Concepts de Tanium Client

Inscription

Lorsque vous déployez pour la première fois le Tanium Client sur un endpoint, le client initie une connexion à Tanium™ as a Service (TaaS) au serveur Tanium ou au zone Server Tanium qui lui est attribué lors de la configuration initiale. Pendant l’inscription initiale, le Tanium Client établit un ID unique, etTaaS le serveur lui envoie les derniers paramètres client, une liste des peers à proximité, et les dernières définitions pour les sensors, les questions et les actions planifiées. Par défaut, le statut de l’inscription initiale est configuré pour se réinitialiser à des intervalles randomisés de deux à six heures, forçant le Tanium Client à réinitialiser l’inscription. La répétition de l’enregistrement initial garantit que TaaS le serveur applique les paramètres les plus récents et que les clients sélectionnent les peers optimaux.

Le Tanium Client se réinscrit sur TaaS le serveur via une inscription normale, qui se produit par défaut selon un intervalle randomisé de 30 à 90 secondes. Pendant une inscription normale, le Tanium Client rapporte son état actuel des questions, actions et paramètres au TaaS serveur. En réponse, TaaS le serveur envoie de nouvelles questions, actions ou paramètres à appliquer. Dans les environnements avec de nombreux endpoints, les inscriptions normales sont le principal moyen pour les Tanium Clients de recevoir de nouvelles questions, actions et paramètres.

Peering des clients

Dans un réseau d’entreprise, les Tanium Clients établissent des relations entre peers dans une chaîne linéaire. Les peer connections sont des connexions continues, de longue durée que les clients utilisent pour échanger des messages et des fichiers Tanium. Pendant l’inscription, TaaS le serveur envoie au Tanium Client une peer list des autres Tanium Clients avec lesquels il peut essayer d’établir une peer connection. Le Tanium Client utilise la liste pour déterminer les peers qui sont les voisins les plus optimaux au sein de la chaîne linéaire.

Pour personnaliser les paramètres de peering client pour convenir à votre déploiement, reportez-vous à la section Guide de déploiement de Tanium Client : Configuration du peering des Tanium Clients.

Leaders aval et amont

De par sa conception, un leader aval et un Leader amont terminent les extrémités opposées de la chaîne linéaire. Hormis lors de l’inscription, seuls les leaders établissent des connexions directes avec TaaS le serveur Tanium ou le zone Server. TaaS Le serveur transmet les sensors, les questions et les actions planifiées au leader amont, qui les transmet à son peer en aval, qui à son tour les transmet à son peer en aval, et ainsi de suite, jusqu’à ce qu’ils parviennent au leader aval. Le leader aval renvoie les réponses aux questions et les statuts des actions planifiées au TaaS serveur.

Les Tanium Clients établissent des connexions sortantes vers les peers en amont pour la distribution des fichiers (consultez la section Distribution de fichier).

F : Figure 1 :  Chaîne linéaire de Tanium Client

Réflexion aval et amont

La communication avec le peer Tanium est conçue pour s’adapter aux nouveaux clients qui sont en ligne, pour acheminer les clients qui sont supprimés ou ne peuvent plus communiquer efficacement, et pour réfléchir aux blocages au niveau du réseau, tels que le blocage du pare-feu. La réflexion aval se produit si un Tanium Client ne peut pas établir une connexion sortante vers un peer aval dans sa peer list : le client établit plutôt sa connexion aval avec TaaS le serveur et devient un leader aval. De même, la réflexion amont se produit si un Tanium Client ne peut pas établir une connexion sortante vers un peer amont : le client établit une connexion amont avec TaaS le serveur et devient un leader amont.

Connexions LAN et WAN

Le peering du client entraîne une réduction importante des connexions et de la bande passante sur les liaisons WAN. La figure suivante illustre les proportions des économies réalisées dans un réseau d’entreprise de grande taille qui possède des sous-réseaux dans un centre de données, un siège social et une succursale, ainsi que des connexions VPN de travailleurs distants. À l’exception de l’inscription, seuls les leaders et clients VPN distants, représentés en rouge vif, se connectent au TaaS serveur via le WAN (Internet, dans cet exemple). Les clients restants, représentés en rouge foncé, partagent des données sur des peer connections sur le LAN pour chaque sous-réseau.

F : Figure 2 :  Peering du client dans un réseau d’entreprise

Distribution de fichier

TaaS Le serveur Tanium distribue des fichiers (par l’intermédiaire d’un zone Server, s’il est déployé) aux endpoints gérés lorsque vous déployez des actions qui utilisent ces fichiers. Par exemple, si vous déployez une action pour mettre à niveau Windows, TaaS le serveur Tanium distribue un package qui inclut le fichier correctif Windows. Les Tanium Clients exécutés sur les endpoints optimisent le processus de distribution de fichiers via le peering et la mise en cache.

Distribution de fichiers entre peers

Le peering réduit le nombre de fichiers que TaaS le serveur Tanium distribue sur les liaisons WAN. Au lieu d’envoyer des fichiers à tous les endpoints gérés, TaaS le serveur Tanium envoie des fichiers uniquement au leader amont de chaque chaîne linéaire. Chaque leader amont relaie ensuite les fichiers sur une connexion LAN haut débit d’un peer aval à un autre jusqu’à ce qu’ils atteignent le leader aval.

Mise en cache des shards

La mise en cache permet aux clients de redistribuer des fichiers en petits morceaux appelés shards. Chaque client maintient un cache local intelligent des fichiers shards que TaaS le serveur Tanium a précédemment distribués à la chaîne linéaire. Lorsque les mêmes fichiers sont demandés ultérieurement (par exemple, lorsqu’une action s’exécute à nouveau), les clients peuvent réassembler les fichiers en collectant des shards auprès de leurs peers sur le LAN, plutôt qu’en demandant que TaaS le serveur Tanium ne redistribue les fichiers. Par défaut, chaque client maintient un cache de shard de 100 Mo. Chaque client conserve des shards particuliers basés sur un algorithme pour garantir une distribution efficace. Ces caches sont également auto-nettoyants selon un algorithme qui hiérarchise les shards récemment utilisés.

Pour distribuer un fichier, TaaS le serveur Tanium commence par le télécharger et le diviser en plusieurs fichiers de shard. Chaque shard est associé à une valeur de hachage. TaaSLe serveur Tanium crée ensuite un manifeste qui mappe tous les shards de composant à l’ensemble du fichier. Lorsque vous utilisez TaaS le serveur Tanium pour distribuer un package qui inclut un fichier, le package inclut le manifeste de ce fichier.

TaaS Le serveur Tanium ne fournit pas de shards via le processus d’inscription, comme c’est le cas pour les questions et les actions. Au lieu de cela, TaaS le serveur fournit des shards à chaque chaîne linéaire via le leader amont. Lorsqu’un Tanium Client reçoit le package et le fichier manifeste associé, il vérifie d’abord son propre cache pour voir s’il a déjà l’un des shards répertoriés dans le manifeste. Le Tanium Client génère ensuite un nouveau message de demande pour toutes les partitions qu’il n’a pas pu trouver localement. Ce message de demande est d’abord transmis le long de la chaîne linéaire jusqu’à sa fin. Lorsque le message de demande traverse la chaîne, chaque peer vérifie son cache local pour les shards répertoriés. Si le peer dispose de l’un des shards demandés, il envoie ce shard au peer demandeur. Pour éviter la duplication, il supprime également cette entrée particulière du message de demande avant de propager le message au peer suivant dans la chaîne. Si les Tanium Clients ne trouvent pas tous les shards après le flux direct le long de la chaîne, les clients envoient une demande pour les shards qui traversent la chaîne dans la direction inverse. Si des shards sont toujours manquants après que chaque peer a examiné son cache, le premier Tanium Client demande les shards manquants directement à partir de TaaS du serveur Tanium et les distribue de manière appropriée.

F : Figure 3 :  Fichiers de shard Tanium

TLS

TaaS Tanium Core Platform 7.2 ou version ultérieure prend en charge la fonction TLS (Transport Layer Security) pour la communication cryptée pour les connexions des Tanium Clients au TaaS serveur Tanium ou au zone Server. Tanium Client 7.4 ou version ultérieure utilise la communication TLS par défaut entre les peers du client. Pour plus d’informations, consultez le Guide de référence du déploiement de Tanium Core Platform : Configuration de la communication TLS.