安全中继

安全中继是一种使用传输层安全 (TLS) 代替 VPN 将 Active Directory 数据从网络传输到 Tenable Identity Exposure 的新模式(如该图表中所示)。如果您的网络需要代理服务器才能访问互联网,中继功能也支持有身份验证或无身份验证的 HTTP 代理。

Tenable Identity Exposure 可以支持多种安全中继,您可以根据需要将其映射到域。

有关安全中继的完整信息,请参阅《Tenable Identity Exposure 管理员指南》中的“安全中继”一节。

注意:安全中继功能目前仅在 Tenable Identity Exposure 对平台进行安全中继使用配置后才适用。您无法手动将配置从 VPN 切换到安全中继。如需有关将平台从 VPN 迁移到安全中继的帮助,请联系 Tenable Identity Exposure 客户支持代表。

网络流

TLS 要求

截至 2024 年 1 月 24 日,若要使用 TLS 1.2,中继服务器必须至少支持以下一种加密套件:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

此外,请确保您的 Windows 配置与指定的加密套件一致,以与中继功能兼容。

事先说明

允许的文件和进程

为使中继顺利运行,允许第三方安全工具(例如防病毒工具和/或 EDR (端点检测和响应) 与 XDR (扩展检测和响应))的特定文件和进程。

链接密钥

安装安全中继时需要使用包含网络地址和身份验证标记的一次性链接密钥。Tenable Identity Exposure 每次成功安装安全中继后都会重新生成新密钥。

安装

卸载

自动更新

在您安装安全中继后,Tenable Identity Exposure 会定期检查新版本。此过程完全自动完成,需要对您的域进行 HTTPS 访问 (TCP/443)。网络托盘中的图标会指示 Tenable Identity Exposure 正在更新安全中继。该进程完成后,Tenable Identity Exposure 服务会重新启动并恢复数据收集。

另请参阅:

有关安全中继的完整信息,请参阅《Tenable Identity Exposure 管理员指南》中的“安全中继”一节。