちます。

センサーは常にセンサーと Tenable Vulnerability Management の間のトラフィックを開始します。トラフィックはポート 443 を介したアウトバウンド専用です。トラフィックは、TLS 1.2+ (NIAP モードの場合はバージョン 1.2) と 4096 ビットキーを使用し、SSL 通信によって暗号化されます。これにより、ファイヤーウォールを変更する必要がなくなり、ファイヤーウォールルールを介して接続を制御できるようになります。

注意: NIAP モードの詳細については、各製品のユーザーガイドで以下のトピックを参照してください。

リンクキー

Tenable Vulnerability Management は、センサーの初期認証トークンとしてリンクキーを使用します。リンクキーを使用すると、センサー (Nessus スキャナー、Nessus Agent、または Tenable Nessus Network Monitor) と Tenable Vulnerability Management の間に初期リンクを作成できます。

Tenable Vulnerability Management プラットフォームはセンサーからリンクリクエストを受信すると、有効なリンクキーで提示されたリンクキーを検証します。Tenable Vulnerability Management は、リンクキーが有効なリンクキーと一致した場合は、センサーのリンクを許可します。

リンク時に、Tenable Vulnerability Management は 256 ビット長のキーをランダムに生成して、保存し、センサーに送信します。このキーはセンサーに対して一意です。

リンクプロセスが完了すると、センサーではリンクキーが不要になり、使用されません。それ以降の認証は、以下の方法で行われます。

  • センサーからプラットフォームへの認証

    最初のリンクプロセス以降は、センサーは 256 ビットのキーを提供して、リクエストを識別し、認証します。これらのリクエストには、ジョブ、スキャンポリシー、プラグインの更新、スキャナーバイナリの更新のリクエストや、スキャン結果やセンサーの正常性データといった情報の Tenable Vulnerability Management への提供が含まれますが、これらに限定されません。

  • センサーからプラットフォームへのジョブ通信

    センサーは Tenable Vulnerability Management に頻繁にチェックインします (センサーのタイプによってチェックイン頻度が異なります)。スキャンジョブが起動されると、Tenable Vulnerability Management はポリシーを生成し、ランダムに生成された 128 ビットキーでポリシーを暗号化します。センサーは、プラットフォームからポリシーをリクエストします。ポリシーはディスクに保存されますが、キーはメモリ内にのみ存在します。コントローラーはキーを使用して、スキャン認証情報を含むポリシーを暗号化します。

データの暗号化

Tenable Vulnerability Management は AES-256 以上を使用して、少なくとも 1 つのレベルですべての状態のすべてのデータを暗号化します。

  • 保存データ - Tenable Vulnerability Management は、少なくとも 1 つのレベルの AES-256 暗号化を使用して、暗号化メディアにデータを保存します。一部のデータクラスには、第 2 レベルのファイルごとの暗号化が含まれています。

  • 転送中データ - Tenable Vulnerability Management は TLS バージョン 1.2+ と 4096 ビットキーを使用して、転送中 (内部転送を含む) のデータを暗号化します。

  • バックアップまたは複製されたデータ - Tenable Vulnerability Management は、ソースと同じレベル (AES-256 以上) の暗号化を使用して、ボリュームスナップショットとデータレプリカを保存します。すべての複製は AWS 内で行われます。Tenable は、物理的なオフサイトのメディアおよび物理システムにはデータをバックアップしません。

  • インデックスデータ - Tenable Vulnerability Management は、少なくとも 1 つのレベルの AES-256 暗号化を使用して、暗号化メディアにインデックスデータを保存します。

Tenable は、保存されているすべての暗号化データを新しいキーにローテーションできます。新しいサイトに切り替えて新しいキーを使用することもできます (つまり、Tenable は新しいサイトをプロビジョニングするときにキーを再利用しません)。Tenable は、AWS Key Management Service を使用してキーを管理します。