배포 전 요구 사항

시작하기 전에, 원활한 설치 프로세스를 보장하기 위해 다음 필수 조건에 부합하는지 확인하십시오.

Tenable Identity Exposure를 특정 호스팅 사양을 충족해야 하는 전용 Windows 환경에서 호스팅되는 애플리케이션 패키지로 설치합니다.Tenable Identity Exposure 에 패키지를 설치할 시스템의 운영 체제 마스터 이미지에 대한 액세스 권한이 필요합니다.

Tenable에서 Tenable 서비스와 사용자의 특정 요구사항만 포함하도록 애플리케이션 패키지를 사전 구성합니다. 이 배포 옵션은 최대한의 유연성을 제공하며 사용자의 특정 환경에 원활하게 통합됩니다.

Tenable Identity Exposure는 Windows 서비스에 포함된 마이크로서비스 아키텍처에서 실행됩니다. 이러한 서비스들은 전용 용도(스토리지, 보안 분석, 애플리케이션 등)를 가지고 있으며 모두 필수입니다. 따라서 Tenable Identity Exposure는 마이크로서비스 모델을 지원하는 운영 체제에만 설치할 수 있습니다.

OpenSSL 3.0 지원 — 버전 3.59.5부터 Tenable Identity Exposure에서 OpenSSL 3.0.x을 사용합니다. 따라서 SHA1로 서명한 X.509 인증서는 더 이상 보안 수준 1 이상에서 효과가 없습니다. TLS의 기본값은 보안 수준 1이므로, SHA1로 서명한 인증서는 인증 서버 또는 클라이언트에서 신뢰할 수 없는 항목이 됩니다.

이 변경 사항에 대응하여 인증서를 업그레이드해야 합니다. OpenSSL 3.0을 사용하도록 인증서를 업데이트하지 않고 설치를 계속하면, Tenable Identity Exposure 설치 프로그램에서 다음과 같은 오류 메시지를 권장 수정 사항과 함께 표시합니다.

설치 프로세스를 Tenable Identity Exposure를 설치할 서버의 로컬 또는 기본 제공 관리자 그룹의 로컬 계정 멤버 또는 관리자로서 수행하십시오.

주의: 시스템에 도메인 외부의 로컬 관리자 계정으로 로그인합니다. 도메인 내부의 로컬 관리자로 로그인하지 마십시오.

해당 계정에 필요한 권한은 다음과 같습니다.

  • SeBackupPrivilege

  • SeDebugPrivilege

  • SeSecurityPrivilege

설치하기 전에 호스트의 모든 AV 및/또는 EDR 솔루션을 사용 중지해야 합니다. 이렇게 하지 않으면 설치 중간에 롤백이 트리거됩니다. 설치를 마치고 나면 안전하게 AV/EDR을 사용 설정할 수 있지만, 디스크 I/O 작업량이 많아 제품 성능에 영향을 미칠 수 있다는 점을 유의해야 합니다.

설치하기 전에 필수 재부팅을 모두 수행합니다. 서버에서 설치 프로그램을 실행하면 해당 프로그램이 다음을 검사합니다.

  • 보류 중인 재부팅이 없습니다.

  • 서버를 정상적으로 다시 시작하고 지난 시간이 11분 미만입니다.

  • MSI가 다음 레지스트리 키를 검사합니다.

    • HKLM: \ Software \ Microsoft \ Windows \ CurrentVersion \ Component Based Servicing \ RebootPending

    • HKLM: \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WindowsUpdate \ Auto Update \ RebootRequired

    • HKLM: \ SYSTEM \ CurrentControlSet \ Control \ Session Manager -> PendingFileRenameOperations

운영 체제에서 서비스 계정 사용을 허용해야 합니다.

애플리케이션이 모든 이벤트를 정확하게 검색할 수 있도록 Windows 이벤트 로그의 최소 보관 시간은 5분 이상이어야 합니다.

다음 표에 지원되지 않는 구성을 상세히 설명했습니다.

구성

설명

활성 바이러스 백신 또는 엔드포인트 탐지 및 대응(EDR) 솔루션

Tenable Identity Exposure 플랫폼에는 대량의 디스크 I/O가 필요합니다.

  • 바이러스 백신과 EDR을 사용하면 플랫폼 성능이 크게 저하될 수 있습니다.

  • Tenable Identity Exposure 서비스 및 데이터 폴더를 허용하는 예외를 설정해야 합니다.

FIPS 호환 알고리즘

개인정보 보호를 위해, 암호화에 연방 정보 처리 표준(FIPS)을 준수하는 알고리즘을 활성화하지 마십시오.

방화벽

Tenable Identity Exposure 서비스가 서로 통신하여 안정적으로 보안 모니터링을 수행할 수 있도록 다음 작업을 수행합니다.

  • 발신 트래픽을 차단하는 로컬 방화벽 규칙을 사용 중지합니다.

  • 로컬 방화벽 규칙을 부여하여 Tenable Identity Exposure 서비스에서 들어오는 트래픽을 허용합니다.

Erlang

  • HOMEDRIVE 환경 변수를 사용자 지정하지 마십시오.

  • PATHEXT 환경 변수에는 .exe.bat 파일 확장자를 포함해야 합니다.

인증되지 않은 환경에 Tenable Identity Exposure의 플랫폼을 배포하면 예기치 않은 부작용이 발생할 수 있습니다.

특히 마스터 이미지에 타사 애플리케이션(예: 특정 에이전트나 데몬)을 배포하면 안정성이나 성능 문제를 초래할 수 있습니다.

Tenable에서는 타사 애플리케이션 수를 최소한으로 줄이도록 강력히 권장합니다.

Tenable Identity Exposure의 플랫폼에는 운영과 적절한 서비스 관리를 보장하기 위해 로컬 관리자 권한이 필요합니다.

  • Tenable 기술 책임자에게 호스트 컴퓨터의 관리자 계정과 연동된 자격 증명(사용자 이름과 비밀번호)를 제공해야 합니다.

  • 프로덕션 환경에 배포할 때는 Tenable 기술 책임자와 함께 검증한 비밀번호 갱신 프로세스를 고려하십시오.

Tenable에서는 업그레이드 프로그램의 일환으로 자사 시스템에 업데이트를 자주 게시하여 새로운 탐지 기능과 새로운 제품 특징을 제공합니다.

  • 이 배포의 경우, Tenable에서는 Tenable Identity Exposure 구성 요소 업데이트만 제공합니다. 사용자는 보안 패치를 자주 배포하는 등 운영 체제를 적절히 관리해야 합니다. Tenable Identity Exposure 릴리스에 대한 자세한 정보는 Tenable Identity Exposure 릴리스 정보를 참조하십시오.

  • Tenable Identity Exposure의 마이크로서비스 아키텍처에서 운영 체제 패치를 즉시 적용하도록 지원합니다.

  • Tenable Identity Exposure하드웨어 요구 사항 목록에 기재된 Windows Server의 이용 가능한 최신 업데이트 버전과 호환됩니다.

  • Tenable Identity Exposure 설치 프로그램에 Windows Server 2016 이후 버전에 대한 로컬 관리자 권한이 필요합니다. 설치에 사용한 계정이 기본 계정인 경우, 이 계정이 제한 없이 프로그램을 실행할 수 있어야 합니다.

  • 컴퓨터에서 로컬 서비스를 실행하려면 Tenable Identity Exposure 서비스에 로컬 관리자 권한이 있어야 합니다.

  • Tenable Identity Exposure에는 전용 데이터 파티션이 필요합니다. 파티션이 가득 차면 시스템이 중단될 가능성을 방지하기 위해 Tenable Identity Exposure를 OS 파티션에서 실행하지 마십시오.

  • Tenable Identity Exposure SQL 인스턴스에 가상 계정 사용 기능이 필요합니다.

  • 엄격한 보안 수단을 구현한 다음 Microsoft SQL Server에 설치하거나 업그레이드하는 경우, 사용자 권한이 부족해 설치 프로세스가 실패합니다. 사용자에게 설치에 필요한 권한이 있어야 합니다. 자세한 정보는 Microsoft 설명서를 참조하십시오.

  • Tenable Identity Exposure는 블랙박스로 실행해야 합니다. 각 컴퓨터를 Tenable Identity Exposure 전용으로 할당하고 다른 제품과 공유하지 마십시오.

  • Tenable Identity Exposure는 데이터 파티션에서 ‘Alsid’ 또는 ‘Tenable’ 접두사로 시작하는 폴더를 만들 수 있습니다. 따라서 데이터 파티션에 "Alsid"나 "‘Tenable"로 시작하는 폴더를 만들면 안 됩니다.

  • Erlang: HOMEDRIVE 환경 변수를 수정하지 마십시오. PATHEXT 환경 변수에는 .exe.bat 파일 확장자를 포함해야 합니다.

  • Tenable Identity Exposure의 AD 서비스 계정을 보호된 사용자 그룹 멤버로 설정해야 하는 경우, Tenable Identity Exposure 구성이 Kerberos 인증을 지원해야 합니다. 보호된 사용자는 NTLM 인증을 사용할 수 없기 때문입니다.

이 표는 설치 전 필수 조건을 간편한 체크리스트로 요약한 것입니다.

예약할 정보 또는 리소스

상태

필요한 계약(NDA, 평가 소프트웨어 라이선스)입니다(해당하는 경우).

  

모니터링할 대상 도메인의 활성 AD 사용자 수입니다.

  

컴퓨팅 및 메모리 리소스는 Tenable Identity Exposure의 크기 조정 행렬을 기반으로 합니다. 리소스 크기 조정을 참조하십시오.

  

Tenable 플랫폼을 배포하는 데 사용되는 각 가상 머신의 비공개 IP입니다.

  

업데이트 관리 인프라의 종류 및 IP 주소, 타임 서버, PKI 서버 등 및 ID 공급자입니다.

  

Tenable Identity Exposure 에 필요한 각 서비스에 대해 필요한 네트워크 흐름을 엽니다. 네트워크 흐름 행렬을 참조하십시오.

  

각 기본 도메인 컨트롤러 에뮬레이터의 개인 IP 주소입니다.

  

모니터할 각 Active Directory 포리스트에 일반 사용자 계정을 만듭니다.

  

해당하는 Active Directory 컨테이너에서 Tenable 서비스 계정에 대한 액세스 권한을 부여합니다.

  
권한 있는 분석 기능을 사용 설정하고자 하는 경우 그에 대한 액세스 권한을 부여합니다.  

AD 도메인 사용자 계정 로그인:

  

고객의 PKI에서 발급한 Tenable Identity Exposure의 웹 포털을 위한 TLS 인증서가 발급됨

  • 아니면 Tenable에 자체 서명된 인증서를 사용한다고 알립니다.

  

생성할 Tenable Identity Exposure 사용자 계정 목록:

  • 필수 정보: 이름, 성, 이메일 수조, 원하는 로그인.

  

활성화할 선택 사항 구성 목록(이메일 알림, Syslog 이벤트 전달 등)

  

Tenable과 협력할, 지정되고 근무 가능한 프로젝트 코디네이터입니다.

  

네트워크 필터링 문제나 PDCe 연결 불가와 같은 발생 가능한 기술적 문제에 대응할 기술 직원입니다.

  

참고 항목