Gestion des Zone Servers et des hubs

Dans le cadre de déploiements où les politiques de sécurité réseau ne permettent pas aux Tanium Clients d’un réseau externe non approuvé d’initier des connexions avec le Tanium Server, vous pouvez déployer un Tanium Zone Server dans la DMZ pour une communication proxy entre les clients et le Tanium Server. Le Tanium Server communique avec le Zone Server via un hub de Tanium Zone Servers. Vous devez activer l’approbation entre chaque Tanium Server et hub afin qu’ils puissent communiquer. Vous devez également mapper chaque Zone Server vers un hub afin que seuls les Zone Servers approuvés puissent communiquer avec les hubs. Dans le cadre d’un déploiement actif-actif, activez l’approbation et configurez des mappages pour chaque Tanium Server, Zone Server et hub.

* Le port 22 est requis uniquement pour une baie d’appliance Tanium.

Les procédures suivantes couvrent ces cas d’utilisation :

• Vous avez procédé à une mise à niveau à partir de Tanium Core Platform 7.3 et vous devez activer l’approbation et configurer les mappages car les serveurs les exigent en version 7.4 ou ultérieure.
• Vous avez terminé l’installation récente des Tanium Servers, des Zone Servers et des hubs de Zone Servers. Vous devez désormais activer l’approbation et configurer les mappages.
• Vous devez ajouter un Zone Server ou un hub à un déploiement existant.
• Vous devez remplacer un Zone Server ou un hub. Dans ce cas, vous devez révoquer l’état d’approbation et supprimer les mappages de l’ancien hub, puis activer l’approbation et configurer les mappages pour le nouveau hub.

Établir l’approbation et configurer des mappages

Avant de commencer

• Installez les Tanium Servers, les Zone Servers et les hubs de Zone Servers. Pour consulter les procédures, reportez-vous au guide de déploiement de votre infrastructure Tanium sous Tanium Servers Core Platform. Lorsque vous installez un hub Zone Servers, Tanium Console l’affiche automatiquement sous forme de mosaïque sur la page Administration (Administration) > Configuration (Configuration) > Zone Servers (Zone Servers) > Zone Server Hubs (Hub de Zone Servers).

• (Déploiement de Tanium Appliance uniquement) Vérifiez la version TanOS de vos appliances (reportez-vous au Guide de déploiement de Tanium Appliance : Afficher les informations de version). Si la version est TanOS 1.6.5 ou une version ultérieure, vous pouvez ignorer cette procédure car le processus d’installation de la baie établit automatiquement l’approbation entre les appliances de la baie (reportez-vous au Guide de déploiement de Tanium Appliance : Installer une baie d’appliances).

Dans le cadre d’un déploiement actif-actif, effectuez les tâches suivantes dans l’ordre sur chaque Tanium Server.

Valider l’approbation pour les hubs de Zone Servers

Effectuez les étapes suivantes pour chaque hub de zone Server.

Si vous avez mis à niveau le hub de Zone Servers depuis la version 7.3, le hub migre le fichier ZoneServerList.txt vers les mappages de Zone Server après avoir validé l’approbation pour le hub.

1. Affichez l’empreinte d’enregistrement du hub de Zone Servers afin que, lors d’une étape ultérieure, vous puissiez vérifier son identité avant d’établir une approbation.

   Déploiement d’appliances :

   1. Connectez-vous à la console TanOS de l’appliance du hub de Zone Servers en tant qu’utilisateur disposant du rôle tanadmin.
   2. Saisissez @ pour ouvrir la page About the Appliance (À propos de l’appliance) et notez la valeur du champ Hub Registration Fingerprint (Empreinte d’enregistrement du hub de TZS). Afficher l’écran

      Tanium Zone Server Pub Key MD5:   Not Available
      Tanium Zone Server Init Key MD5:  Not Available
      TZS Hub Registration Fingerprint: 43:e6:3b:8c:d7:98   <---------- 
      Tanium License MD5:               Not Available

   Déploiement sous Windows :

   1. Connectez-vous au hub de Zone Servers et accédez à la CLI.
   2. Accédez au répertoire d’installation du hub de Zone Servers (exemple : \Program Files (x86)\Tanium\Tanium ZoneServer) :

      > cd <Zone Server>

   3. Affichez l’empreinte d’inscription du hub de Zone Servers :

      > TaniumZoneServer pki show-registration-fingerprint

2. Connectez-vous à Tanium Console d’un Tanium Server.
3. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Zone Servers (Zone Servers) > Zone Server Hubs (Hubs de Zone Servers).

   La page affiche une mosaïque pour chaque hub de Zone Servers que vous avez installé.

4. Vérifiez l’identité de chaque hub de Zone Servers par empreinte et adresse  IP ou FQDN.

   Si les identifiants d’un hub de Zone Servers sont incorrects, désactivez le hub avant de refuser l’approbation. Une approbation refusée est irréversible pour toute instance particulière d’un hub. Pour valider l’approbation par la suite, vous devez désinstaller et réinstaller le hub afin qu’il génère une nouvelle empreinte.

5. Dans la mosaïque Zone Server Hub (Hub de Zone Servers), cliquez sur Accept (Accepter) et sur Confirm (Confirmer).

   La mosaïque indique que le champ Status (Statut) pour l’approbation est réglé sur Approved (Approuvé).

Mapper des Zone Servers sur un hub de Zone Servers

Après avoir validé l’approbation pour les hubs de Zone Servers, effectuez les étapes suivantes pour chaque Zone Server. Dans le cadre d’un déploiement actif-actif, mappez les deux Zone Servers à chaque hub de Zone Servers.

1. Affichez l’empreinte d’enregistrement du Zone Server afin que, lors d’une étape ultérieure, vous puissiez vérifier son identité avant d’établir une approbation.

   Déploiement d’appliances :

   1. Connectez-vous à la console TanOS de l’appliance du Zone Server en tant qu’utilisateur disposant du rôle tanadmin.
   2. Saisissez @ pour ouvrir la page About the Appliance (À propos de l’appliance). Notez la valeur du champ TZS Registration Fingerprint (Empreinte d’enregistrement du TZS). Afficher l’écran

      Tanium Zone Server Pub Key MD5:  Tanium zone server installed but no pub found
      TZS Registration Fingerprint:    fa:3f:30:13:c5:be   <---------- 
      Tanium License MD5:              Not Installed

   Déploiement sous Windows :

   1. Connectez-vous au Zone Server et accédez à la CLI.
   2. Accédez au répertoire d’installation du Zone Server (exemple : \Program Files (x86)\Tanium\Tanium ZoneServer) :

      > cd <Zone Server>

   3. Affichez l’empreinte d’inscription du Zone Server :

      > TaniumZoneServer pki show-registration-fingerprint

2. Connectez-vous à Tanium Console.
3. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Zone Servers (Zone Servers) > Zone Servers Hubs (Hubs de Zone Servers).
4. Dans la mosaïque Zone Server Hub (Hub de Zone Servers), cliquez sur Add Zone Server (Ajouter un Zone Server).
5. Saisissez le FQDN, le nom d’hôte ou l’adresse IP du Zone Server.
6. (Facultatif) Si vous avez configuré le Zone Server pour utiliser un port autre que le port par défaut 17472 pour le trafic provenant du hub de Zone Servers, sélectionnez l’option Override Default Port (Remplacer le port par défaut) et saisissez le numéro du port.

   Pour améliorer la sécurité du Zone Server, configurez des ports séparés pour le trafic provenant de hubs de Zone Servers et de Tanium Clients. Reportez-vous au Guide de déploiement de Tanium Core Platform pour Windows : Configurer les ports du trafic depuis des hubs de zones de serveur et des clients Tanium.

7. Cliquez sur Save (Enregistrer).

   En dessous de la mosaïque Zone Server Hub (Hub de Zone Servers), Tanium Console affiche une mosaïque pour le Zone Server que vous avez ajouté.

8. Cliquez sur l’onglet Zone Servers (Zone Servers).

   La page affiche une mosaïque avec le champ Status (Statut) réglé sur Pending (En attente) pour chaque Zone Server que vous avez ajouté.

9. Vérifiez l’identité de chaque Zone Server par Fingerprint (Empreinte)  et adresse IP ou FQDN.

   Si les identifiants d’un Zone Server sont incorrects, désactivez le serveur avant de refuser l’approbation.

10. Dans la mosaïque Zone Server (Zone Server), cliquez sur Accept (Accepter) et sur Confirm (Confirmer).

    La mosaïque indique que le champ Status (Statut) pour le mappage est réglé sur Approved (Approuvé).

Révoquer l’approbation et supprimer les mappages

Si vous devez remplacer l’un des hubs de Zone Servers, révoquez l’état d’approbation et les mappages des Zone Servers par l’ancien hub avant d’établir l’approbation et les mappages pour le nouveau hub. Si vous devez remplacer un Zone Server, supprimez son mappage de hub avant de créer un mappage pour le nouveau Zone Server.

Vous ne pouvez pas annuler la révocation de l’approbation du serveur sans réinstaller le Zone Server ou le hub de Zone Servers révoqué.

Dans le cadre d’un déploiement actif-actif, effectuez ces tâches sur chaque Tanium Server.

Révoquer un hub de Zone Servers

1. Connectez-vous à Tanium Console d’un Tanium Server.
2. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Zone Servers (Zone Servers) > Zone Server Hubs (Hubs de Zone Servers).

   La page affiche une mosaïque pour chaque hub de Zone Servers.

3. Dans la mosaïque Zone Server Hub (Hub de Zone Servers), cliquez sur Revoke (Révoquer) et sur Confirm (Confirmer).

Révoquer un Zone Server

1. Connectez-vous à Tanium Console d’un Tanium Server.
2. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Zone Servers (Zone Servers) > Zone Servers (Zone Servers).

   La page affiche une mosaïque pour chaque Zone Server (Zone Server).

3. Dans la mosaïque Zone Server (Zone Server), cliquez sur Revoke (Révoquer) et sur Confirm (Confirmer).

Supprimer un mappage entre le hub de Zone Servers et le Zone Server

1. Connectez-vous à Tanium Console d’un Tanium Server.
2. Dans le menu principal, accédez à Administration (Administration) > Configuration (Configuration) > Zone Servers (Zone Servers) > Zone Server Hubs (Hubs de Zone Servers).

   La page affiche une mosaïque Zone Server (Zone Server) pour chaque mappage.

3. Dans la mosaïque Zone Server (Zone Server), cliquez sur Delete Mapping (Supprimer le mappage).