Vault を使用する方法
このページの全文を参照するには、ここをクリックしてください

Vault を使用する方法

複数のサードパーティのパスワード Vault との統合がサポートされています。Vault のサポートマトリックスを参照して、各認証タイプでサポートされている Vault を確認してください。

資格情報の取得 - 動作方法

対象マシンで認証スキャンを開始します。対象マシンの認証レコードで Vault タイプと Vault レコードが指定されます。Vault レコードに定義された情報とともに Scanner Appliance にリクエストが送信されます。アプライアンスで、認証レコードの情報とともにこの情報が使用され、Vault の機密情報(特定のユーザ名のパスワード、特定の証明書の秘密鍵/秘密鍵パスフレーズ、ルート権限委譲のパスワード)がリクエストされます。リクエストされる情報は、ホストのテクノロジおよび認証レコードの設定によって異なります。Scanner Appliance は、Vault エンドポイントにアクセスして資格情報を取得する必要があります。

アプライアンスは、Vault から取得した情報を使用して、対象マシンにログインし、信頼できるスキャンを実行します。スキャンの実行後、Scanner Appliance がパスワード/秘密鍵を使用した痕跡をすべて削除し、スキャン結果を Qualys クラウドプラットフォームに送信します。これにより、これらの結果がアカウントで使用できるようになります。

手順 1 - スキャンに IP アドレスを追加

「Assets」->「Host Assets」を選択し、スキャン対象の IP アドレス/範囲を追加します。アセットをアセットグループに分類し、アセットタグを適用することもお勧めします。こうすることで、スキャン実行およびレポート作成の際にアセット管理が容易になります。詳細詳細

アセットグループ – 重要度、優先順位、所在地、所有者など、組織にとって意味のある方法でアセットを論理的にグループ化します。実行するには、「Assets」->「Asset Groups」を選択します。

アセットタグ - タグを使用してアセットを自動的に検出し分類します。これにより、スキャンとレポートが常に動的な事業環境と同期するようになります。タグを作成し管理するには、「AssetView」を選択します。

手順 2 - Scanner Appliance の設定

内部ネットワークのデバイスをスキャンするには、Scanner Appliances(物理アプライアンスまたは仮想アプライアンス)が必要です。「Scans」->「Appliances」を選択して、新しいアプライアンスを追加し、設定します。ヘルプが必要な場合は、「Help」->「Online Help」を選択すると、すべてのオプションの説明があります。

手順 3 - Vault レコードの設定

「Scans」->「Authentication」->「New」->「Authentication Vaults」を選択します。次に、「New」メニューから Vault のタイプを選択します。Vault レコードが表示されると、Vault に保存されている機密情報に安全にアクセスするために Vault の資格情報を入力する必要があります。  

使用する Vault のタイプのヘルプを参照して(Vault レコードの「Launch Help」をクリックする)、Vault に保存できる資格情報のタイプと、スキャン時にその情報を取得する方法を確認します。各 Vault には独自の要件があります。

「Scans Authentication」の「Authentication Vaults」メニュー

手順 4 - 認証レコードの設定

「Scans」->「Authentication」->「New」を選択し、目的の認証タイプ(Windows、Unix、Oracle、IBM DB2 など)を選択します。レコードで、「Authentication Vault」オプション(または、Get password from vault: Yes)を選択します。次に、Vault のタイプを選択し、前の手順で作成した Vault レコードを選択します。Vault のタイプごとに、追加情報が必要になります。必要な情報は、Vault のタイプによって異なります。Vault のタイプのヘルプを参照してください。

手順 5 - VM スキャンの認証を有効化

VM/VMDR」->「Scans」->「Option Profiles」を選択します。新しいオプションプロファイルを作成するか、既存のオプションプロファイルを編集し、「Scan」設定を選択し、「Authentication」まで下にスクロールし、スキャンするホストのテクノロジを選択します(PC スキャンでは認証は常に有効になっているため、この手順は不要です。)

VM オプションプロファイルの認証オプション

手順 6 - スキャンの実行

「Scans」->「New」->「Scan」に移動します。オンラインヘルプはいつでも利用できます。

スキャン結果の表示: 各スキャンの認証ステータスは、スキャン結果の「Appendix」項にレポートされます。表示されるのは、1)認証に合格したホスト、2)認証に失敗したホスト、3)認証に合格したがログインアカウントの権限が不十分であったホストです。

手順 7 - 認証が動作していることの検証

スキャンを実行して、Qualys スキャナが対象の Vault からのパスワードのクエリをどのように実行しているかテストします。

認証レポートを実行することをお勧めします。このレポートでは、スキャン済みホストの合格/不合格のステータスがわかります。ホストでの認証に失敗すると、その理由が表示されるので問題を解決できます。使用可能ないずれかの API でパスワードクエリが失敗した場合は、エラー コードがレポートに表示されます。詳細