Présentation des serveurs de Tanium Core Platform

Ce guide décrit les exigences et procédures d’installation des serveurs de Tanium™ Core Platform suivants sur l’infrastructure Windows fournie par le client.

  • Serveur Tanium™
  • Serveur de module Tanium™
  • Tanium™ Zone Server (y compris le hub de Zone Servers Tanium™)

Types d’infrastructures Tanium

Les serveurs de plateforme de base Tanium prennent en charge les options d’infrastructure suivantes :

  • Appliance Tanium physique ou virtuelle renforcée (recommandée) : Pour plus de détails, reportez-vous au Guide d’installation des appliances Tanium.
  • Installation Windows sur le matériel fourni par le client, comme décrit dans ce guide.

Serveur Tanium

Le serveur Tanium est le serveur qui communique avec tous les Tanium™ Clients, autres serveurs de la plateforme principale Tanium, ainsi que les serveurs content.tanium.com hébergeant les content packs Tanium. Les clients Tanium communiquent directement avec le serveur Tanium ou via un Zone Server Tanium qui agit en tant que proxy. Le serveur Tanium exécute également la console Tanium™ et les services API.

Vous pouvez installer le serveur Tanium su un hôte dédié séparé du serveur de module Tanium et du serveur de base de données, ou hôte tout-en-un que les trois serveurs partagent. Utilisez un hôte dédié pour les environnements de production et de laboratoire d’entreprise (reportez-vous à la section Topologie de Tanium Core Platform) ; l’architecture tout-en-un est uniquement destinée aux déploiements POC.

Vous pouvez déployer deux serveurs de Tanium dans un cluster haute disponibilité (HA) actif/actif, afin d’assurer une disponibilité continue en cas de panne ou de maintenance programmée. Les déploiements HA ont les caractéristiques suivantes :

Connexions du client Tanium

Les clients Tanium utilisent une liste de serveurs Tanium pour trouver automatiquement un serveur de sauvegarde, dans le cas où le serveur Tanium principal qui leur est affecté n’est pas disponible.

Connexions au Tanium Zone Server

Vous pouvez configurer les connexions de basculement à partir des serveurs Tanium via les hubs Zone Server vers les Zone Servers HA. Cela garantit que les deux Zone Servers peuvent continuer à servir les Tanium Clients si un serveur Tanium tombe en panne. Pour plus d’informations, reportez-vous à la section Haute disponibilité (HA) du Zone Server.

Base de données partagée

Les serveurs Tanium dans un cluster HA lisent et écrivent dans une base de données partagée. Chaque serveur crée une entrée pour lui-même dans la base de données Tanium qui l’identifie auprès des autres serveurs Tanium dans le cluster. Suivez les meilleures pratiques d’administration de base de données, afin de garantir la disponibilité du serveur de base de données et la sauvegarde régulière des bases de données Tanium et des objets de base de données associés.

Console Tanium

Chaque membre du cluster HA possède une console Tanium™ avec sa propre URL.

Modules de solution Tanium™

Les modules sont installés sur un serveur de module Tanium que tous les serveurs de Tanium dans un partage de cluster HA. Toutefois, pour rendre les modules disponibles dans tous les serveurs Tanium, vous devez importer les modules via la console Tanium de chaque membre du cluster. Le serveur de module ne prend pas en charge HA.

Communication de cluster HA

Chaque serveur Tanium transmet les messages Tanium (par ex. : les réponses aux questions) et les fichiers de package aux autres membres du cluster HA via le port 17472. Lorsque vous téléchargez des fichiers de package vers un serveur Tanium, il synchronise automatiquement les fichiers avec les autres membres du cluster HA.

Le clustering HA n’est pas nécessaire pour augmenter la capacité de Tanium ou améliorer les performances. Vous pouvez redimensionner le matériel du système hôte et les systèmes d’exploitation des serveurs autonomes de Tanium Core Platform pour répondre à vos exigences en matière de capacité et de performances. Pour plus de détails, reportez-vous à la section Référence : Recommandations de dimensionnement de système hôte.

Pour installer un serveur Tanium autonome (non HA) sur un hôte Windows Server dédié, reportez-vous à la section Installation du serveur Tanium. Pour installer des serveurs Tanium dans un déploiement HA, reportez-vous à la section Installation du serveur Tanium dans un cluster HA actif/actif.

Serveur de module Tanium

Le serveur de module Tanium exécute les services d’application et stocke les fichiers pour les modules de solution Tanium, tels que Tanium™ Patch. Les utilisateurs Tanium peuvent utiliser Tanium Console pour gérer et utiliser des modules de solution. Le serveur de module communique directement avec le serveur Tanium. Les endpoints reçoivent des packages via le serveur Tanium ou le Zone Server.

Dans les déploiements de production, vous installez le serveur du module sur un hôte dédié (non partagé avec le serveur Tanium) pour éviter que des scripts intentionnels ou accidentels n’aient un impact direct sur le serveur Tanium. Pour la procédure, reportez-vous à la section Installation du serveur de module Tanium.

Dans un déploiement POC limité uniquement, vous pouvez installer le serveur de module et le serveur Tanium sur le même hôte.

Tanium Zone Server

Dans les déploiements Tanium, les clients Tanium initient des connexions avec le serveur Tanium. Cependant, les politiques de sécurité réseau d’entreprise ne permettent généralement pas de gérer les endpoints résidant dans un réseau externe non approuvé, pour initier des connexions avec des ressources comme le serveur Tanium résidant dans un réseau interne fiable. Pour permettre au serveur Tanium de gérer les endpoints externes, déployez un ou plusieurs Zone Servers Tanium dans votre DMZ pour jouer le rôle d’intermédiaire (proxy) pour la communication avec les endpoints externes. Pour la procédure, reportez-vous à la section Installation du Tanium Zone Server.

La figure suivante illustre la communication de Zone Server. Le Zone Server est installé en tant que service, généralement sur un appareil dans DMZ. Il communique avec le serveur Tanium via un processus du hub Tanium Zone Server que vous installez sur un ordinateur hôte sur le réseau interne, généralement l’ordinateur hôte du serveur Tanium. Vous configurez les clients Tanium sur des endpoints pour qu’ils s’inscrivent auprès du Zone Server, comme s’il s’agissait du serveur Tanium principal.

F : Figure 1 :  Déploiement du Zone Server

*Par défaut, le Zone Server utilise le même port (17472 par défaut) pour le trafic des hubs de Zone Servers et des clients Tanium. Cependant, comme meilleure pratique pour améliorer la sécurité du Zone Server, configurez des ports séparés pour les hubs et les clients (reportez-vous à la section Configurer les ports du trafic provenant des hubs de Zone Servers et des clients de Tanium.

Mise en cache du Zone Server

Pour optimiser les performances du système Tanium, le Zone Server met en cache les fichiers et fichiers de package d’action demandés via l’API client Tanium. Il fournit ces ressources aux clients Tanium sans avoir à les demander à nouveau au serveur Tanium. Si nécessaire pour éviter la surconsommation d’espace disque sur le Zone Server, vous pouvez configurer une taille de cache maximale. Dans les déploiements où le hub Server s’exécute sur l’hôte du serveur Tanium, le hub n’a pas son propre cache mais utilise le cache du serveur Tanium. Si le hub se trouve sur un hôte dédié, vous devez activer le cache sur le hub. Pour configurer le cache sur le Zone Server ou le hub, reportez-vous à la section Gérer la mise en cache sur le Zone Server et le hub de Zone Servers.

Haute disponibilité (HA) du Zone Server

Vous pouvez déployer deux Zone Servers ou deux hubs de serveurs plus dans une configuration HA actif/actif, afin d’assurer une disponibilité continue en cas de panne ou de maintenance programmée. La figure suivante illustre un déploiement qui comporte des paires HA de serveurs Tanium, des hubs de Zone Servers et des Zone Servers. Dans cet exemple, les hubs de Zone Servers fonctionnent localement sur les serveurs Tanium.

F : Figure 2 :  Déploiement du Zone Server HA
Zone Servers HA

Les connexions suivantes (correspondant aux nombres dans F : Figure 2) garantissent une disponibilité continue dans ce déploiement :

Numéro 1 Chaque hub de Zone Servers se connecte à un seul serveur Tanium.

Numéro 2 Chaque hub de Zone Servers se connecte aux deux Zone Servers.

Dans Tanium Core Platform 7.4, vous pouvez configurer le paramètre HubPriorityList sur chaque Zone Server pour spécifier le hub de Zone Servers préféré à partir duquel le serveur reçoit le contenu du client Tanium (comme les définitions de sensor, les informations de configuration et les fichiers de package d’action). Dans les déploiements avec plusieurs Zone Servers et hubs, la configuration de la liste HubPriorityList est la meilleure pratique pour garantir que chaque Zone Server reçoit le contenu de son hub le plus proche. La configuration de ce paramètre optimise également l’utilisation du hub en veillant à ce que chaque concentrateur serve un zone Server au lieu d’un hub servant les deux serveurs. Pour connaître les étapes, reportez-vous à la section Installation du Tanium Zone Server.

Dans F : Figure 2, la liste HubPriorityList sur Zone Server 1 (zs1.example.com) spécifie le Hub de zone de serveur 1 (ts1.example.com). Par conséquent, tant que ts1.example.com est disponible, zs1.example.com reçoit le contenu client uniquement à partir de ce hub. Dans la figure, les lignes pleines indiquent les connexions lorsque le hub prioritaire est disponible. Si le hub prioritaire diminue, le Zone Server reçoit le contenu du client de l’autre hub ; dans la figure, les lignes pointillées indiquent les connexions de basculement.

Numéro 3 Les clients Tanium s’enregistrent via les deux Zone Servers afin que les deux serveurs Tanium puissent gérer les clients. Les serveurs Tanium se synchronisent les uns avec les autres pour garantir une disponibilité active.

Les Zone Servers n’exécutent pas de synchronisation HA et les hubs non plus.

Un déploiementHA garantit que vous pouvez continuer à gérer les points de terminaison si un serveur Tanium ou un Zone Server, ou un de chacun, diminue. Dans cet exemple, si Tanium Server 1 (ts1.example.com) diminue, le hub Zone Server 2 transmet le contenu du client Tanium à partir du serveur Tanium Server 2 (ts2.example.com) vers Zone Server 1 (zs1.example.com), ce qui peut donc continuer à servir les clients. La figure suivante illustre ce scénario.

F : Figure 3 :  Basculement du serveur Tanium dans un déploiement HA
Basculement du serveur Tanium

Si Zone Server 1 diminue dans cet exemple, Zone Server 2 (zs2.example.com) continue à recevoir le contenu du client Tanium depuis son hub prioritaire, Zone Server Hub 2 (ts2.example.com). La connexion de Zone Server Hub 1 (ts1.example.com) à zs2.example.com reste une connexion de secours tant que ts2.example.com est disponible. La figure suivante illustre ce scénario.

F : Figure 4 :  Basculement du Zone Server dans un déploiement HA
Basculement du Zone Server

Lorsque vous utilisez Tanium Core Platform pour gérer des points de terminaison externes, soyez conscient qu’ils peuvent ne pas disposer du même accès aux ressources internes que les points de terminaison internes. Ciblez les actions, de sorte que les clients Tanium sur les points de terminaison externes ne tentent pas d’accéder aux ressources sur le réseau interne, par exemple un serveur Active Directory.

Topologie de Tanium Core Platform

Dans un déploiement de production en entreprise, le serveur Tanium, le serveur de module Tanium et le serveur de base de données doivent résider sur des hôtes distincts, comme l’illustre la figure suivante. Dans un déploiement  POC, ces trois serveurs résident sur le même hôte. Cependant, l’architecture POC est destinée à des fins de démonstration uniquement et ne prend pas en charge les déploiements en entreprise. En tant que meilleure pratique, utilisez l’architecture de l’environnement de production pour l’environnement de laboratoire d’entreprise que vous utilisez pour qualifier les mises à niveau logicielles et tester les solutions de contenu. La figure suivante illustre un déploiement de production ou de laboratoire dans une configuration HA.

F : Figure 5 :  Déploiement de production ou déploiement de laboratoire d’entreprise

*Par défaut, le Zone Server utilise le même port (17472 par défaut) pour le trafic des hubs de Zone Servers et des clients Tanium. Cependant, comme meilleure pratique pour améliorer la sécurité du Zone Server, configurez des ports séparés pour les hubs et les clients (reportez-vous à la section Configurer les ports du trafic provenant des hubs de Zone Servers et des clients de Tanium.

Pour la topologie des déploiements utilisant un serveur proxy entre les serveurs et serveurs externes de Tanium Core Platform, reportez-vous au Guide d’utilisation de Tanium Console : configuration des paramètres du serveur proxy.