Gestion des clés Tanium

Tanium en tant que service gère automatiquement les clés et certificats numériques qui sécurisent les connexions entre les composants de Tanium Core Platform.

Présentation des clés Tanium

Communication TLS

Le protocole Tanium™ utilise le protocole TLS (Transport Layer Security) 1.2 pour chiffrer la communication entre les composants suivants de la plateforme, comme illustré à la F : Figure 1 :

1  Serveur Tanium au serveur Tanium dans un déploiement actif/actif

Pour certaines communications entre des serveurs actifs/actifs, tels que le trafic de base de données Tanium et le trafic de synchronisation LDAP (Lightweight Directory Access Protocol), les appliances Tanium utilisent IPsec au lieu du protocole Tanium.

2 Serveurs Tanium au hub Zone Server

La F : Figure 1 montre le hub Zone Server installé sur un hôte qui est séparé des hôtes du serveur Tanium pour illustrer que la connexion est chiffrée. Toutefois, dans la plupart des déploiements Windows et dans tous les déploiements d’appliances, vous pouvez installer le hub sur le(s) même(s) hôte(s) que les serveurs Tanium.

3 Hub Zone Server au Zone Server
4e Tanium Clients (externes) au Zone Server
5 Tanium Clients (internes) aux serveurs Tanium
6 Tanium Client à Tanium Client (externe et interne)

Seul le Tanium Client 7.4 ou version ultérieure utilise le TLS pour chiffrer le trafic peer.

F : Figure 1 :  Communication du protocole Tanium

Lorsque vous installez ou mettez à niveau vers Tanium Core Platform 7.4 ou une version ultérieure, le TLS est activé par défaut pour la communication entre les composants de la plateforme. Pour plus de détails sur le TLS, et les étapes pour l’activer ou le désactiver, reportez-vous au Guide de référence de déploiement de Tanium Core Platform : Configuration de la communication TLS.

Les clés Tanium sécurisent uniquement le trafic Tanium. L’infrastructure de clés publiques pour votre entreprise régit la sécurité du trafic en dehors de Tanium sur les endpoints de votre réseau.

Vous avez besoin du rôle réservé Administrateur pour gérer les clés Tanium.

Pour gérer les clés qui sécurisent les connexions entre les composants de Tanium Core Platform via le protocole HTTPS (Hypertext Transfer Protocol Secure) au lieu du protocole Tanium, consultez le Guide de référence de déploiement de Tanium Core Platform : Sécurisation de la console Tanium, de l’API et de l’accès au serveur de module.

Pour plus de détails sur les clés utilisées pour se connecter et authentifier les fichiers de contenu que vous importez vers le serveur Tanium, reportez-vous à la section Authentification des fichiers de contenu.

Tanium Core Platform prend en charge TLS pour des connexions supplémentaires que les divers modules Tanium et services partagés requièrent. Pour plus de détails, reportez-vous aux guides d’utilisation de vos produits Tanium à l’adresse suivante : https://docs.tanium.com.

Clés racines

Lorsque vous installez le serveur Tanium, il génère automatiquement une paire de clés racines publiques-privées. Ces clés racines se trouvent en haut de l’infrastructure de clés Tanium et sont requises pour toutes les clés subalternes afin de sécuriser les connexions entre les composants Tanium Core Platform. Vous déployez la clé publique racine sur le Zone Server, le hub de Zone Server et les clients Tanium pendant l’installation ou la mise à niveau afin que ces composants puissent sécuriser la communication avec le serveur Tanium.

Le serveur Tanium utilise des paires de clés racines distinctes pour la communication TLS avec les clients Tanium en fonction de leur version. Initialement après une installation ou une mise à niveau récente, le Tanium Client 7.4 ou version ultérieure utilise la clé publique racine dont le nom Server (Serveur) est défini sur <Tanium Server FQDN> Root (Racine) 0 (reportez-vous à la F : Figure 3). Chaque nouvelle clé publique racine que vous créez pour la version 7.4 ou ultérieure a un nom Server (Serveur) unique au format <Tanium Server FQDN> Root (Racine) <#>. Le nom Server (Serveur) est défini sur legacy-root (racine-existante) pour la clé publique racine pour le Tanium Client 7.2. Vous ne pouvez pas créer de nouvelles clés pour la version 7.2.

Clés subalternes

Le serveur Tanium, le Zone Server, le hub de Zone Server et les clients Tanium génèrent des clés subalternes localement et demandent une signature numérique pour chaque paire de clés. Les signatures sont requises pour la communication TLS. Tanium Core Platform utilise les touches subalternes suivantes, comme indiqué dans la F : Figure 2 :

  • Clés TLS : chaque serveur Tanium Core Platform et client Tanium utilisent des clés TLS pour activer une communication TLS avec d’autres serveurs et clients. Le serveur Tanium utilise la clé privée racine pour générer des signatures pour les clés TLS du serveur.
  • Clés de signature de messages : le serveur Tanium utilise ces clés pour signer des messages (par exemple, des packs d’actions) qu’il envoie aux clients Tanium. Le serveur Tanium utilise la clé privée racine pour générer une signature pour les clés de signature de messages.
  • Clés TLS intermédiaires : une clé privée TLS intermédiaire permet de générer des signatures pour les clés TLS des clients Tanium. La paire de clés TLS intermédiaires réside sur le Zone Server dans les déploiements qui en détiennent (comme illustré dans la F : Figure 2) et sur le serveur Tanium. Le serveur renvoie la signature et la clé publique TLS intermédiaire à chaque client pour activer la communication TLS. Si vous utilisez des clés TLS intermédiaires au lieu des clés racines pour cette fonction, l’inscription du client sera plus rapide et moins gourmande en CPU. En termes de sécurité, vous pouvez faire pivoter les touches intermédiaires indépendamment des clés racines.
F : Figure 2 :  Clés Tanium

Une copie de la clé publique racine réside dans le répertoire d’installation du hub de Zone Server, que le hub soit installé sur le même hôte que le serveur Tanium (comme illustré dans la F : Figure 2) ou sur un hôte dédié.

Pour permettre une communication entre les serveurs Tanium Core Platform, vous devez également activer l’approbation. Pour plus de détails, reportez-vous aux sections Gestion de l’approbation des serveurs Tanium et Gestion des Zone Servers et des hubs.

Clés tournantes

Bien que les clés racines n’expirent jamais, vous pouvez les faire tourner. En d’autres termes, vous pouvez générer de nouvelles clés et révoquer les anciennes. Les clés tournantes sont utiles si votre organisation dispose d’une politique pour la rotation périodique des clés ou si la sécurité des clés actives est compromise. Si la sécurité des clés racines actives est compromise, procédez à la rotation immédiatement.

Si votre organisation ne dispose pas d’une stratégie sur la rotation des clés, la meilleure pratique consiste à faire tourner les clés racines au moins une fois par an, mais pas plus d’une fois tous les six mois.

vous ne pouvez pas faire tourner les clés racines pour le client Tanium 7.2. La console Tanium identifie les clés racines 7.2 avec une valeur Server (Serveur) définie sur legacy-root (racine-existante) (reportez-vous à la F : Figure 3).

Pour garantir la sécurité des clés privées racines, la console Tanium expose uniquement les clés publiques racines. Cependant, lorsque vous générez ou révoquez une clé publique, le serveur Tanium génère et révoque la clé privée automatiquement. De plus, lorsque vous faites tourner les clés racines, Tanium Core Platform fait tourner toutes les touches subalternes automatiquement. Que vous fassiez pivoter les clés racines ou pas, les clés subalternes tournent automatiquement à des intervalles configurables.

Les étapes suivantes récapitulent le workflow des clés tournantes :

  1. (Meilleures pratiques facultatives) Sur chaque serveur Tanium, chiffrez le fichier pki.db contenant les clés racines, les clés TLS du serveur Tanium et les clés de signature de messages. Il s’agit d’une tâche unique à effectuer pour empêcher un accès non autorisé aux clés. Reportez-vous à la section Chiffrer la base de données des clés racines.
  2. (Meilleures pratiques facultatives) Sauvegardez le fichier pki.db résidant sur chaque serveur Tanium, au cas où les serveurs connaîtraient une défaillance irrécupérable. Faites-le chaque fois que vous faites tourner les clés racines. Reportez-vous à la section Sauvegarder les clés racines.
  3. Si votre organisation dispose d’une stratégie de rotation des clés, configurez la rotation automatique des clés subalternes pour respecter cette politique. Il s’agit d’une tâche unique, à moins que votre politique ne change. Reportez-vous à la section Configurer la rotation des clés subordonnées.
  4. Générez une nouvelle clé publique racine. Le serveur Tanium génère automatiquement une nouvelle clé privée correspondante et déclenche la création de nouvelles clés subalternes. Reportez-vous à la section Générer des clés racines.

    La meilleure pratique consiste à attendre une semaine avant de révoquer les anciennes clés racines pour garantir que la génération de nouvelles clés couvre tous les composants Tanium Core Platform. En cas de révocation, tous les composants qui n’ont pas terminé ce processus consomment plus de ressources de traitement et de trafic réseau pour générer de nouvelles clés. Cependant, si la sécurité des clés racines est compromise, révoquez les anciennes clés immédiatement après avoir généré les nouvelles.

  5. Révoquez l’ancienne clé publique racine. Le serveur Tanium révoque automatiquement la clé privée associée et propage la directive de révocation pour les anciennes clés racines et les clés subalternes à tous les composants Tanium Core Platform. Pour plus de détails, reportez-vous à la section Révoquer des clés racines.

Afficher les informations sur les clés racines

La page Administration (Administration) > Configuration (Configuration) > Tanium Server (Serveur Tanium) > Root Key Management (Gestion des clés racines) affiche une mosaïque pour chaque clé publique racine active et affiche également une grille répertoriant les détails de révocation pour les clés révoquées. Dans un déploiement actif/actif, la page affiche les clés des deux serveurs Tanium, mais seulement après une approbation mutuelle validée (reportez-vous à la section Gestion de l’approbation des serveurs Tanium). Vous pouvez identifier les clés par leur Fingerprint (Empreinte), qui correspond au hachage de la clé, et par la valeur Server (Serveur). La clé publique racine, que le serveur Tanium utilise pour la communication TLS avec le client Tanium 7.2, a une valeur Server (Serveur) définie sur legacy-root (racine-existante). Toutes les autres clés sont destinées à la communication TLS avec les serveurs Tanium Core Platform et avec le client Tanium 7.4 ou version ultérieure.

F : Figure 3 :  Clés publiques racines Tanium

Chiffrer la base de données des clés racines

Pour éviter tout accès non autorisé, spécifiez un mot de passe pour chiffrer les clés racines que le serveur Tanium stocke dans le fichier pki.db. Dans un déploiement actif/actif, effectuez cette tâche sur chaque serveur Tanium.

la console Tanium affiche les valeurs de la plupart des paramètres que vous définissez. Cependant, dans un souci de sécurité, la console n’affiche pas le mot de passe de chiffrement à moins que vous ne le révéliez manuellement : reportez-vous à la section Afficher les paramètres protégés du serveur Tanium.

Définir le mot de passe de chiffrement

Chiffrez les clés racines en ajoutant le paramètre PKIDabAsepstword :

  1. Dans le menu principal, accédez à Administration (Administration) >  Management (Gestion) >  Local Settings (Paramètres locaux) puis cliquez sur New Setting (Nouveau paramètre).
  2. Pour le champ Setting Name (Nom du paramètre), saisissez PKIDatabasePassword.
  3. Pour le champ Setting Value (Valeur du paramètre), saisissez un mot de passe.
  4. Définissez Value Type (Type de valeur) sur protected (protégé) et cliquez sur Save (Enregistrer).

Stockez le mot de passe dans un endroit sûr.

Modifier le mot de passe de chiffrement

Après avoir ajouté le paramètre PKIDatabasePassword, vous pouvez modifier le mot de passe comme suit :

  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Local Settings (Paramètres locaux).
  2. Sélectionnez le paramètre PKIDatabasePassword.
  3. Cliquez sur Edit (Modifier) et saisissez le nouveau mot de passe dans le champ Setting Value (Valeur du paramètre), puis cliquez sur Save (Enregistrer).

Sauvegarder les clés racines

Lorsque vous faites tourner les clés racines, la meilleure pratique consiste à sauvegarder d’abord le fichier pki.db qui contient les clés et le mot de passe associé si vous avez chiffré le fichier. Vous pouvez utiliser la sauvegarde en cas de panne du serveur Tanium. Copiez le fichier pki.db depuis le dossier <Tanium_Server>/backups vers l’hôte, où vous stockez les sauvegardes. Stockez le mot de passe dans un emplacement sécurisé. Dans un déploiement actif/actif, effectuez cette tâche pour chaque serveur Tanium.

Si vous restaurez le fichier de sauvegarde pki.db sur un serveur Tanium, vous devez également restaurer la base de données Tanium associée pour permettre aux clients Tanium de se connecter à ce serveur. Par conséquent, sauvegardez la base de données Tanium dès que vous sauvegardez le fichier pki.db.

Générer des clés racines

Vous pouvez générer jusqu’à deux paires de clés racines publiques-privées actives pour chaque serveur Tanium. Dans un déploiement actif/actif, effectuez cette tâche sur chaque serveur Tanium.

  1. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Tanium Server (Serveur Tanium) > Root Key Management (Gestion des clés racines).
  2. Cliquez sur Create Key (Créer une clé) en regard du nom du serveur Tanium qui nécessite une nouvelle paire de clés racines publiques-privées. La page Root Key Management (Gestion des clés racines) affiche les détails sur les clés publiques racines dans une nouvelle mosaïque.

Révoquer des clés racines

Pour éviter les perturbations de communication entre les composants Tanium Core Platform, vous ne pouvez pas révoquer une paire de clés racines tant que vous n’avez pas généré une nouvelle paire de clés pour la remplacer. Examinez le workflow relatif à la Clés tournantes avant de révoquer l’ancienne paire de clés racines. Vous devez révoquer les clés sur les deux serveurs Tanium dans un déploiement actif/actif. Révoquez les clés comme suit :

  1. (Déploiements actif/actif uniquement) Si le serveur Tanium pour lequel vous révoquez les clés n’a qu’une seule paire de clés racines actives, vous devez révoquer l’approbation pour ce serveur avant de révoquer ses clés : reportez-vous à la section Révoquer l’approbation entre des serveurs Tanium.
  2. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Tanium Server (Serveur Tanium) > Root Key Management (Gestion des clés racines).
  3. Dans la section Active Root Keys (Clés racines actives), cliquez sur Revoke (Révoquer) dans la mosaïque de la clé publique et confirmez l’opération lorsque vous y êtes invité(e).

Télécharger les fichiers de configuration de l’infrastructure (clés)

Le Zone Server, le hub de Zone Server et les clients Tanium doivent authentifier le serveur Tanium pour autoriser toute communication. La version 7.4 des serveurs et des clients utilise les clés (y compris la clé publique racine) , qui se trouvent dans le bundle d’initialisation (tanium-init.dat) à authentifier. Tanium Client 7.2 utilise uniquement la clé publique racine (tanium.pub) à authentifier. Le téléchargement du fichier d’initialisation ou du fichier de clés publiques du serveur Tanium vous permet de déployer le fichier vers les clients Tanium, le Zone Server et le hub du Zone Server.

Veillez à ne pas permettre que le fichier tanium-init.dat ou tanium.pub soit distribué ou stocké en dehors de votre organisation, par exemple dans un référentiel de code source accessible publiquement ou tout autre emplacement accessible depuis l’Internet public. Limitez la distribution à une utilisation spécifique dans le déploiement des Tanium Clients.

Bien que ces fichiers ne contiennent pas de clés privées et ne puissent pas être utilisés pour fournir un contrôle sur un environnement Tanium, un utilisateur avec une intention malveillante pourrait les utiliser pour connecter un client non approuvé et utiliser cet accès non autorisé pour savoir comment votre organisation utilise Tanium.

Pour la version 7.4 ou ultérieure des serveurs et des clients, tanium-init.dat est requis pour les installations récentes. Si vous avez procédé à une mise à niveau et si vous prévoyez de déployer d’autres clients 7.2, utilisez tanium.pub. Si vous avez procédé à une mise à niveau et si vous prévoyez de déployer de nouveaux clients 7.4, l’utilisation de tanium-init.dat est la meilleure pratique.

  1. (Déploiement actif/actif uniquement) Activez l’approbation entre les serveurs Tanium dans un déploiement actif/actif si vous ne l’avez pas déjà fait. Lors de l’établissement de l’approbation, les serveurs échangent les clés nécessaires afin que le fichier tanium-init.dat sur chaque serveur contienne la clé publique des deux serveurs. Pour plus de détails, reportez-vous à la section Gestion de l’approbation des serveurs Tanium.
  2. (Tanium Client 7.2 uniquement) Activez le protocole Tanium que le Tanium Client 7.2 utilise pour s’authentifier :
    1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) >Global Settings (Paramètres globaux).
    2. Sélectionnez enable_protocol_314_flag (activer_protocole_drapeau_314) et cliquez sur Edit (Modifier).
    3. Définissez la Setting Value (Valeur du paramètre) sur 1 et cliquez sur Save (Enregistrer).
  3. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Tanium Server (Serveur Tanium) > Infrastructure Configuration Files (Fichiers de configuration de l’infrastructure).
  4. Cliquez sur Download (Télécharger) dans la section Clients v7.4+ and Zone Server (Clients v7.4+ et zone Server) ou Clients v7.2 (Clients v7.2) en fonction du fichier requis.Fichiers de configuration d’infrastructure
  5. Modifiez éventuellement le nom du fichier par défaut, puis cliquez sur OK (OK).

    Le fichier apparaît dans le dossier Downloads (Téléchargements) sur le système que vous utilisez pour accéder à la console Tanium.

Pour déployer le fichier tanium-init.dat ou tanium.pub, reportez-vous au guide d’utilisation concerné :

Configurer la rotation des clés subordonnées

Les composants Tanium Core Platform génèrent automatiquement de nouvelles paires de clés subalternes lorsqu’il est temps de les faire tourner. Par exemple, les clients Tanium renouvellent leurs clés TLS quatre heures (délai de renouvellement) avant la fin de chaque période de validité de sept jours (intervalle d’expiration) par défaut. Le délai de renouvellement donne aux composants suffisamment de temps pour rétablir l’approbation dans l’environnement Tanium avant que les clés actuelles ne soient périmées. Configurez les périodes de validité et le délai de renouvellement pour respecter la politique de votre organisation. Si votre organisation ne dispose pas d’une politique, la meilleure pratique consiste à respecter le délai par défaut et les périodes de validité. Effectuez les étapes suivantes pour chaque type de paire de clés subalternes :

  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux) et sélectionnez le paramètre dans la grille (reportez-vous au T :  Tableau 4).
  2. Dans le volet Selected System Setting (Paramètre système sélectionné), cliquez sur Edit (Modifier).
  3. Dans le champ Setting Value (Valeur du paramètre), saisissez la période de validité ou le délai de renouvellement.
  4. Dans le menu déroulant Affects (Affecte), sélectionnez une option en fonction du paramètre :
    • PKIClientTLSKeyRenewalWindowHours : Sélectionnez client (client).
    • Tous les autres paramètres : Sélectionnez server (serveur).
  5. Cliquez sur Save (Enregistrer).
T :  Tableau 4 : Paramètres pour la rotation des clés
Configuration Recommandations
pki_server_tls_key_duration_days La période de validité pour la paire de clés que le serveur Tanium utilise pour la communication TLS avec un autre serveur Tanium (dans un déploiement actif/actif), le hub de zone Server ou les Tanium Clients (dans les déploiements sans zone Server). La valeur par défaut est 60 jours.
pki_server_tls_key_renewal_window_hours Le délai de renouvellement pour la paire de clés que le serveur Tanium utilise pour la communication TLS avec un autre serveur Tanium (dans un déploiement actif/actif), le hub de zone Server ou les Tanium Clients (dans les déploiements sans zone Server). La valeur par défaut est définie sur 4 heures.
pki_message_signing_key_duration_days Période de validité pour la paire de clés que le serveur Tanium utilise pour signer des messages (par exemple, pour les packs d’actions) qu’il envoie aux clients Tanium. La valeur par défaut est 180 jours.
pki_message_signing_key_renewal_window_hours Délai de renouvellement pour la paire de clés que le serveur Tanium utilise pour signer des messages (par exemple pour les packs d’actions) qu’il envoie aux clients Tanium. La valeur par défaut est définie sur 4 heures.
pki_hub_tls_key_duration_days Période de validité pour la paire de clés que le hub du Zone Server utilise pour la communication TLS avec le serveur Tanium et le Zone Server. La valeur par défaut est 60 jours.
pki_hub_tls_key_renewal_window_hours Délai de renouvellement pour la paire de clés que le hub du Zone Server utilise pour la communication TLS avec le serveur Tanium et le Zone Server. La valeur par défaut est définie sur 4 heures.
pki_zoneserver_tls_key_duration_days Période de validité pour la paire de clés que le Zone Server utilise pour la communication TLS avec le hub de Zone Server et les clients Tanium. La valeur par défaut est 60 jours.
pki_zoneserver_tls_key_renewal_window_hours Délai de renouvellement pour la paire de clés que le Zone Server utilise pour la communication TLS avec le hub de Zone Server et les clients Tanium. La valeur par défaut est définie sur 4 heures.
pki_client_tls_ca_key_duration_days Période de validité pour la paire de clés que le Zone Server ou le serveur Tanium (dans les déploiements sans Zone Server) utilise pour fournir des signatures numériques pour les clients Tanium lorsqu’ils génèrent de nouvelles paires de clés TLS. La valeur par défaut est 180 jours.
pki_client_tls_ca_key_renewal_window_hours Délai de renouvellement pour la paire de clés que le Zone Server ou le serveur Tanium (dans les déploiements sans Zone Server) utilise pour fournir des signatures numériques pour les clients Tanium lorsqu’ils génèrent de nouvelles paires de clés TLS. La valeur par défaut est définie sur 168 heures (7 jours).
pki_client_tls_key_duration_days Période de validité pour la paire de clés que le serveur Tanium utilise pour la communication TLS avec un autre serveur Tanium, le Zone Server ou le serveur Tanium (dans les déploiements sans Zone Server). La valeur par défaut est 7 jours.
PKIClientTLSKeyRenewalWindowHours Délai de renouvellement pour la paire de clés que le serveur Tanium utilise pour la communication TLS avec un autre serveur Tanium, le Zone Server ou le serveur Tanium (dans les déploiements sans Zone Server). La valeur par défaut est définie sur 4 heures.