Facebook Google Plus Twitter LinkedIn YouTube RSS 菜单 搜索 资源 - 博客资源资源 - 网络研讨会资源资源 - 报告资源资源 - 活动icons_066 icons_067icons_068icons_069icons_070

Tenable.io 常见问题

试用 Tenable.io Vulnerability Management

在 60 秒内运行第一次扫描。

立即试用

一般问题

何为 Tenable.io™?

Tenable.io 是首个专为当今现代 IT 资产,如云、容器和 Web 应用程序,所构建的云基础漏洞管理平台。

Tenable.io 可使您对安全与合规状况一目了然。立足于 Tenable 领先的 Nessus® 技术,Tenable.io 提供一种基于资产的崭新方法,既能准确追踪资源,又能适应动态资产,比如云和容器。为了获取最佳可见性和洞见,Tenable.io 会有效确定漏洞的优先顺序,并可无缝集成到您的环境之中。

Tenable.io 提供可满足特定安全需求的应用程序,包括 Tenable.io 漏洞管理、Tenable.io Web 应用程序扫描和 Tenable.io 容器安全。 Tenable.io 应用程序可以单独进行许可授权;无先决条件或共同购买要求方面的限制。

如何了解有关 Tenable.io 的更多信息?

欲深入了解 Tenable.io,请访问 Tenable.io 产品页面参加即将举行的网络研讨会,或联系您的 Tenable 认证合作伙伴Tenable 代表获取更多信息。

如何评估 Tenable.io 应用程序?

请访问 http://www.tenable.com/how-to-buy 注册 Tenable.io 免费评估

如何购买 Tenable.io 应用程序?

您可以通过以下方式进行购买:与当地的 Tenable 认证合作伙伴合作、联系您的 Tenable 代表访问 tenable.com

能否对 Tenable.io 应用程序进行单独许可授权?

是。 Tenable.io 应用程序均可单独进行许可授权。 例如,Tenable.io 容器安全和 Tenable.io Web 应用程序扫描可进行独立许可授权,无需与 Tenable.io 漏洞管理绑定。

Tenable.io 漏洞管理如何进行定价和许可授权?

Tenable.io 漏洞管理以年度订阅进行许可授权,并按资产而非 IP 地址进行定价。客户得以充分利用云等新型技术,无需担心重复统计。

有关定价与许可的更多信息,请参阅以下部分。

如何定义资产?

资产是可供分析的实体,包括台式电脑、笔记本电脑、服务器、存储设备、网络设备、手机、平板电脑、虚拟机、云实例和容器等。

有关定价与许可的更多信息,请参阅以下部分。

其他 Tenable.io 应用程序如何进行定价和许可授权?

Tenable.io 容器安全和 Web 应用程序扫描均以年度订阅进行许可授权,并按资产数量进行定价。Tenable.io 容器安全按产品所评估的独特容器映像层总存储量进行定价,Tenable.io Web 应用程序扫描则按产品所评估的完全限定域名 (FQDN) 总数进行定价。

有关定价与许可的更多信息,请参阅以下部分。

Tenable 是否提供 Tenable.io 服务级别协议 (SLA)?

是的,Tenable 通过强大的 Tenable.io 服务级别协议 (SLA),在业界率先为漏洞管理提供正常运行时间保证。如果未能满足 SLA,则提供服务信用,比如 Amazon Web Services 等领先的云供应商。

从何处可以找到有关 Tenable.io 的文档?

欲获取包含 Tenable.io 在内的全部 Tenable 产品技术文档,请前往 https://docs.tenable.com/

Tenable 使用哪些 IP 进行云端扫描?

默认情况下,Tenable.io 配置有针对特定区域的云扫描器。欲查阅更多信息,请参见文档

Tenable.io 的发布是否会影响 SecurityCenter / SecurityCenter CV?

否。 不会对 SecurityCenter / SecurityCenter CV 或使用这些产品的客户造成影响。 尽管 Tenable.io 不断改进基于云的漏洞管理解决方案,但在 SecurityCenter 上也始终未曾松懈。

能否同时使用 SecurityCenter 和 Tenable.io?

是。 两种解决方案皆可使用,而且我们希望众多 SecurityCenter / SecurityCenter CV 客户在使用 SecurityCenter 的同时,也有兴趣应用 Tenable.io Web 应用程序扫描、Tenable.io PCI/ASV 和/或 Tenable.io 容器安全。

能否自 SecurityCenter / SecurityCenter CV 升级至 Tenable.io?

是。 感兴趣的客户可获得广泛的选择,以利从 SecurityCenter 顺利迁移至 Tenable.io,并得到来自 Tenable 或您认证合作伙伴的全面支持。 有关更多信息,请联系您的 Tenable 认证合作伙伴Tenable 代表

何为 Tenable.io Web 应用程序扫描?

Tenable.io Web 应用程序扫描为现代 Web 应用程序提供全面的漏洞扫描。其准确的漏洞覆盖可最大限度减少误报和漏报,确保安全团队了解 Web 应用程序中真实存在的安全风险。

该产品提供安全的外部扫描功能,可确保生产性 Web 应用程序不会遭到中断或延迟,甚至是使用 HTML5 和 AJAX 框架构建的应用程序。发现问题时,安全团队可查看直观的仪表板,上面会显示评估和管理漏洞所需的信息。

从何处可以了解有关 Tenable.io Web 应用程序扫描的更多信息或对其进行评估?

有关 Tenable.io Web 应用程序扫描的更多信息,请访问 Tenable.io 产品页面。请访问 tenable.com/try-was 注册免费评估,或联系您的 Tenable 认证合作伙伴Tenable 代表获取更多信息。

产品是否扫描源代码或执行静态分析?

否。 Tenable.io Web 应用程序扫描是一种动态应用程序安全测试 (DAST) 解决方案,会在应用程序于测试或生产环境中运行时测试“来自外部”的 Web 应用程序。

何为 Tenable.io 容器安全?

Tenable.io™ 容器安全作为唯一整合到漏洞管理平台的容器安全产品,持续监测容器映像中的漏洞、恶意软件和企业策略合规。 通过将安全引入容器构建流程前线,组织可了解容器中隐藏的安全风险,并在其投入生产之前进行修复,避免减缓创新周期。

基于 FlawCheck 技术,Tenable.io 容器安全可存储容器映像并在构建时进行扫描。其不仅提供漏洞和恶意软件检测,还可持续监测容器映像。通过与构建容器映像的持续集成和持续部署 (CI/CD) 系统整合,Tenable.io 容器安全可确保每个投入生产的容器均安全可靠,并且符合企业策略。

从何处可以了解有关 Tenable.io 容器安全的更多信息或对其进行评估?

有关 Tenable.io 容器安全的更多信息,请访问Tenable.io 产品页面。请前往 tenable.com/try-container 注册免费评估,或联系您的 Tenable 认证合作伙伴Tenable 代表获取更多信息。

弹性资产许可问题

内置于 Tenable.io 漏洞管理 (VM) 的弹性资产许可,是一种将漏洞管理许可与现今弹性 IT 环境相结合的大胆创新。如果资产具有多个和/或不断变化的 IP 地址,弹性资产许可能够避免此类资产的重复统计。此外,它还会自动从最近未扫描到的资产中回收许可,包括过时资产以及可能误扫描到的资产。

何为 Tenable.io VM 弹性资产许可?

弹性资产许可使得 Tenable 能够与客户携手合作,以具成本效益的方式保护客户网络。其包括以下特性:

  • 关注资产而非 IP:Tenable.io 漏洞管理会分析多个资产属性而不仅仅是 IP 地址以进行资产识别。专有算法可将新发现的资产与已发现的资产进行匹配,以避免重复统计并使漏洞报告更为准确。
  • 进行适度而非最高级别许可授权:Tenable.io 漏洞管理仅将许可分配给过去 90 天内可见的资产。它会自动回收针对已过时、误扫描到或非活跃资产的许可。Tenable.io 漏洞管理会保留这些资产的漏洞和配置数据,因此自动回收许可并无不利之处。
  • 校准而非锁定:Tenable.io 漏洞管理可使客户监控和调整许可的使用,并在必要时进行校准。它不会在许可短暂超出时自动锁定功能。

弹性资产许可有何益处?

主要益处在于:

  • 客户可根据资产数量而非虚高的 IP 计数购买适量的许可。
  • 客户可避免从过时和/或误扫描到资产中回收许可,这往往会耗费时间,并造成项目不准确。
  • 对于具有多个 IP 地址的资产,漏洞管理指标不会因其双重和三重统计漏洞而崩溃。

Tenable.io VM 客户是否可以扫描多于许可的资产?

是的,客户可以在短时间内超出资产的许可数量。当然,若持续超出许可数量,客户即需要进行校准。

Tenable.io 漏洞管理客户如何确定许可状态?

Tenable.io 漏洞管理用户界面会显示以下两项信息:资产的许可数量和实际的许可使用情况。

何为资产?

资产是可供分析的实体,包括台式电脑、笔记本电脑、服务器、存储设备、网络设备、手机、平板电脑、虚拟机、虚拟机监控程序和容器等。

Tenable.io VM 如何识别资产?

Tenable.io 漏洞管理首次发现资产时,会收集多个标识属性,其中可能包括 BIOS UUID、系统 MAC 地址、NetBIOS 名称、FQDN 和/或可用于切实识别资产的其他属性。此外,经过身份验证的扫描和 Nessus 代理会分配一个 Tenable UUID 至该设备。随后,Tenable.io 漏洞管理在扫描资产时,会将其与之前发现的资产进行对比。如果新发现的资产与之前的并不匹配,则该资产将添加至 Tenable.io 漏洞管理资产清单。

资产与 IP 有何不同?

IP 通常是资产的一项属性,许多资产会分配有多个 IP(例如 DHCP 设备、具有有线和无线接口的系统等)。

为何资产计数可能低于 IP 计数?

很多时候,资产会具有多个网络接口卡,以便经由多个网络进行访问。例如,Web 服务器可能同时用于生产网络和管理网络;笔记本电脑通常兼具有线和无线网络接口。此外,笔记本电脑在从某一位置移动到另一位置时通常会获得新的 IP。如果按照 IP 分别进行扫描,都将导致双重统计。

潜在客户如何估算其资产计数?

Tenable.io VM 支持使用主动和被动传感器进行无限制发现扫描。客户可以通过扫描对所有资产进行全面清点,并确定适当的许可级别。

如何避免对同一资产进行多次统计?

Tenable.io 支持多种方法,可避免对同一资产进行双重或三重统计,从而计算出适当的许可级别。借助传统资产,Tenable.io VM 使用专用算法,会将新发现的资产与已发现的资产进行匹配,以避免重复统计并使漏洞报告更为准确。借助 Docker 容器,Tenable.io 容器安全可识别在容器注册表中多次使用的 Docker 层,并在许可计算中将其移除。换言之,当某一 Docker 层用于多个标记、多个图像或多个注册表中时,该层仅计入一次产品许可费用。

数据安全和隐私问题

客户数据安全和隐私是 Tenable 的第一要务。数以千计的客户,包括金融服务提供商、医疗保健提供商、零售商、教育机构和政府机构,都放心由 Tenable 处理其云平台中的漏洞数据。

数据安全和隐私包括以下内容:不允许客户访问非自身所有以外的任何数据,并确保任何客户之外的人员、黑客、犯罪分子或未经授权的 Tenable 代表均无法访问、披露、复制存储于 Tenable.io 服务中的客户数据,或是以其他方式违反针对此类数据的隐私保护。

此外,Tenable 着力于 Tenable.io 服务的可用性和可靠性;因为安全控制不善会产生各种问题,即使不会为客户数据带来风险,亦会影响服务的可用性。Tenable 实施和执行若干措施,使 Tenable.io 具有高度可用性,并可防范攻击或单纯的故障及中断,从而始终为我们的客户所用。

Tenable.io 使用最先进的容器技术来创建和隔离客户环境。所有客户帐户、漏洞数据和用户设置均包含在分配给每个特定客户的唯一容器中。某一容器内所含的数据不能泄露或以其他方式与另一容器内的数据混合,从而确保每个客户环境具有隐私性、安全性和独立性。

Tenable.io 管理哪些客户数据?

最终,Tenable.io 所管理的客户数据具有一个用途,即在客户管理资产和漏洞以确保其环境安全时,为其提供卓越体验。为了实现这一目标,Tenable.io 对以下三类客户数据实施管理:

  1. 资产和漏洞数据
  2. 环境性能数据
  3. 客户使用数据

Tenable.io 管理哪些客户资产和漏洞数据?

Tenable.io 会在客户网络上盘存资产,并对资产属性实施管理,其中可包括 IP 地址、MAC 地址、NetBIOS 名称、操作系统和版本、活动端口等。

Tenable.io 资产数据
Tenable.io 管理的资产数据范例

Tenable.io 收集详细的当前及历史漏洞和配置数据,其中可包括关键程度、可利用性和修复状态以及网络活动。此外,如果客户通过与资产管理系统和补丁管理系统等第三方产品集成,来增强 Tenable.io 数据,则 Tenable.io 可管理这些产品的数据。

Tenable.io 漏洞数据
Tenable.io 管理的漏洞数据范例

Tenable 是否会分析或使用客户数据?

目前,Tenable 不以任何方式分析客户数据。然而,在未来 Tenable 可能匿名分析客户数据,以确定行业趋势、漏洞增缓趋势,以及安全事件趋势。例如,将漏洞的存在与其攻击相关联,会使 Tenable 客户获益匪浅。其他益处包括:先进的分析,以及客户数据与行业、安全事件和趋势相关性的增强。收集和分析此类数据,还可让客户在行业或整体层面上,对照他人进行自我衡量。Tenable 将为客户提供在必要时选择拒绝的方法。

会收集哪些 Tenable.io 健全和状态数据?

为了维护 Tenable.io 的性能和可用性,并提供最佳用户体验,Tenable.io 会收集客户特定的应用程序状态及健全信息。其中包括扫描器与平台通信的频率、被扫描的资产数量和所部署软件的版本,以及其他用以尽快识别、解决潜在问题的常规遥测。

客户能否选择拒绝健全和状态数据收集?

Tenable 利用健全及状态数据,及时检测并解决潜在问题,从而遵守 SLA 承诺。因此,客户无法选择拒绝此数据收集。

会收集哪些 Tenable.io 使用数据?

Tenable 收集匿名用户使用数据,以评估和改进客户体验。此类数据包括页面访问、点击以及表达用户关于简化和改进用户体验意见的其他用户活动。

用户能否选择拒绝使用数据收集?

是。客户可要求不再允许容器参与收集过程。

客户数据位于何处?

Tenable 通过 Amazon Web Services (AWS) 的数据中心和服务向客户提供和交付 Tenable.io。默认情况下,Tenable 会选择在最合宜的区域创建一个客户容器,以确保客户获得最佳体验。目前的位置有:

  • 美国东部
  • 美国西部
  • 伦敦
  • 法兰克福
  • 悉尼

除此之外,如果客户在部署之前要求使用某一特定的 AWS 区域,Tenable 将在该区域激活客户。

由于所有客户数据均存储在安全可靠、区域性的 AWS 服务中,AWS 所维护的欧盟数据保护认证也适用于 Tenable 云。更多信息可于 https://aws.amazon.com/compliance/eu-data-protection/ 获取。

Tenable.io 是否会在未来支持其他国家/地区?如何会,则在何时?

是。然而,其他位置的时间框架尚未确定。

数据是否可以存储在非初始区域的 AWS 区域?

在某些情况下,数据可以存储在非初始 AWS 区域的其他区域。

  • Tenable.io 客户可使用众多 AWS 区域所提供的公共、共享扫描池运行外部扫描。通常而言,选择接近目标的扫描器会加快扫描速度。请注意,若客户在非帐户托管区域的其他位置使用云扫描器,扫描数据将暂时存在于帐户托管区域之外,但不会被存储。例如,如果客户有个在欧盟/德国托管的帐户,其在美国/北弗吉尼亚使用扫描器进行扫描,那么扫描数据将短暂途径美国后才可存储于法兰克福。如果数据区域构成问题,客户应仅于其所在区域使用云扫描器进行外部扫描。此项可根据每次扫描的情况进行简单选择。
  • 如果客户使用的是 Tenable SecurityCenter®,即使利用 Tenable.io 扫描其整个基础设施的一部分,扫描数据也不会存储在云中。
  • Nessus 代理扫描数据会在客户自 Tenable.io 运行扫描时存储于 Tenable.io。如果客户使用 Nessus 管理器运行代理扫描,无论代理部署于何处,数据都不会存储于 Tenable.io。

客户能否强制将数据保留在特定位置/国家/地区?

是。数据会存储在创建帐户时所选的国家/地区。

如何在 Tenable.io 内保护客户数据?

Tenable 采用多种安全措施来提供 Tenable.io 数据安全和隐私。

Tenable 如何执行安全开发?

Tenable 遵循一系列的实践以确保 Tenable.io 应用程序软件的安全。

测试由 Tenable 内部三个独立的团队实施:

  • 安全测试由开发团队实施;
  • Tenable IT 安全团队在部署前后执行 Tenable.io 漏洞测试(部署后测试为不定期测试,不会预先通知其他团队);以及
  • Tenable 在部署前会针对源代码和更改内容提供额外安全审查。

所有软件部署均为自动化,并且只通过构建系统(该系统通过企业 LDAP 认证进行身份验证)予以执行,或是由使用 SSH 私有密钥进行身份验证的 Ansible 予以执行。所有部署均加以记录和追踪;此外,有关部署操作(计划或计划外)的通知会自动发送至 Tenable 开发团队。

对源代码的所有更改都被追踪并链接至应用该更改的发布版本。此类追踪可确保记录包含每项更改的完整历史,即何人作出更改、何时作出更改,以及更改内容何时最终部署到生产环境中。

每项部署须经由两名以上 Tenable 团队成员批准。一切更改和部署都将告知所有团队成员。软件首先被部署到测试环境中,随后在一段时间内以“滚动的方式”部署到生产实例中。

哪些客户应用程序安全功能可供使用?

  • 确保对 Tenable.io 的访问以安全且经授权的方式进行,是我们开发和运营团队工作的重中之重。Tenable.io 提供众多机制来保证客户数据安全并控制访问。我们会在五 (5) 次尝试登录失败之后锁定帐户,以此防止暴力攻击。
  • 为防止数据拦截,所有与平台的通信均通过 SSL (TLS-1.2) 加密。此外,旧版非安全 SSL 协商会遭到拒绝,以确保实现最高级别防护。
  • 为保护对平台的访问,客户可通过 Twillo 所提供的服务来配置双重身份验证。
  • 客户可将 Tenable.io 与其 SAML 部署相整合。Tenable.io 支持 IdP 和 SP 启动请求。最后,用户可使用电子邮件地址在应用程序内部直接重置密码。
  • 客户通常使用记录的 API 或 SDK 建立客户连接至 Tenable.io。访问可通过创建特定的 API“密钥”来进行授权和控制。可支持将不同的密钥用于不同的集成,而无须共享用户凭证。

如何保护客户数据?

Tenable 采用多种安全措施来提供 Tenable.io 数据安全和隐私。

如何加密数据?

Tenable.io 平台上的全部数据(所有状态)均使用不低于 AES-256 的标准进行至少一层加密。

静态 – 数据使用 AES-256 标准进行至少一层加密并存储于加密媒体上。

一些数据类别包括针对每个文件的二级加密。

传输状态 – 数据在传输中使用具 4096 位密钥的 TLS v1.2 进行加密(包括内部传输)。

Tenable.io 传感器通信 – 从传感器到平台的流量始终由传感器启动,并且仅在端口 443 出站。流量使用具 4096 位密钥的 TLS 1.2 通过 SSL 通信进行加密。此举可免去更改防火墙的麻烦,并允许客户利用防火墙规则控制连接。

  • 扫描器至平台身份验证
    • 该平台为连接到容器的每个扫描器随机生成一个 256 位长度的密钥,并在链接过程中将该密钥传递给扫描器
    • 扫描器在请求作业、插件更新和更新为扫描器二进制数据时,使用此密钥对控制器进行身份回验
  • 扫描器至平台作业通信
    • 扫描器每 30 秒即联系一次平台
    • 如果存在作业,平台会生成一个 128 位的随机密钥
    • 扫描器从平台请求策略
    • 控制器使用密钥加密策略,包括在扫描过程中使用的凭证

备份/复制状态 – 卷快照和数据副本存储所使用的加密级别与其来源相同,不应低于 AES-256。所有复制均通过提供商完成。Tenable 不会将任何数据备份到场外物理媒体或物理系统。

索引状态 – 索引数据使用 AES-256 标准进行至少一层加密并存储于加密媒体上。

扫描凭证 – 存储在某一策略中,该策略于容器 AES-256 全局密钥中加密。扫描启动时,该策略会使用一个随机的 128 位密钥加密,并使用具 4096 位密钥的 TLS v1.2 进行传输。

密钥管理 – 密钥集中存储,并使用基于角色的密钥进行加密,其访问受到限制。存储的所有加密数据都可转为一个新的密钥。数据文件加密密钥在每个区域站点上均不相同,磁盘级密钥也是如此。密钥严禁共享,且每年会对密钥管理程序进行审查。

客户能否上传自己的密钥?

客户不可对密钥管理进行配置。Tenable 管理密钥以及密钥轮换。

Tenable 是否已获得任何隐私或安全认证,如隐私盾或 CSA STAR?

Tenable Network Security 遵守美国商务部颁布的欧盟-美国隐私盾框架以及瑞士-美国隐私盾框架,上述框架涉及收集、使用和保留从欧盟和瑞士向美国传输的个人信息。Tenable Network Security 已向商务部证明其符合上述隐私盾原则。如果在隐私政策和上述隐私盾原则之间存在任何冲突,以隐私盾原则为准。欲了解有关隐私盾计划的更多信息并查看我们的认证,请访问 https://www.privacyshield.gov/。

Tenable 已完成云安全联盟 (CSA) STAR 自我评估。 Tenable 在一致性评估倡议调查问卷 (CAIQ) 中,回答了超过 140 个 Tenable.io 客户或合作伙伴可能会提出的安全相关问题。CSA STAR 是业界最强大的云安全保障计划。STAR(安全信任与保证注册项目)涵盖透明度、严格审计和标准协调方面的关键原则,包括对最佳实践的指示以及对云产品安全态势的验证。

如何保护个人身份信息 (PII)?

Tenable.io 平台将竭力避免以需要额外认证或安全措施的方式收集 PII 数据类型。这包括信用卡号码、社会安全号码和其他海关检查项。一旦 Tenable 插件捕获可能包含敏感信息或个人信息的字符串,该平台将自动混淆其中至少 50% 的字符,以保护可能具敏感性的数据。

客户数据是否独立?

每个客户的数据均标记有“容器 ID”,对应特定的客户订阅。此容器 ID 可确保对客户数据的访问仅限于该客户。

Tenable.io 通过哪些控制措施来确保安全?

  • Tenable 每日会执行漏洞扫描。
  • 由防火墙和网络分段来控制访问。
  • 通过自动化工具和流程监测 Tenable.io 平台的正常运行时间和性能以发现异常行为。
  • 针对日志实行全天候自动化监测,Tenable 工作人员亦可全天候对事件作出响应。

如何保护 Tenable.io 传感器?

连接到平台的传感器可收集漏洞和资产信息,在客户安全方面发挥着重要作用。保护此类数据并确保通信路径的安全,是 Tenable.io 的一项核心功能。Tenable.io 目前支持以下几种传感器:Nessus 漏洞扫描器、被动扫描器和 Nessus 代理。

这些传感器在通过密码身份验证并链接至 Tenable.io 后会连接 Tenable.io 平台。一旦完成链接,Tenable.io 即可管理所有更新内容(插件、代码等),以确保传感器始终处于最新状态。

从传感器到平台的流量总是由传感器启动,并且仅在端口 443 出站。流量使用具 4096 位密钥的 TLS 1.2 通过 SSL 通信进行加密。此举可免去更改防火墙的麻烦,并允许客户利用防火墙规则控制连接。

  • 扫描器至平台身份验证
    • 该平台为连接到容器的每个扫描器随机生成一个 256 位长度的密钥,并在链接过程中将该密钥传递给扫描器
    • 扫描器在请求作业、插件更新和更新为扫描器二进制数据时,使用此密钥对控制器进行身份回验
  • 扫描器至平台作业通信
    • 扫描器每 30 秒即联系一次平台
    • 如果存在作业,平台会生成一个 128 位的随机密钥
    • 扫描器从平台请求策略
    • 控制器使用密钥加密策略,包括在扫描过程中使用的凭证

如何管理 Tenable.io 可用性?

Tenable.io 的各项服务致力于提供 99.95% 或更佳的正常运行时间,并已在多数服务上提供 100% 的正常运行时间。Tenable 已发布 SLA,表明我们会确保所有用户均可使用该平台,并说明倘若发生计划外停机,我们如何取信于客户。

“正常运行”状态简单取决于第三方托管的公共可用性测试,其定期测试所有服务的可用性。服务的正常运行时间(包括当前和历史时间)可于 http://uptime.tenable.com/ 获取。该链接还提供每日、每月、每季度和每年的正常运行时间百分比数据。

Tenable.io 广泛使用 AWS 平台和其他领先技术,以确保我们的客户享有最佳服务和整体质量体验。下方是为惠及客户所部署解决方案的部分列表:

  • ElasticSearch 群集 - Elasticsearch 群集可用性高,可从主节点、lb 节点和至少 1 个数据节点的丢失中恢复,而不会影响服务可用性。
  • 弹性块存储 - 用于获取每日快照并存储八 (8) 份副本
  • Kafka 生态系统 - Kafka 和 Zookeeper 都可在群集中复制数据,以提供任何节点应对灾难性故障的容错能力。
  • Postgres 实例 - 管理后端微服务框架,保留 30 天的快照

复制的数据位于何处?

复制的数据存储在同一区域内。

哪些灾难恢复功能已部署到位?

灾难是指可造成一或多个区域中数据或设备发生无法恢复之损失的事件。

Tenable.io 灾难恢复程序具有多个级别,以应对任何地点可能发生的 5 年一次到 50 年一次的状况。根据灾难范围的不同,恢复程序用时 60 分钟至 24 小时不等。

何人可以访问客户数据?

客户可控制访问其数据的对象,包括为其人员分配角色和权限,并授权 Tenable 支持人员的暂时访问。

如何管理用户角色和权限?

Tenable.io 客户管理员可分配用户角色(基本、标准、管理员和禁用),以管理对扫描、策略、扫描器、代理和资产列表的访问。

Tenable 人员能否访问客户数据?

是。经客户许可,Tenable 全球支持人员中的三级成员可以模拟用户帐户,作为另一用户在 Tenable.io 执行操作,而无需获得用户密码。Tenable 支持人员或客户可申请激活此功能。Tenable 支持人员需要客户借由积极支持案例中的注释,来“批准”此模拟功能。支持中记录的每个问题均须授予权限。Tenable 任何时候都不会以总体“确定”的方式操作以进行模拟。用户模拟可能导致数据离开主位置。

所有 Tenable.io 操作人员均须通过第三方背景检查。此外,所有高级团队成员都具有至少 5 年在 SaaS 模式安全软件公司工作的经验,而且许多成员还获得诸如 CISSP 之类的安全认证。

Tenable 有明确的雇用和解雇流程。所有员工在雇用入职阶段均须签署保密协议;此外,所有帐户和访问密钥在解雇时将立即予以撤销。

何人可以使用模拟功能?

仅 Tenable 三级支持人员可以使用模拟功能。

模拟活动是否会记录?

是。

Tenable 在排解技术问题时,数据是否会离开所在国家/地区?

Tenable 竭力确保客户数据受到保护,并通过与客户合作保证其策略得到贯彻,以保障在必要区域的数据留存。然而,在某些实例中,客户可通过电子邮件向 Tenable 发送报告,或以违背自身策略的其他方式,在其所在区域外发送电子邮件。

Tenable 支持人员能否访问客户的内部网络?

否。所有流量均由扫描器启动,并且仅用于出站。扫描器安装在客户的防火墙后面,可通过防火墙控制扫描器的访问。

客户数据可在 Tenable.io 中保留多长时间?

数据保留期旨在满足不同的客户和监管要求。

主动扫描数据可保留多长时间?

Tenable.io 平台的一项核心功能,就是能够衡量一段时间内的进程。为了能在 1 年期内进行报告,Tenable.io 将自动存储客户数据长达 15 个月。

如果客户需要 15 个月以上的存储期,Tenable.io 可提供多种方法下载客户数据,方便客户按照意愿存储数据。

如果客户终止 Tenable.io 服务,数据会保留多长时间?

如果客户的帐户到期或终止,Tenable 会保留当时的数据,但时间不会超过 180 天。此后,此类数据可能会被删除,并且无法恢复。

PCI 相关数据可保留多长时间?

根据 PCI 的规定,对于 PCI 合规验证流程中所涉及的数据,直到 PCI 认证日期之后至少 3 年方可删除。在这段时间内,即使客户选择删除其扫描内容或帐户,或是终止其 Tenable.io 服务,Tenable 也会保留此类数据。

Tenable.io 使用数据可保留多长时间?

为确保最佳体验,只要客户容器保持活跃,我们就会收集信息。一旦客户终止服务,对数据的保留将不会超过 180 天。

Tenable.io 是否获得通用标准认证?

通用标准认证通常不适用于 SaaS 解决方案,因其更新频率不适合需用时 6 至 9 个月才能完成的认证流程。

客户能否选择存储数据的国家/地区?

除此之外,如果客户在部署之前要求使用某一特定地理位置,Tenable 将在该位置激活客户。目前的位置有:

  • 美国东部
  • 美国西部
  • 伦敦
  • 法兰克福
  • 悉尼

数据是否存在于一个国家/地区的多个位置?

否。Tenable 目前不会将数据从某一位置复制到另一位置。

PCI ASV

何为 PCI ASV?

PCI ASV 是指支付卡行业 (PCI) 数据安全标准 (DSS) 要求的规定 11.2.2,以及要求每季度进行一次外部漏洞扫描的安全评估程序,该程序须由经过批准的扫描供应商 (ASV) 执行(或证明)。ASV 是具有一组服务和工具(“ASV 扫描解决方案”)的组织,可验证对 PCI DSS 要求 11.2.2 外部扫描规定的遵守情况。

哪些系统属于 ASV 扫描的范围?

PCI DSS 要求对以下组件进行漏洞扫描:作为持卡人数据环境的一部分,为扫描客户所拥有或使用的一切外部可访问(面向互联网)系统组件;以及任何面向外部、为持卡人数据环境提供路径的系统组件。

ASV 流程是什么?

ASV 扫描的主要阶段包括:

  • 审查:由客户执行,以包括所有作为持卡人数据环境的一部分面向互联网的系统组件。
  • 扫描:使用 Tenable.io VM PCI 季度外部扫描模板
  • 报告/修复:对中期报告的结果进行修复。
  • 争议解决:客户和 ASV 携手共同记录和解决有争议的扫描结果。
  • 重新扫描(视需要):直到生成争议和异常得到解决的合格扫描。
  • 最终报告:以安全的方式提交并交付。

ASV 扫描需要多长时间进行一次?

ASV 漏洞扫描需要至少每季度进行一次,并在网络上发生以下任何重大改变后进行:例如新系统组件的安装、网络拓扑结构的改变、防火墙规则的修改或产品升级。

经过批准的扫描供应商 (ASV) 与合格安全评估商 (QSA) 有何不同?

ASV 仅执行 PCI DSS 11.2 中所述的特定外部漏洞扫描。QSA 是指经过 PCI 安全标准委员会 (SSC) 资格验证和培训、以执行一般 PCI DSS 现场评估的评估商公司。


Tenable.IO PCI ASV 解决方案功能

Tenable 是否为经过认证的 PCI ASV?

是。Tenable 作为一家经过批准的扫描供应商 (ASV),有资格验证商家和服务提供商面向互联网环境(用于存储、处理或传输持卡人数据)执行的外部漏洞扫描。ASV 资格认证流程由三部分组成:第一部分涉及 Tenable Network Security 作为供应商的资格。第二部分是关于负责远程 PCI 扫描服务的 Tenable 员工的资格。第三部分则包括对 Tenable 远程扫描解决方案的安全测试(Tenable.io 漏洞管理和 Tenable.io PCI ASV)。

作为经过批准的扫描供应商 (ASV),Tenable 是否切实执行扫描?

ASV 可执行扫描。不过,Tenable 依赖于客户使用 PCI 季度外部扫描模板自行进行扫描。该模板可防止客户更改配置设定,例如禁用漏洞检查、分配严重级别、更改扫描参数等。客户可使用 Tenable.io VM 基于云的扫描器扫描其面向互联网的环境,然后向 Tenable 提交符合要求的扫描报告以供认证。Tenable 认证扫描报告后,客户可按照支付品牌的指示将其提交给收购方或支付品牌。

新产品与现行产品有何不同?

新型或改进功能包括:

  • 用于扫描/管理/提交/完成 ASV 认证流程的单一用户界面。
  • 可供超过一人上报争议并提交进行 ASV 认证。
  • 可对多个 IP 应用相同的争议/异常。(可基于插件而非资产创建争议)
  • 可将 IP 标记为超出范围
  • 可对补偿控制措施进行注释

数据主权

Tenable.io PCI ASV 是否符合欧盟数据主权要求?

漏洞数据并非欧盟 DPD 95/46/EC 数据,因此任何数据驻留要求均由客户而非监管机构提出。欧盟国家的政府组织可提出自己的驻留要求,但这些要求须根据具体情况逐一进行评估,而且可能并非是 PCI-ASV 扫描方面的问题。


Tenable.io ASV 的定价/许可/订购

Tenable.io VM 是否包含任何 PCI ASV 许可?

是的,Tenable.io VM 包含用于单一独特 PCI 资产的 PCI ASV 许可。某些组织大费周章地对 PCI 范围内的资产进行限制,一般是通过外包支付处理功能。由于这些客户可能“不从事 PCI 业务”,Tenable 已对其购买和许可流程进行简化。客户可以每 90 天变更一次资产。

Tenable.io PCI ASV 如何进行许可授权?

对于具有不止一种独特 PCI 资产的客户而言,Tenable.io PCI ASV 解决方案可作为 Tenable.io 漏洞管理订阅的附加项进行许可授权。

为何 Tenable.io PCI ASV 不根据客户面向互联网的 PCI 资产数量进行许可授权?

在某一实体的持卡人数据环境 (CDE) 内或向其提供路径的面向互联网的主机数量可能频繁变化,从而导致许可过程错综复杂。Tenable 选择使用更为简便的许可方法。

客户每季度可以提交多少份证明?

客户可以提交不限数量的季度证明。

进行试用/评估的客户是否有资格评估 Tenable.io PCI ASV?

是的。进行评估的客户可以使用 PCI 季度外部扫描模板来扫描资产、审查结果,以及所建立的争议。但他们无法提交扫描报告进行证明。

现有 Tenable.io VM 客户如何转为使用新功能?

新功能将在 2017 年 7 月 24 日自动激活,客户可将其应用于下一次 PCI ASV 扫描。现有客户无需在至少一年的时间内授权新 PCI ASV 功能许可。

具有目前 PCI ASV 功能许可的 SecurityCenter 客户如何转为使用新功能?

已授权许可外部/PCI 扫描的 SecurityCenter® 客户在 Tenable.io PCI ASV 投入使用后即可开始应用。在续订时,这些客户可使用现有 SKU 轻松续费。不过,授权许可 Tenable.io PCI ASV 可能对他们更为有利。

免费试用 立即购买

试用 Tenable.io Vulnerability Management

免费试用 60 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即注册并在 60 秒内运行第一次扫描。

购买 Tenable.io Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65资产
免费试用 立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

立即购买 1 年、2 年或 3 年许可证。