为 Nessus Agent 部署选择合适的架构
为了让企业适应居家办公要求,我们详细介绍了使用 Nessus Agent 部署保护远程办公人员安全的三种最常见配置。
在我们最近的几篇博客文章中,我们讨论了包括政府机构在内的企业部署 Nessus Agent 保护其新兴分布式办公人员的各种可能原因。 随着紧急远程办公要求引发了各种变化,维护整个企业的漏洞指标变得至关重要。 为了保护从办公室转移到员工家中的资产,以及企业 IT 环境引入的个人笔记本电脑和手机等新兴资产,这些扫描至关重要。
Nessus Agent 是进行尽职调查的最佳方式。 它们能够在不依赖与办公网络连接的设备上启用本地扫描策略。 除了适用于居家办公场景之外,如果主机的凭据和资产经常变化,且这些凭据和资产经过加固防止外部登录,则 Nessus Agent 也是收集这些主机上漏洞信息的绝佳替代方案。
设置 Nessus Agent 部署的三种方法
根据具体需求的不同,构建 Nessus Agent 部署的方法有多种。 下面详细介绍了一些最常见的用例。
1. 独立的 Tenable.io
Tenable.io 原生具有通过互联网与 Nessus Agent 进行通信的功能。 这项功能非常适合希望快速部署代理并利用 Tenable 提供的面向云的扫描程序作为“上帝视角”,发现内部扫描程序通常看不到的资产的潜在客户或现有 Tenable.io 客户。 下图描述的正是这种配置,它不需要在每个主机上的 Nessus Agent 之外进行额外部署。 阅读我们最新的博客,可以了解如何使用 Tenable.io 配置 Nessus Agent 的进一步说明。
2. Tenable.io 作为本地 Tenable.sc 的代理
Tenable.io 也可以用作 Nessus Agent 到 Tenable.sc 的代理。 这个场景非常适合于管理额外基础设施的资源有限的企业,或者可能无法控制网络外部部分的企业。 在这种配置中,Nessus Agent 会从用户的 Tenable.io 容器中获取扫描指令,并将聚合数据返回 Tenable.io。 此时,数据就可以摄入到内部 Tenable.sc 控制台中,以便与其他内部可用的数据合成整体视图。
这种解决方案对于希望在没有 VPN 连接到内部网络的情况下,对其数据获得外部可见性的客户来说非常适合。 这些客户可以通过 Tenable.io 中提供的云扫描功能,以及便捷的代理数据聚合和 Tenable.sc 成熟的报告结构,简化外部资产扫描。 访问我们的 Tenable Community 文章,可以了解如何跨 Tenable.io 和 Tenable.sc 关联 Nessus Agent 的简单分步说明。
3. 独立的 Tenable.sc
如果使用的是 Tenable.sc 平台,则可以将 Nessus Manager 作为 Nessus Agent 的代理。 构建这种设置的方法有两种:
将 Nessus Manager 安置在隔离区 (DMZ)
这种情况非常适合于拥有的大量设备都脱离公司网络,且无法可靠连接到 VPN 进行内部访问的企业。 随着单点登录 (SSO) 解决方案和前向式 Web 应用程序取代了员工在工作日的大部分时间使用 VPN 的需要,这种操作方法正变得越来越普遍。
在内部 Tenable.sc 控制台和 DMZ 中的 Nessus Manager 之间可以制定防火墙规则。 这使得 Tenable.sc 能够在不产生额外风险暴露的情况下收集数据。 此外,客户还可以更改管理端口,以免 Nessus Manager 的管理接口暴露在互联网上。 这可以确保任何具有代理和互联网连接的设备仍然可以访问 Nessus Manager,并消除了需要 VPN 解决方案来收集扫描数据的限制。
将 Nessus Manager 安置在企业网络中
Nessus Manager 的另一种选择是部署在企业网络中,通常与 Tenable.sc 控制台位于同一网段。 这种部署方式非常适合员工能够可靠地连接到 VPN 的企业,或者任何希望维护其网络中漏洞数据的企业。 这种情况下,可以在设备连接到 VPN 时进行实时漏洞扫描,而不用担心错过 Nessus Agent 的主动扫描周期。 这种策略可以降低主动 Nessus 扫描导致 VPN 链路饱和的可能性。 相反,每个主机使用的都是自己的资源,结果会交错返回网络。
关于大规模部署的说明
每一条指南都通过额外的文档进行了进一步解释,Nessus Agent 部署也不例外。 出于大规模部署的考虑,Tenable 提供的文档中包含了有关 Nessus Agent 和 Nessus Manager 之间的扩展关系、扫描交错和自动部署机制的有用提示。 与其他产品一样,Tenable Community 也是一个发布问题并了解其他安全管理人员经验的好去处。
编者按:此博客帖子于 2021 年 5 月 18 日更新。
了解详情
- 有关应对新冠肺炎疫情期间的最新研究结果和漏洞建议的更多信息,请访问我们关于保护远程办公人员的 Tenable 资源页面。
相关文章
- Nessus
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning