Zoneserver und Hubs verwalten

Tanium as a Service schafft und verwaltet automatisch das Vertrauen zwischen den Komponenten der Tanium Core Platform.

Bei Verteilungen, bei denen es die Netzwerksicherheitsrichtlinien den Tanium Clients in einem externen, nicht vertrauenswürdigen Netzwerk nicht erlauben, Verbindungen mit dem Tanium Server zu initiieren, können Sie einen Tanium Zone Server in der DMZ bereitstellen, um die Kommunikation zwischen den Clients und dem Tanium Server per Proxy zu ermöglichen. Der Tanium Server kommuniziert mit dem Zonenserver über einen Tanium Zone Server Hub. Sie müssen das Vertrauen zwischen jedem Tanium Server und dem Hub aktivieren, damit diese miteinander kommunizieren können. Sie müssen auch jeden Zonenserver einem Hub zuordnen, sodass nur vertrauenswürdige Zonenserver mit Hubs kommunizieren. Bei einer Aktiv-Aktiv-Verteilung aktivieren Sie das Vertrauen und konfigurieren die Zuordnungen für jeden Tanium Server, Zonenserver und Hub.

Zoneserver-Verteilung

In einer Tanium™ Appliance-Verteilung wird der Zone Server Hub immer auf dem Tanium Server installiert. In einer Windows-Verteilung wird der Hub normalerweise auf dem Tanium Server installiert, kann aber auch auf einem dedizierten Host installiert werden.

Weitere Informationen zum Zonenserver und zum Hub sowie die Vorgehensweisen bei der Installation finden Sie unter: Handbuch für die Bereitstellung der Tanium Core Platform unter Windows: Tanium Zone Server.

Die folgenden Vorgehensweisen behandeln diese Anwendungsfälle:

  • Sie haben von der Tanium Core Platform 7.3 oder älter aktualisiert und müssen das Vertrauen aktivieren und Zuordnungen konfigurieren, weil die Server diese in Version 7.4 oder neuer benötigen.
  • Sie haben die Neuinstallation des Tanium Servers, Zoneservers und Zoneserver-Hubs abgeschlossen und müssen nun das Vertrauen aktivieren und Zuordnungen konfigurieren.
  • Sie müssen einen Zoneserver oder Zoneserver-Hub zu einer vorhandenen Bereitstellung hinzufügen.
  • Sie müssen einen Zoneserver oder Zoneserver-Hub ersetzen. In diesem Fall müssen Sie den Vertrauensstatus widerrufen und die Zuordnungen für den alten Hub löschen und dann für den neuen Hub das Vertrauen aktivieren und Zuordnungen konfigurieren.

Sie benötigen die reservierte Administratorrolle, um Vertrauen und Zuordnungen zwischen Zoneservern und Hubs zu verwalten.

Vertrauen und Zuordnungen einrichten

Bevor Sie beginnen

Installieren Sie die Tanium Server, Zoneserver und Zoneserver-Hubs. Für die Verfahren lesen Sie bitte den Bereitstellungsleitfaden für Ihre Tanium-Infrastruktur unter Tanium Core Platform-Server. Wenn Sie einen Zonenserver-Hub hinzufügen, zeigt die Tanium Console ihn automatisch als Kachel auf der Seite Administration > Configuration (Konfiguration) > Tanium Server > Zone Server Hub Trusts (Zonenserver-Hub-Vertrauen) an.

Führen Sie bei einer Aktiv-Aktiv-Verteilung die folgenden Aufgaben nacheinander auf jedem Tanium Server aus. 

Vertrauen für Zoneserver-Hubs genehmigen

Führen Sie für jeden Zoneserver-Hub die folgenden Schritte durch.

Wenn Sie den Zoneserver-Hub von Version 7.3 oder älter aktualisiert haben, migriert der Hub die Datei ZoneServerList.txt in Zoneserver-Zuordnungen, nachdem Sie das Vertrauen für den Hub genehmigt haben.

  1. Zeigen Sie den Registrierungsfingerabdruck des Zonenserver-Hubs an, damit Sie in einem späteren Schritt seine Identität überprüfen können, bevor Sie Vertrauen herstellen.

    Appliance-Verteilung:

    1. Melden Sie sich auf der Zonenserver-Hub-Appliance bei der TanOS-Konsole als Benutzer mit der Rolle Tanadmin an.
    2. Geben Sie @ ein, um die Seite About the Appliance (Über Appliance) zu öffnen und sich den Wert im Feld TZS Hub Registration Fingerprint (Registrierungsfingerabdruck TZS Hub) zu notieren. GeschlossenBildschirm anzeigen

    Windows-Bereitstellung:

    1. Melden Sie sich bei der Zonenserver-Hub-CLI an.
    2. Navigieren Sie zum Installationsverzeichnis des Zoneserver-Hubs (z. B. \Program Files (x86)\Tanium\Tanium ZoneServer):

      > cd <Zoneserver>

    3. Zeigen Sie den Registrierungs-Fingerabdruck des Zoneserver-Hubs an:

      > TaniumZoneServer pki show-registration-fingerprint

  2. Melden Sie sich bei der Tanium Console eines Tanium Servers an.
  3. Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Tanium Server > Zone Server Hub Trusts (Zonenserver-Hub-Vertrauen).

    Die Seite zeigt eine Kachel für jeden Zone Server Hub (Zoneserver-Hub) an, den Sie installiert haben.

  4. Verifizieren Sie die Identität jedes Zoneserver-Hubs über seinen Fingerprint (Fingerabdruck) und seine IP -Adresse oder seinen FQDN.

    Wenn die Identifizierer eines Zoneserver-Hubs falsch sind, nehmen Sie den Hub außer Betrieb, bevor Sie das Vertrauen für ihn ablehnen. Die Verweigerung von Vertrauen für eine bestimmte Instanz eines Hubs kann nicht rückgängig gemacht werden. Um das Vertrauen später zu genehmigen, müssen Sie den Hub deinstallieren und neu installieren, sodass er einen neuen Fingerabdruck erzeugt.

  5. Klicken Sie in der Kachel Zone Server Hub (Zonenserver-Hub) auf Accept (Akzeptieren) und auf Confirm (Bestätigen).
  6. Überprüfen Sie, ob die Hub-Details korrekt sind, klicken Sie auf Accept (Akzeptieren), geben Sie Ihr Anmeldepasswort ein, und klicken Sie auf OK.

    In der Kachel Zone Server Hub (Zoneserver-Hub) ändert sich der Status des Vertrauens in Approved (Genehmigt).

Zoneserver einem Zoneserver-Hub zuordnen

Nachdem Sie Vertrauen für Zoneserver-Hubs genehmigt haben, führen Sie die folgenden Schritte für jeden Zoneserver aus. Ordnen Sie in einer Aktiv-Aktiv-Verteilung beide Zonenserver jedem Zonenserver-Hub zu. 

  1. Zeigen Sie den Registrierungsfingerabdruck des Zonenserver an, damit Sie in einem späteren Schritt seine Identität überprüfen können, bevor Sie Vertrauen herstellen.

    Appliance-Verteilung:

    1. Melden Sie sich auf der Zonenserver-Appliance bei der TanOS-Konsole als Benutzer mit der Rolle Tanadmin an.
    2. Geben Sie @ ein, um die Seite About the Appliance (Über Appliance) zu öffnen. Notieren Sie sich den Wert im Feld TZS Registration Fingerprint (Registrierungsfingerabdruck TZS). GeschlossenBildschirm anzeigen

    Windows-Bereitstellung:

    1. Melden Sie sich bei der Zonenserver-CLI an.
    2. Navigieren Sie zum Zoneserver-Installationsverzeichnis (z. B. \Program Files (x86)\Tanium\Tanium ZoneServer):

      > cd <Zoneserver>

    3. Zeigen Sie den Registrierungs-Fingerabdruck des Zoneservers an:

      > TaniumZoneServer pki show-registration-fingerprint

  2. Melden Sie sich in der Tanium Console an.
  3. Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Tanium Server > Zone Server Hub Trusts (Zonenserver-Hub-Vertrauen).
  4. Klicken Sie in einer Kachel für einen Zone Server Hub (Zoneserver-Hub auf Add Zone Server (Zoneserver hinzufügen).
  5. Geben Sie die  IP-Adresse oder den FQDN des Zoneservers ein. Wenn Sie den Zoneserver so konfiguriert haben, dass er einen anderen Port als den Standard-Port 17472 für Datenverkehr vom Zoneserver-Hub verwendet, müssen Sie auch diesen Port im Format <[FQDN] | [IP address]>:<port> angeben, beispielsweise zs1.example.com:17473 oder 192.168.2.1:17473.

    Die Konfiguration separater Ports für Datenverkehr von Zoneserver-Hubs und Tanium Clients ist ein bewährtes Verfahren zur Verbesserung der Sicherheit des Zoneservers. Eine ausführliche Erklärung finden Sie im Handbuch für die Bereitstellung der Tanium Core Platform unter Windows: Konfiguration von Ports für Datenverkehr von Zoneserver-Hubs und Tanium Clients.

  6. Klicken Sie auf OK, geben Sie unter Password (Passwort) Ihr Anmeldepasswort ein und klicken Sie erneut auf OK.

    Die Tanium Console kann ein paar Minuten brauchen, um die Zuordnung anzuzeigen. Wenn dies geschehen ist, zeigt der Status der Zuordnung den Wert Pending (Ausstehend) in der Kachel Zone Server (Zoneserver) an. Die Zuordnung wird auch im Raster Zone Servers to Zone Server Hub Mappings (Zoneserver-zu -Zoneserver-Hub-Zuordnungen) angezeigt.

  7. Klicken Sie in der Kachel Zone Server (Zoneserver) auf Accept/Deny (Akzeptieren/Ablehnen), um den Arbeitsablauf für die Zuordnung zu starten.
  8. Verifizieren Sie die Identität jedes Zoneservers über seinen Fingerprint (Fingerabdruck)  und seine IP -Adresse oder seinen FQDN.

    Wenn die Identifizierer eines Zoneservers falsch sind, nehmen Sie den Server außer Betrieb, bevor Sie das Vertrauen für ihn ablehnen.

  9. Klicken Sie auf Accept (Akzeptieren), geben Sie Ihr Anmeldepasswort ein, und klicken Sie auf OK.

    In der Kachel Zone Server (Zoneserver) ändert sich der Status der Zuordnung in Approved (Genehmigt).

Vertrauen widerrufen und Zuordnungen löschen

Falls Sie einen der Zoneserver-Hubs ersetzen müssen, widerrufen Sie den Vertrauensstatus und die Zoneserver-Zuordnungen für den alten Hub, bevor Sie das Vertrauen und die Zuordnungen für den neuen Hub einrichten. Wenn Sie einen Zoneserver ersetzen müssen, löschen Sie seine Hub-Zuordnung, bevor Sie eine Zuordnung für den neuen Zoneserver erstellen. Führen Sie bei einer Aktiv-Aktiv-Verteilung die folgenden Aufgaben auf jedem Tanium Server aus. 

Einen Zoneserver-Hub widerrufen

  1. Melden Sie sich bei der Tanium Console eines Tanium Servers an.
  2. Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Tanium Server > Zone Server Hub Trusts (Zonenserver-Hub-Vertrauen).

    Die Seite zeigt eine Kachel für jeden Zone Server Hub (Zoneserver-Hub) an.

  3. Klicken Sie in der Kachel Zone Server Hub (Zoneserver-Hub) auf Revoke (Widerrufen), geben Sie Ihr Anmeldepasswort ein, und klicken Sie auf OK.

    Der Abschnitt Zone Server Hub (Zoneserver-Hub) zeigt keine Kachel für den Hub mehr an.

Einen Zoneserver widerrufen

  1. Melden Sie sich bei der Tanium Console eines Tanium Servers an.
  2. Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Tanium Server > Zone Server Hub Trusts (Zonenserver-Hub-Vertrauen).

    Die Seite zeigt eine Kachel für jeden der Zone Servers (Zoneserver) an.

  3. Klicken Sie in der Kachel Zone Server (Zonenserver) auf Revoke (Widerrufen), geben Sie Ihr Anmeldepasswort ein, und klicken Sie auf OK.

    Der Abschnitt Zone Server (Zoneserver) zeigt keine Kachel für den Server mehr an.

Eine Zoneserver-Hub-zu-Zoneserver-Zuordnung löschen

  1. Melden Sie sich bei der Tanium Console eines Tanium Servers an.
  2. Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration) > Tanium Server > Zone Server Hub Trusts (Zonenserver-Hub-Vertrauen).

    Das Raster Zone Servers to Zone Server Hub Mappings (Zoneserver-zu-Zoneserver-Hub-Zuordnungen) enthält einen Eintrag für jede Zuordnung.

  3. Wählen Sie die Zuordnung aus, klicken Sie auf Delete Mapping (Zuordnung löschen), geben Sie Ihr Anmeldepasswort ein, und klicken Sie auf OK.