Secure Relay 요구 사항

Secure Relay는 네트워크에서 Tenable Identity Exposure로 Active Directory 데이터를 보내는 전송 모드이며 이 다이어그램에서 볼 수 있는 것처럼 VPN 대신 TLS(전송 계층 보안)를 사용합니다. Relay 기능은 네트워크에서 인터넷에 연결하기 위해 프록시 서버가 필요한 경우 HTTP 프록시도 지원합니다(인증 포함 또는 미포함).

Tenable Identity Exposure에서는 여러 Secure Relay를 지원하므로 필요에 따라 도메인에 매핑할 수 있습니다.

TLS 1.2를 사용하려면 Relay 서버가 2024년 1월 24일 기준으로 다음과 같은 암호 제품군 중 하나 이상을 지원해야 합니다.

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

또한, Windows 구성이 지정된 암호 제품군과 일치하여 Relay 기능과 호환되어야 합니다.

  1. PowerShell에서 다음의 명령을 실행합니다.

    복사 
    @("TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256") | % { Get-TlsCipherSuite -Name $_ }

  2. 출력이 다음과 같은지 확인합니다. TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.

  3. 출력이 비어 있는 경우, Relay의 TLS 연결이 작동하기 위해 필요한 암호 제품군 중 사용 설정된 것이 없다는 의미입니다. 적어도 하나의 암호 제품군을 사용 설정하십시오.

  4. Relay 서버에서 ECC(Elliptic Curve Cryptography) 곡선을 확인합니다. ECDHE(Elliptic Curve Diffie-Hellman Ephemeral) 암호 제품군을 사용하려면 이 확인이 필수입니다. PowerShell에서 다음의 명령을 실행합니다.

    복사 
    Get-TlsEccCurve

  5. 곡선 25519가 있는지 점검합니다. 없는 경우, 사용 설정합니다.

  1. IIS Crypto 도구에서 다음과 같은 옵션이 사용 설정되었는지 확인합니다.

    • 클라이언트 프로토콜: TLS 1.2

    • 암호: AES 128/128AES 256/256

    • 키 교환: ECDH

  2. 암호 설정을 수정하고 나면 컴퓨터를 다시 시작합니다.

    참고: Windows 암호 설정을 수정하면 컴퓨터에서 실행 중이고 Windows TLS 라이브러리, 일명 "Schannel"을 사용 중인 모든 애플리케이션에 영향이 발생합니다. 따라서 조정으로 인한 의도치 않은 부작용을 초래하지 않도록 해야 합니다. 선택한 구성이 조직의 전체 강화 목표 또는 규정 준수 요건과 일치하는지 확인하십시오.

  • 프록시 서버가 없는 일반적 설정의 경우 Relay에 다음 포트가 필요합니다.

    프록시 서버를 사용하는 설정의 경우 Relay에 다음 포트가 필요합니다.

    참고: 네트워크 흐름은 온프레미스나 SaaS 플랫폼에서나 같은 방식으로 작동합니다.

Secure Realy를 호스팅하는 가상 머신(VM)의 필수 조건은 다음과 같습니다.

고객 규모 Tenable Identity Exposure 서비스 필요한 인스턴스 메모리(인스턴스당) vCPU(인스턴스당) 디스크 토폴로지 사용 가능한 디스크 공간(인스턴스당)
모든 규모

  • tenable_Relay

  • tenable_envoy

 1 8GB RAM vCPU 2개 시스템 파티션과 별도의 로그용 파티션 30 GB
참고: Secure Relay와 디렉터리 수신기를 같은 가상 머신에 설치하는 경우, 크기 조정 요구 사항을 합쳐야 합니다. 리소스 크기 조정을 참조하십시오.
: 처음 설치하는 경우, VM을 도메인에 조인하지 않은 상태로 유지해야 설치 프로세스에 방해가 될지 모르는 기존 GPO 정책을 상속하지 않도록 예방하는 데 좋습니다. 설치가 완료된 다음에 VM을 도메인에 조인하면 됩니다.

VM에는 다음과 같은 요구 사항도 필요합니다.

  • HTTP/HTTPS 트래픽 — Secure Relay 컴퓨터를 향해 HTTP/HTTPS 트래픽을 유도할 수 있는 모든 클라이언트를 제거, 사용 중지, 우회하거나 허용 목록에 추가하십시오. 이 작업을 수행하면 Secure Relay 설치를 차단하고 Tenable 플랫폼에 유입되는 트래픽을 멈추거나 느려지게 합니다.

  • Windows Server 2016+ 운영 체제(Linux 아님)

  • 최소한 cloud.tenable.com*.tenable.ad(TLS 1.2)에 대한 인터넷에 연결되어 있는 확인된 DNS 쿼리 및 인터넷 액세스

  • 로컬 관리자 권한

  • EDR, 바이러스 백신 및 GPO 구성:

    • VM에 CPU가 충분히 남아 있어야 합니다. 예를 들어 Windows Defender Real-Time 기능은 상당한 양의 CPU를 사용하여 성능이 부족할 수 있습니다.

    • 자동 업데이트:

      • *.tenable.ad에 대한 호출을 허용하여 자동 업데이트 기능이 Relay 실행 파일을 다운로드할 수 있어야 합니다.

      • 자동 업데이트 기능을 차단하는 그룹 정책 개체(GPO)가 없는지 확인하십시오.

      • 'Relay 업데이트 프로그램'의 예약된 작업을 삭제하거나 변경하지 마십시오.

Windows
파일
C:\Tenable\*
C:\tools\*
C:\ProgramData\Tenable\*
프로세스
nssm.exe --> 경로: C:\tools\nssm.exe
Tenable.Relay.exe --> 경로: C:\Tenable\Tenable.ad\SecureRelay\Tenable.Relay.exe
envoy.exe --> 경로: C:\Tenable\Tenable.ad\SecureRelay\envoy.exe
updater.exe --> 경로: C:\Tenable\Tenable.ad\updater.exe
powershell.exe --> 경로: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe(OS 버전에 따라 다를 수 있음)
예약된 작업
C:\Windows\System32\Tasks\Relay updater
C:\Windows\System32\Tasks\Manual Renew Apikey
C:\Windows\System32\Tasks\Tenable\Tenable.ad\SecureRelay\CompressLogsSecureRelay
C:\Windows\System32\Tasks\Tenable\Tenable.ad\SecureRelay\RemoveLogsSecureRelay
레지스트리 키
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Tenable\Tenable.ad Secure Relay