Gestion des Zone Servers et des hubs

Tanium en tant que service établit et gère automatiquement l’approbation parmi les composants de Tanium Core Platform.

Dans le cadre de déploiements où les politiques de sécurité réseau ne permettent pas aux Tanium Clients d’un réseau externe non approuvé d’initier des connexions avec le serveur Tanium, vous pouvez déployer un Tanium Zone Server dans la DMZ pour une communication proxy entre les clients et le serveur Tanium. Le serveur Tanium communique avec le Zone Server via un hub de Tanium Zone Servers. Vous devez activer l’approbation entre chaque serveur Tanium et hub afin qu’ils puissent communiquer. Vous devez également mapper chaque Zone Server vers un hub afin que seuls les Zone Servers approuvés puissent communiquer avec les hubs. Dans le cadre d’un déploiement actif-actif, activez l’approbation et configurez des mappages pour chaque serveur Tanium, Zone Server et hub.

Déploiement du Zone Server

Dans le cadre de déploiements des appliances Tanium, le hub de Zone Servers est toujours installé sur le serveur Tanium. Dans le cadre d’un déploiement Windows, le hub est généralement installé sur le serveur Tanium, mais peut également être installé sur un hôte dédié.

Pour en savoir plus sur le Zone Server et sur le hub ainsi que sur les procédures pour les installer, reportez-vous au Guide de déploiement de Tanium Core Platform pour Windows : Tanium Zone Server.

Les procédures suivantes couvrent ces cas d’utilisation :

  • Vous avez procédé à une mise à niveau à partir de Tanium Core Platform 7.3 ou version antérieure et vous devez activer l’approbation et configurer les mappages car les serveurs les exigent en version 7.4 ou ultérieure.
  • Vous avez terminé l’installation récente des serveurs Tanium, des Zone Servers et des hubs de Zone Servers. Vous devez désormais activer l’approbation et configurer les mappages.
  • Vous devez ajouter un Zone Server ou un hub de Zone Servers à un déploiement existant.
  • Vous devez remplacer un Zone Server ou un hub de Zone Servers. Dans ce cas, vous devez révoquer l’état d’approbation et supprimer les mappages de l’ancien hub, puis activer l’approbation et configurer les mappages pour le nouveau hub.

Vous avez besoin du rôle réservé Administrateur pour gérer l’approbation et les mappages entre les Zone Servers et les hubs.

Établir l’approbation et configurer des mappages

Avant de commencer

Installez les serveurs Tanium, les Zone Servers et les hubs de Zone Servers. Pour consulter les procédures, reportez-vous au guide de déploiement de votre infrastructure Tanium sous Serveurs Tanium Core Platform. Lorsque vous ajoutez un hub de Zone Servers, Tanium Console l’affiche automatiquement sous forme de mosaïque sur la page Administration (Administration) > Configuration (Configuration) > Tanium Server (Serveur Tanium) > Zone Server Hub Trusts (Approbations de hubs de Zone Servers).

Dans le cadre d’un déploiement actif-actif, effectuez les tâches suivantes dans l’ordre sur chaque serveur Tanium.

Valider l’approbation pour les hubs de Zone Servers

Effectuez les étapes suivantes pour chaque hub de zone Server.

Si vous avez mis à niveau le hub de Zone Servers depuis la version 7.3 ou antérieure, le hub migre le fichier ZoneServerList.txt vers les mappages de Zone Server après avoir validé l’approbation pour le hub.

  1. Affichez l’empreinte d’enregistrement du hub de Zone Servers afin que, lors d’une étape ultérieure, vous puissiez vérifier son identité avant d’établir une approbation.

    Déploiement d’appliances :

    1. Connectez-vous à la console TanOS de l’appliance du hub de Zone Servers en tant qu’utilisateur disposant du rôle tanadmin.
    2. Saisissez @ pour ouvrir la page About the Appliance (À propos de l’appliance) et notez la valeur du champ Hub Registration Fingerprint (Empreinte d’enregistrement du hub de TZS). FerméAfficher l’écran

    Déploiement sous Windows :

    1. Connectez-vous à la CLI du hub de Zone Servers.
    2. Accédez au répertoire d’installation du hub de Zone Servers (exemple : \Program Files (x86)\Tanium\Tanium ZoneServer) :

      > cd <Zone Server>

    3. Affichez l’empreinte d’inscription du hub de Zone Servers :

      > TaniumZoneServer pki show-registration-fingerprint

  2. Connectez-vous à Tanium Console d’un serveur Tanium.
  3. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Tanium Server (Serveur Tanium) > Zone Server Hub Trusts (Approbations de hubs de Zone Servers).

    La page affiche une mosaïque pour chaque hub de Zone Servers que vous avez installé.

  4. Vérifiez l’identité de chaque hub de Zone Servers par empreinte et adresse  IP ou FQDN.

    Si les identifiants d’un hub de Zone Servers sont incorrects, désactivez le hub avant de refuser l’approbation. Une approbation refusée est irréversible pour toute instance particulière d’un hub. Pour valider l’approbation par la suite, vous devez désinstaller et réinstaller le hub afin qu’il génère une nouvelle empreinte.

  5. Dans la mosaïque Zone Server Hub (Hub de Zone Servers), cliquez sur Accept (Accepter) et sur Confirm (Confirmer).
  6. Vérifiez que les détails du hub sont corrects, cliquez sur Accept (Accepter), saisissez votre mot de passe de connexion et cliquez sur OK (OK).

    Dans la mosaïque Zone Server Hub (Hub de Zone Servers), le Status (Statut) d’approbation devient Approved (Validée).

Mapper des Zone Servers sur un hub de Zone Servers

Après avoir validé l’approbation pour les hubs de Zone Servers, effectuez les étapes suivantes pour chaque Zone Server. Dans le cadre d’un déploiement actif-actif, mappez les deux Zone Servers à chaque hub de Zone Servers.

  1. Affichez l’empreinte d’enregistrement du Zone Server afin que, lors d’une étape ultérieure, vous puissiez vérifier son identité avant d’établir une approbation.

    Déploiement d’appliances :

    1. Connectez-vous à la console TanOS de l’appliance du Zone Server en tant qu’utilisateur disposant du rôle tanadmin.
    2. Saisissez @ pour ouvrir la page About the Appliance (À propos de l’appliance). Notez la valeur du champ TZS Registration Fingerprint (Empreinte d’enregistrement du TZS). FerméAfficher l’écran

    Déploiement sous Windows :

    1. Connectez-vous à la CLI du Zone Server.
    2. Accédez au répertoire d’installation du Zone Server (exemple : \Program Files (x86)\Tanium\Tanium ZoneServer) :

      > cd <Zone Server>

    3. Affichez l’empreinte d’inscription du Zone Server :

      > TaniumZoneServer pki show-registration-fingerprint

  2. Connectez-vous à Tanium Console.
  3. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Tanium Server (Serveur Tanium) > Zone Server Hub Trusts (Approbations de hubs de Zone Servers).
  4. Dans la mosaïque Zone Server Hub (Hub de Zone Servers), cliquez sur Add Zone Server (Ajouter un Zone Server).
  5. Saisissez l’adresse  IP ou le FQDN du Zone Server. Si vous avez configuré le Zone Server pour utiliser un port autre que la valeur par défaut 17472 pour le trafic depuis le hub de Zone Servers, vous devez également spécifier ce port au format <[FQDN] | [IP address]>:<port>, par exemple zs1.example.com:17473 ou 192.168.2.1:17473.

    il convient de configurer des ports séparés pour le trafic depuis des hubs de zone serveur et des clients Tanium afin d’améliorer la sécurité du Zone Server. Pour plus de détails, reportez-vous à la section Guide de déploiement de Tanium Core Platform pour Windows : Configurer les ports du trafic depuis des hubs de zones de serveur et des clients Tanium.

  6. Cliquez sur OK (OK), saisissez votre Password (Mot de passe) de connexion et cliquez sur OK (OK) de nouveau.

    La console Tanium peut prendre quelques minutes pour afficher le mappage. Lorsque c’est le cas, le mappage Status (Statut) affiche Pending (En attente) dans la mosaïque Zone Server (Zone Server). Le mappage apparaît également dans la grille Zone Servers to Zone Server Hub Mappings (Mappages des Zone Servers aux hubs de Zone Servers).

  7. Dans la mosaïque Zone Server (Zone Server), cliquez sur Accept/Deny (Accepter/Refuser) pour lancer le workflow de mappage.
  8. Vérifiez l’identité de chaque Zone Server par Fingerprint (Empreinte)  et adresse IP ou FQDN.

    Si les identifiants d’un Zone Server sont incorrects, désactivez le serveur avant de refuser l’approbation.

  9. Cliquez sur Accept (Accepter), saisissez votre mot de passe de connexion et cliquez sur OK (OK).

    Dans la mosaïque Zone Server (Zone Server), le mappage Status (Statut) devient Approved (Approuvé).

Révoquer l’approbation et supprimer les mappages

Si vous devez remplacer l’un des hubs de Zone Servers, révoquez l’état d’approbation et les mappages des Zone Servers par l’ancien hub avant d’établir l’approbation et les mappages pour le nouveau hub. Si vous devez remplacer un Zone Server, supprimez son mappage de hub avant de créer un mappage pour le nouveau Zone Server. Dans le cadre d’un déploiement actif-actif, effectuez ces tâches sur chaque serveur Tanium.

Révoquer un hub de Zone Servers

  1. Connectez-vous à Tanium Console d’un serveur Tanium.
  2. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Tanium Server (Serveur Tanium) > Zone Server Hub Trusts (Approbations de hubs de Zone Servers).

    La page affiche une mosaïque pour chaque hub de Zone Servers.

  3. Dans la mosaïque Zone Server Hub (Hub de Zone Servers), cliquez sur Revoke (Révoquer), saisissez votre mot de passe de connexion et cliquez sur OK (OK).

    La section Zone Server Hub (Hub de Zone Servers) n’affiche plus de mosaïque pour le hub.

Révoquer un Zone Server

  1. Connectez-vous à Tanium Console d’un serveur Tanium.
  2. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Tanium Server (Serveur Tanium) > Zone Server Hub Trusts (Approbations de hubs de Zone Servers).

    La page affiche une mosaïque pour chaque Zone Server (Zone Server).

  3. Dans la mosaïque Zone Server (Zone Server), cliquez sur Revoke (Révoquer), saisissez votre mot de passe de connexion et cliquez sur OK (OK).

    La section Zone Servers (Zone Servers) n’affiche plus une mosaïque pour le serveur.

Supprimer un mappage entre le hub de Zone Servers et le Zone Server

  1. Connectez-vous à Tanium Console d’un serveur Tanium.
  2. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Tanium Server (Serveur Tanium) > Zone Server Hub Trusts (Approbations de hubs de Zone Servers).

    La grille Zone Servers to Zone Server Hub Mappings (Mappages entre les Zone Servers et le hub de Zone Servers) comporte une saisie pour chaque mappage.

  3. Sélectionnez le mappage, cliquez sur Delete Mapping (Supprimer le mappage), saisissez votre mot de passe de connexion et cliquez sur OK (OK).