Facebook Google Plus Twitter LinkedIn YouTube RSS 功能表 搜尋 資源 - 部落格資源資源 - 網路研討會資源資源 - 報告資源資源 - 活動icons_066 icons_067icons_068icons_069icons_070

Tenable.io 常見問題

試用 Tenable.io Vulnerability Management

執行第一次掃描花費時間不到 60 秒。

立即試用

一般問題

Tenable.io™ 是什麼?

Tenable.io 是首創專為當今的現代 IT 資產,例如雲端、容器和網頁應用程式,而建置的雲端式弱點管理平台。

Tenable.io 將清晰透明引進您的安全和法規遵循情況之中。Tenable.io 是由 Tenable 以領導性的 Nessus® 技術為基礎打造,能夠提供新鮮、以資產為基礎的方式,準確追蹤您的資源,同時涵蓋如雲端和容器等動態資產。為了將能見度和洞察能力提升到最大,Tenable.io 有效地為您將弱點排定優先順序,並且順暢無礙地整合到您的環境中。

Tenable.io 提供處理特定安全性需求的應用程式,包括 Tenable.io 弱點管理、Tenable.io Web 應用程式掃描和 Tenable.io 容器安全。 Tenable.io 應用程式可以單獨授權,無先決條件或共同購買的要求。

我該如何進一步瞭解 Tenable.io?

如需進一步瞭解 Tenable.io,請造訪 Tenable.io 產品頁面參加即將舉行的網路研討會,或聯絡您的 Tenable 認證合作夥伴Tenable 業務代表取得更多資訊。

我該如何試用 Tenable.io 應用程式?

請造訪 http://www.tenable.com/how-to-buy,註冊取得 Tenable.io 的免費試用版。

我該如何購買 Tenable.io 應用程式?

您可以與您當地的 Tenable 認證合作夥伴洽談、聯絡您的 Tenable 業務代表,或是造訪 tenable.com 購買。

我可以取得 Tenable.io 應用程式的單獨授權嗎?

是。 Tenable.io 應用程式可以單獨授權。 舉例來說,Tenable.io 容器安全和 Tenable.io Web 應用程式掃描可以個別自行授權,無需 Tenable.io 弱點管理。

Tenable.io 弱點管理如何定價和授權?

Tenable.io 弱點管理以每年訂閱的方式授權,並且依資產而非依 IP 位址定價。這使得客戶能夠擁抱雲端等新科技,無須擔心重複計算的問題。

如需更多有關定價和授權的資訊,請參閱下文中此部分

如何定義資產?

資產指的是能夠接受分析的實體。例如桌上型電腦、筆記型電腦、伺服器、儲存裝置、網路裝置、手機、平板電腦、虛擬機器、雲端執行個體和容器。

如需更多有關定價和授權的資訊,請參閱下文中此部分

其他的 Tenable.io 應用程式如何定價和授權?

Tenable.io 容器安全和 Web 應用程式掃描均以每年訂閱的方式授權,並且依照資產數量定價。Tenable.io 容器安全是依照產品存取之獨特容器映像分層的總儲存容量定價,而 Tenable.io Web 應用程式掃描是依照產品存取的完全符合資格網域名稱 (FQDN) 總數定價。

如需更多有關定價和授權的資訊,請參閱下文中此部分

Tenable 是否為 Tenable.io 提供服務層級協議 (SLA)?

是的,Tenable 透過穩健的服務層級協議 (SLA),為 Tenable.io 提供弱點管理業界首創的正常運行時間保證。如同 Amazon Web Services 等領導性的雲端廠商,如果沒有達到 SLA,則會提供服務點數。

哪裡可以找到有關 Tenable.io 的文件?

所有的 Tenable 產品,包括 Tenable.io 在內的技術文件,都可以在 https://docs.tenable.com/ 上找到。

Tenable 會使用哪些 IP 從雲端進行掃描?

預設設定中,Tenable.io 配置為各區域特定的雲端掃描器。如需檢視更多資訊,請查看我們的文件

Tenable.io 的發佈是否會影響到 SecurityCenter / SecurityCenter CV?

否。 這對於 SecurityCenter / SecurityCenter CV 以及使用這些產品的客戶沒有影響。 雖然 Tenable.io 是我們雲端式弱點管理解決方案的最新發展,但是我們對 SecurityCenter 仍然繼續維持著堅強的承諾。

我可以同時使用 SecurityCenter 和 Tenable.io 嗎?

是。 您可以同時使用這兩項解決方案,我們預期許多 SecurityCenter / SecurityCenter CV 的客戶,會有興趣將 Tenable.io Web 應用程式掃描、Tenable.io PCI/ASV 和/或 Tenable.io 容器安全搭配 SecurityCenter 一起使用。

我可以從 SecurityCenter / SecurityCenter CV 升級到 Tenable.io 嗎?

是。 如果客戶有興趣,我們提供一系列的選項,讓您從 SecurityCenter 順利轉移到 Tenable.io,並且享有由 Tenable 或認證合作夥伴提供的完整支援。 如需更多資訊,請聯絡您的 Tenable 認證合作夥伴Tenable 業務代表

什麼是 Tenable.io Web 應用程式掃描?

Tenable.io Web 應用程式掃描能夠為現代網頁應用程式提供全面的弱點掃描。其準確的弱點涵蓋範圍,將誤判和誤否定的機會降到最低,確保安全團隊瞭解您的網頁應用程式中真實的安全性風險。

本產品提供安全的外部掃描,能夠確保產品網頁應用程式 (即使是使用 HTML5 和 AJAX 框架打造) 不會受到中斷或延遲。在辨識出問題時,安全團隊可以檢視在直覺式儀表板上需要呈現的評估和管理的弱點資訊。

我可以在哪裡進一步瞭解或試用 Tenable.io Web 應用程式掃描?

如需更多有關 Tenable.io Web 應用程式掃描的資訊,請造訪 Tenable.io 產品頁面。請造訪 tenable.com/try-was 註冊取得免費的試用版,或聯絡您的 Tenable 認證合作夥伴Tenable 業務代表取得更多資訊。

這項產品會掃描原始程式碼或執行統計分析嗎?

否。 Tenable.io Web 應用程式掃描屬於動態應用程式安全測試 (DAST) 解決方案,可以在應用程式於測試或生產環境中執行時,「從外側」測試網頁應用程式。

什麼是 Tenable.io 容器安全?

Tenable.io™ 容器安全是唯一整合到弱點管理平台之中的容器安全產品,可持續不斷地監控容器映像中的弱點、惡意軟體和企業政策法規遵循。 預先將安全性引進容器建構程序,組織就能得到容器中存在的隱藏安全性風險的能見度,並且在投入生產之前先行補救,而不致延緩創新週期。

Tenable.io 容器安全以 FlawCheck 技術為基礎,可儲存容器映像,並且在建置時予以掃描。它可提供弱點和惡意軟體偵測,以及容器映像的持續監控。Tenable.io 容器安全藉由整合建構容器映像的連續整合和連續部署 (CI/CD) 系統,確保每一個投入生產的容器都安全無虞,並且遵循企業策略。

我可以在哪裡進一步瞭解或試用 Tenable.io 容器安全?

如需更多有關 Tenable.io 容器安全的資訊,請造訪 Tenable.io 產品頁面。請在 tenable.com/try-container 註冊取得免費的試用版,或聯絡您的 Tenable 認證合作夥伴Tenable 業務代表取得更多資訊。

彈性資產授權問題

建置於 Tenable.io 弱點管理 (VM) 之中的彈性資產授權,是一項讓弱點管理授權能夠配合當今彈性的 IT 環境的創新設計。彈性資產授權能夠避免擁有多個和/或變動 IP 位址的資產遭到重複計算。此外,它還會從最近未掃描到的資產自動回收授權,包括已淘汰資產和誤掃描資產。

什麼是 Tenable.io VM 彈性資產授權?

彈性資產授權使 Tenable 和客戶成為合作夥伴,以符合成本效益的方式保障客戶網路安全。其中包含下列特點:

  • 針對資產而非 IP:Tenable.io 弱點管理以分析多個資產屬性,而非僅使用 IP 位址的方式進行資產的識別。專利演算法會比對新發現的資產和已發現的資產,以去除重複計算,確保更為準確的弱點報告。
  • 追求數量平衡而非浮濫授權:Tenable.io 弱點管理只會將授權分配給過去 90 天內可見的資產。它會自動將已經停止使用、誤掃描或是很少使用的資產授權收回。Tenable.io 弱點管理會保留這些資產的弱點和配置資料,因此自動化授權收回不會產生負面效果。
  • 調整而非封鎖:Tenable.io 弱點管理讓客戶能夠監控和調整授權的使用,並在必要時予以調整。如果暫時超過授權數量,它並不會自動封鎖功能。

彈性資產授權的優點有哪些?

主要的優點有:

  • 客戶可以依據資產數量而非膨脹的 IP 數量購買正確數量的授權。
  • 客戶在可以避免從停止使用和/或誤掃描的資產收回授權,從而避免執行耗時且經常不正確的專案。
  • 在擁有多個 IP 位址的資產中,弱點管理指標不會因為弱點被計算成兩、三倍而損毀。

Tenable.io VM 客戶是否能掃描比授權數量多的資產?

是,客戶可以暫時地超出授權的資產數量。當然,如果授權數量持續超出限制,客戶必須予以調整。

Tenable.io 弱點管理客戶要如何判斷授權狀態?

Tenable.io 弱點管理的使用者介面,會同時顯示授權的資產數量和實際的授權使用量。

什麼是資產?

資產指的是能夠接受分析的實體。例如桌上型電腦、筆記型電腦、伺服器、儲存裝置、網路裝置、手機、平板電腦、VM、虛擬機器、監視器和容器。

Tenable.io VM 如何辨識資產?

Tenable.io 弱點管理首次發現某個資產時,會收集多項識別屬性,其中可能包括 BIOS UUID、系統的 MAC 位址、NetBIOS 名稱、FQDN 和/或其他能夠可靠地用於辨識資產的屬性。此外,經過驗證的掃描和 Nessus 代理程式,會為裝置指派 Tenable UUID。Tenable.io 弱點管理隨後掃描到資產時,會將它與之前發現過的資產比較。如果新發現的資產與之前發現的資產不符,該資產就會新增到 Tenable.io 弱點管理資產庫中。

資產和 IP 有何不同?

IP 通常是資產的屬性,許多資產擁有多個指派的 IP (例如 DHCP 裝置、同時擁有有線和無線介面的系統等)。

為什麼資產數大多比 IP 數少?

資產經常擁有多個網路介面卡,讓它們能夠透過多個網路存取。例如,一台網頁伺服器可能同時在生產網路和管理網路上,一台筆記型電腦常常同時擁有有線和無線網路介面。此外,筆記型電腦常會在從一處移動到另一處時取得新的 IP。如果它們以一個 IP 被掃描到,然後又以另一個 IP 被掃描到,就會被計算兩次。

潛在使用者要如何估算資產數?

Tenable.io VM 支援同時使用主動和被動感測器,進行不限次數的探索掃描。客戶可以使用這些掃描,詳盡列出所有的資產清單,並判斷適當的授權規模。

如何避免重複計算同一個資產?

Tenable.io 支援以各種方式,避免同樣的資產受到雙重或三重計算,以計算出適當的授權規模。對於傳統資產,Tenable.io VM 會使用專利演算法,比對新發現的資產和已發現的資產,以去除重複,確保弱點報告擁有更佳的準確度。在 Docker 容器方面,Tenable.io 容器安全性會辨識在您整個容器登錄中多次使用的 Docker 分層,並在授權計算中將它們移除。也就是說,如果某個 Docker 分層使用在多個標籤、多個影像或多個登錄中,該分層在計算產品授權費用時只會計算一次。

資料安全性和隱私權問題

客戶的資料安全性和隱私權,是 Tenable 的最優先事項。數以千計的客戶,包括金融服務提供者、醫療照護提供者、零售商、教育機構和政府機關,都信賴 Tenable,將他們的弱點資料放在我們的雲端平台。

資料安全性和隱私權包括不允許客戶存取任何並非自己擁有的資料,以及確保任何非客戶人士、駭客、素行不良者或未獲得授權的 Tenable 業務代表,都無法存取、揭露、複製儲存在 Tenable.io 服務中的客戶資料,或以其他方式侵害隱私權。

Tenable 也將注意力放在 Tenable.io 服務的可用性和可靠性,因為若是安全管制的效能不佳,可能會導致雖不致造成客戶資料風險,也會影響服務可用性。Tenable 實施和執行各項措施,讓 Tenable.io 維持高可用度,能夠防禦攻擊或簡單的錯誤和運作中斷,而且隨時可提供我們的客戶使用。

Tenable.io 使用最尖端的容器技術,建立和區隔客戶環境。所有的客戶帳號、弱點資料和使用者設定,都容納在獨一無二地分配給各特定客戶的容器之中。一個容器中包含的資料,不會洩漏或以其他方式和其他容器摻雜在一起,以確保隱私權、安全性和各客戶環境的獨立性。

Tenable.io 會管理什麼客戶資料?

Tenable.io 管理的客戶資料,最終都有同一個目的:在客戶管理資產和弱點以確保其環境的安全時,提供卓越優異的體驗。為此,Tenable.io 會管理三種類型的客戶資料:

  1. 資產與弱點資料
  2. 環境效能資料
  3. 客戶使用量資料

Tenable.io 會管理什麼客戶資產以及弱點資料?

Tenable.io 詳細列出客戶網路上的資產,並管理資產屬性,其中可能包括 IP 位址、MAC 位址、NetBIOS 名稱、作業系統和版本、使用中連接埠和更多項目。

Tenable.io 資產資料
由 Tenable.io 管理的資產資料範例

Tenable.io 會收集詳細的目前和過去弱點及配置資料,其中可能包括關鍵性、可利用性,以及修復狀態和網路活動。此外,如果客戶以整合第三方產品的方式強化 Tenable.io 資料,例如資產管理系統和修補程式管理系統,Tenable.io 可以管理來自這些產品的資料。

Tenable.io 弱點資料
由 Tenable.io 管理的弱點資料範例

Tenable 是否會分析或使用客戶資料?

Tenable 目前並未以任何方式分析客戶資料。然而在未來,Tenable 可能會基於確定產業趨勢、弱點成長與減緩的趨勢以及安全事件趨勢等目的將客戶資料以匿名形式進行分析。舉例來說,將弱點的存在與其遭到利用的情況進行關聯將會對 Tenable 客戶帶來莫大好處。其他優點包括進階分析以及改善客戶資料與業界及安全事件和趨勢的關聯。收集與分析此類資料也能夠讓客戶針對業界或是整體狀況衡量自身與其他業者的差別。如果客戶不希望 Tenable 收集其個人資料,Tenable 也將提供客戶拒絕的方法。

會收集什麼 Tenable.io 健全狀況與狀態資料?

為維持 Tenable.io 效能及可用性並且提供最佳的使用者經驗,Tenable.io 會收集客戶特定的應用程式狀態與健全狀況資訊。其中包括掃描與平台通訊的頻率、掃描資產的數目以及部署軟體的版本,以及其他一般遙測資訊,以便能夠儘早發現與解決問題。

客戶是否可以選擇退出收集健康和狀態資料?

Tenable 會使用健全狀況與狀態資料以即時偵測與解決潛在問題,進而維持 SLA 承諾。因此,客戶無法選擇退出此資料收集。

Tenable.io 會收集什麼使用量資料?

為了評估和改善使用者體驗,Tenable 會收集匿名的使用者使用量資料。此資料包含頁面存取、滑鼠按鍵和其他使用者活動,以致能夠在使用者體驗的簡化和改善中聽取使用者意見。

使用者可否選擇退出使用量資料收集?

是。客戶可以要求不將他們的容器列為收集程序的一部份。

客戶資料所在的位置?

Tenable 使用 Amazon Web Services (AWS) 的資料中心和服務,為客戶提供和傳遞 Tenable.io。預設設定中,Tenable 會選擇在最適當的區域建立客戶容器,以確保該客戶盡可能獲得最佳的使用體驗。目前的地點有:

  • 美國東部
  • 美國西部
  • 倫敦
  • 法蘭克福
  • 雪梨

另外,如果客戶在部署之前,要求使用特定的 AWS 區域,Tenable 會在該區域中啟用客戶。

所有的客戶資料都可安全地儲存於區域性的 AWS 服務中,因此,該 AWS 維持的歐盟資料保護認證也適用於 Tenable 雲端。如需詳細資訊,請參閱 https://aws.amazon.com/compliance/eu-data-protection/

Tenable.io 未來是否會支援其他國家?如果會,時間表為?

是。不過,增設額外地點的時間表尚未決定。

是否可以將資料儲存在原始區域以外的 AWS 地區?

有些情況下,資料可能儲存在初始 AWS 區域以外的區域。

  • Tenable.io 客戶可以使用某些 AWS 區域中提供的公開、共用掃描集區執行外部掃描。選擇接近目標的掃描器,掃描速度通常會比較快。請注意客戶在不同於其帳號主機的地點使用雲端掃描器時,掃描資料會暫時存在於其帳號主機以外的地點,但並不會受到儲存。例如,如果客戶的帳號主機位於歐盟德國,並使用位於美國北維吉尼亞州的掃描器進行掃描,掃描資料在儲存到法蘭克福之前,會暫時透過美國傳送。如果資料地點會造成問題,客戶應該僅在其區域中使用雲端掃描器進行外部掃描。這項設定可在每次掃描時輕易選擇。
  • 如果客戶使用 Tenable SecurityCenter®,其掃描資料就不會儲存在雲端,即使使用 Tenable.io 掃描其整體基礎設施的一部份亦然。
  • 如果客戶從 Tenable.io 執行掃描,Nessus 代理程式掃描資料會儲存在 Tenable.io 中。如果客戶正在使用 Nessus 管理器執行代理程式掃描,則無論代理程式部署於何處,這些資料都不會儲存在 Tenable.io 中。

客戶能否強制資料留在特定位置/國家/地區?

是。資料儲存在建立帳號時選擇的國家。

客戶資料如何在 Tenable.io 內受到保護?

Tenable 運用多種安全措施,以提供 Tenable.io 資料安全和隱私。

Tenable 如何執行安全發展?

Tenable 遵循某些實務做法,以確保 Tenable.io 應用程式軟體的安全性。

測試是由 Tenable 中三個獨立的小組完成:

  • 安全性測試由開發團隊完成;
  • Tenable IT 安全性團隊會在部署前和部署後,對 Tenable.io 執行弱點測試 (部署後測試不會安排確定時間,也不會事先提醒其他團隊);以及
  • Tenable 會在部署之前,提供原始程式碼和變更額外的安全性複查。

所有的軟體部署均為自動化,並且只能透過經由公司 LDAP 憑證驗證的構建系統執行,或是由使用 SSH 私密金鑰驗證的 Ansible 執行。所有的部署均有紀錄和追蹤,而且部署動作 (無論是否在計畫中) 的通知會自動傳送到 Tenable 開發團隊。

對原始程式碼的所有變更,都會受到追蹤,並且連結到安裝該變更的發佈版本。這樣的追蹤可以確保每一項變更、進行變更的人、變更時間,以及最後變更何時部署到生產中,都有完整的歷程紀錄。

每一項部署都會受到 Tenable 團隊的至少兩位成員核准。所有的變更和部署都會廣播告知所有團隊成員。軟體會先部署到測試環境,然後在一段時間後以「滾動方式」部署到生產執行個體。

可以使用的客戶應用程式安全是什麼?

  • 確認對 Tenable.io 的存取均為安全且獲得授權,是我們開發和營運團隊注重的優先目標。Tenable.io 提供了一些機制,可以維持客戶資料的安全和控制存取。我們會在五 (5) 次嘗試登入失敗後鎖定帳號,以防範暴力破解攻擊。
  • 為了防範資料攔截,與平台的所有通訊都經過 SSL (TLS-1.2) 加密。此外,較古老的不安全 SSL 通訊都會遭到拒絕,以確保最高等級的防護。
  • 為了保護對平台的存取,客戶可以透過由 Twillo 提供的服務配置雙因素驗證。
  • 客戶可以將 Tenable.io 與其 SAML 部署整合在一起。Tenable.io 同時支援 IdP 和 SP 起始的要求。最後,使用者可以使用其電子郵件地址,直接在應用程式之內重設其密碼。
  • 客戶經常使用我們文件記錄的 API 或 SDK,建立與 Tenable.io 的客戶連線。建立特定的 API「金鑰」,可以授予和控管存取。支援將不同的金鑰使用於不同的整合,而無須共用使用者憑證。

客戶資料如何受到保護?

Tenable 運用多種安全措施,以提供 Tenable.io 資料安全和隱私。

資料加密的方式為何?

Tenable.io 平台中所有狀態的所有資料,都使用不低於 AES-256 的標準,進行至少一層加密。

靜態 – 資料使用至少一層 AES-256 加密,儲存在加密的媒體上。

有些資料類別包含雙層的逐檔案加密。

傳輸時 – 資料在傳輸過程中使用 4096 位元金鑰的 TLS v1.2 加密 (包括公司內部傳輸)。

Tenable.io 感測器通訊 – 從感測器到平台的流量,務必由感測器啟動,並且只經由連接埠 443 外送。流量透過 SSL 通訊,使用 4096 位元金鑰的 TLS 1.2 加密。這麼一來就無須變更防火牆,讓客戶能夠透過防火牆規則控管連線。

  • 掃描器至平台驗證
    • 平台會在與容器連接的每個掃描器中產生長度為 256 位元的隨機金鑰,並且在連結過程期間將該金鑰傳遞至掃描器
    • 在要求作業、外掛程式更新以及更新為掃描器二進位時,掃描器會使用此金鑰回復驗證控制器
  • 掃描器至平台工作通訊
    • 掃描器每 30 秒會連絡掃描器一次
    • 如果有作業,平台會產生 128 位元的隨機金鑰
    • 掃描器會向平台要求原則
    • 控制器會使用金鑰將原則加密,而該原則中包括在掃描過程中使用的憑證

在備份 / 複製檔案中 – 磁碟快照和資料複製備份,會使用不低於 AES-256 的標準,依照與其來源相同的加密等級儲存。所有複製是透過提供者完成。Tenable 並不會將任何資料備份至實體離站媒體或是實體系統。

索引中 – 索引資料會使用至少一個層級的 AES-256 加密儲存在加密媒體中。

掃描憑證 – 儲存在政策內部,而該政策是在容器 AES-256 全域金鑰內部進行加密。在啟動掃描時,政策會使用單一用途隨機 128 位元金鑰加密,並且使用帶有 4096 位元金鑰的 TLS v1.2 傳輸。

金鑰管理 – 金鑰是集中儲存,以基於角色的金鑰加密,同時存取受到限制。所有儲存的加密資料可以轉換至新的金鑰。每個區域網站的資料檔案加密金鑰各有不同,磁碟層級金鑰也是如此。禁止金鑰共用,同時每年將會審查金鑰管理程序。

客戶是否能夠上傳他們自己的金鑰?

客戶無法設定金鑰管理。Tenable 會管理金鑰以及金鑰輪替。

Tenable 是否已取得任何隱私或安全認證,例如隱私屏障或是 CSA STAR?

Tenable Network Security 分別遵守美國商務部有關從歐盟與瑞士轉移至美國的個人資訊之收集、使用與保留所列舉的歐盟-美國隱私屏障框架與瑞士-美國隱私屏障框架。Tenable Network Security 在遵守隱私屏障原則方面已經通過美國商務部的認證。倘若本隱私權政策與隱私屏障原則中的條款之間出現任何衝突,將以隱私屏障原則的內容為準。如需進一步隱私屏障計劃的資訊以及檢視我們的認證,請造訪 https://www.privacyshield.gov/。

Tenable 已經完成雲端安全聯盟 (CSA) STAR 自我評鑑。 Tenable 對於自我主動評鑑問卷 (CAIQ) 的回覆解答了 Tenable.io 預期客戶或合作夥伴可能需要瞭解的逾 140 個安全相關問題的答案。CSA STAR 是業界對於雲端安全保障最強大的計劃。STAR (Security Trust & Assurance Registry,安全信任與保證註冊項目) 由透明、嚴格稽核以及標準統一的關鍵原則所組成,包括最佳實務的指示以及雲端供應項目的安全狀態驗證。

個人可識別資訊 (PII) 如何受到保護?

Tenable.io 平台會盡最大力量避免以需要額外認證或是安全措施的形式收集 PII 資料類型。其中包括信用卡號碼、社會安全號碼以及其他自訂檢查。如果 Tenable 外掛程式擷取到可能包含敏感或是個人資訊的字元字串,平台會自動將至少 50% 的字元進行混淆,以保護可能敏感的資料。

客戶資料是否會分開?

每位客戶的資料都會標示有一個「容器 ID」,此 ID 與特定的客戶訂閱相符。這個容器 ID 可確保客戶資料的存取限定在僅可存取該名客戶的資料。

用來保護 Tenable.io 的安全控管是什麼?

  • 每日漏洞掃描是由 Tenable 執行。
  • 防火牆與網路劃分控制存取。
  • 自動化工具與流程會監控 Tenable.io 平台的運作時間與效能,並且偵測是否發生異常行為。
  • 將全年無休地針對記錄進行監控,Tenable 員工亦將全年無休地回應發生的任何事件。

Tenable.io 感測器如何提供保全?

與平台連接的感測器對於客戶安全、收集弱點以及資產資訊方面扮演極為重要的角色。保護該資料並且確保通訊途徑安全是 Tenable.io 的核心功能。Tenable.io 支援現今數款感測器:Nessus 弱點掃描器、被動式掃描器以及 Nessus 代理程式。

在完成密碼驗證並且連結至 Tenable.io 之後,這些感測器會連接至 Tenable.io 平台。一旦連結之後,Tenable.io 將負責管理所有更新 (外掛程式、程式碼等) 以確保感測器始終維持最新狀態。

感測器至平台的流量始終會由感測器開始,並且僅會在連接埠 443 上輸出。流量透過 SSL 通訊,使用 4096 位元金鑰的 TLS 1.2 加密。這麼一來就無須變更防火牆,讓客戶能夠透過防火牆規則控管連線。

  • 掃描器至平台驗證
    • 平台會在與容器連接的每個掃描器中產生長度為 256 位元的隨機金鑰,並且在連結過程期間將該金鑰傳遞至掃描器
    • 在要求作業、外掛程式更新以及更新為掃描器二進位時,掃描器會使用此金鑰回復驗證控制器
  • 掃描器至平台工作通訊
    • 掃描器每 30 秒會連絡掃描器一次
    • 如果有作業,平台會產生 128 位元的隨機金鑰
    • 掃描器會向平台要求原則
    • 控制器會使用金鑰將原則加密,而該原則中包括在掃描過程中使用的憑證

Tenable.io 可用性的管理方式為何?

Tenable.io 服務竭盡心力提供 99.95% 或是更佳的運作時間,並且針對大部分的服務已經提供 100% 的運作時間。Tenable 所發佈的 SLA 其內容描述我們對於確保平台可提供給所有使用者的承諾,以及倘若發生未規劃的停工事件時,我們提供給客戶的保證。

「運作」狀態係由定期測試所有服務可用性的第三方所舉行的公開可用性測試所認定。(目前以及過去) 服務的運作時間可以在 http://uptime.tenable.com/ 查詢。此連結也提供每日、每月、每季以及每年運作時間百分比。

Tenable.io 廣泛使用了 AWS 平台以及其他領先技術,確保我們的客戶體驗到最佳服務以及整體品質。下面是為客戶部署優點的部分解決方案清單:

  • ElasticSearch Clusters - ElasticSearch Clusters 具有高度可用性,可在不影響服務可用性的情況下,復原主要節點、LB 節點以及至少 1 個資料節點的損失。
  • Elastic Block Stores - 用於拍攝每日快照以及儲存八 (8) 份拷貝
  • Kafka ecosystem - Kafka 與 Zookeeper 皆會複製叢集間的資料以提供任何節點的容錯特有災難性故障。
  • Postgres Instances - 管理後端微服務架構以保存 30 天的快照

資料複製的地點在哪裡?

重複的資料會儲存在相同區域內。

適當的災害復原功能是什麼?

災難指的是導致一個或多個區域的資料或設備無法復原損失的事件。

Tenable.io 災難復原程序有幾種等級,其設計宗旨是針對任何地點 5 年到 50 年之間才會發生一次的情況做出因應。根據災難的範圍,復原程序花費的時間可能從 60 分鐘到 24 小時不等。

誰能夠存取客戶資料?

客戶可以控制存取其資料的對象,包括將角色及權限指定給其人員,以及臨時授與 Tenable 支援人員存取權限。

使用者角色與權限的管理方式為何?

Tenable.io 客戶管理員可以指定使用者角色 (基本、標準、管理員與停用) 以管理對於掃描、政策、掃描器、代理商以及資產清單的存取。

Tenable 員工是否能夠存取客戶資料?

是。在客戶許可的情況下,Tenable 全球支援人員的第三級成員可以模擬使用者帳號,這使得他們能夠以其他使用者身分在 Tenable.io 執行業務而無需取得該使用者的密碼。Tenable 支援人員 (或客戶) 可以要求啟用此功能。Tenable 支援人員在有效支援個案中透過附註要求客戶「核准」模擬。包含支援記錄的每項核發必須授與許可。無論任何時間,Tenable 將不會在沒有任何限制的情況下「同意」模擬運作。使用者模擬可能會導致資料離開首要地點。

所有 Tenable.io 營運人員都需要通過第三方背景調查。此外,所有資深團隊成員皆有在軟體即服務 (SaaS) 架構的安全軟體公司任職至少五年的經驗,同時許多人有都擁有例如 CISSP 的安全認證。

Tenable 有明定的招募與解雇程序。所有員工在入職時都需要簽署保密協議,員工在離職時所有帳戶以及存取金鑰會立即撤銷。

誰可以使用模擬功能?

只有 Tenable 第三級支援人員才獲准使用模擬功能。

是否會記錄模擬活動?

是。

當 Tenable 在排除技術問題時,資料是否會離開國家?

Tenable 會盡最大努力確保客戶資料受到保護,藉由與客戶合作確定資料保留在所需區域,以確保遵守客戶政策。然而,還是可能發生其他情況,此時客戶可透過電子郵件向 Tenable 報告,或違反其自身政策而將電子郵件郵寄至所在區域以外。

Tenable 支援人員會有客戶內部網路的存取權嗎?

否。所有流量將由掃描器開始,同時僅會輸出。掃描器會安裝在客戶的防火牆後方,客戶可以透過其防火牆控制掃描器的存取。

客戶資料會保留在 Tenable.io 多久?

資料保留期間在設計上將符合各種客戶與監管需求。

主動掃描資料會保留多久?

長期測量進度的能力是 Tenable.io 平台的核心功能。Tenable.io 將會自動儲存客戶資料 15 個月的時間,並且給予客戶 1 年以上的報告期間。

如果客戶需要的儲存期間超過 15 個月,Tenable.io 將提供幾種下載客戶資料的方法,客戶可以依照其意願儲存資料。

如果客戶不繼續使用 Tenable.io 服務,資料會保留多久?

倘若客戶帳戶到期或是終止,Tenable 將會依照其到期時的狀態保留該資料,惟保留時間不會超過 180 天。在 180 天之後,該資料將被刪除同時無法再取回。

PCI 相關資料會保留多久?

根據 PCI 法規規定,涉及 PCI 合規驗證程序的資料會等到 PCI 證明日期的至少三年後才會刪除。即使客戶選擇刪除其掃描內容或帳戶,或是終止其 Tenable.io 服務,Tenable 仍會保留此期間內的資料。

Tenable.io 使用量資料會保留多久?

為確保提供最佳體驗,只要客戶容器維持作用狀態,我們將持續收集該資料。一旦客戶中止服務,保留資料的時間將不會超過 180 天。

Tenable.io 是否有通用條件認證?

一般而言,「共同準則」認證不適用於 SaaS 解決方案,因為更新頻率不適用於需要花費 6-9 個月才能完成的認證程序。

客戶是否可以選擇要將資料儲存在哪一個國家?

例外情況是如果在部署之前客戶要求特定的地理位置,Tenable 將會在該地點啟用客戶。目前的地點有:

  • 美國東部
  • 美國西部
  • 倫敦
  • 法蘭克福
  • 雪梨

資料是否存在國家內的多個位置?

否。Tenable 目前並未將資料從某個地點複製到其他地點。

PCI ASV

什麼是 PCI ASV?

PCI ASV 指的是支付卡產業 (PCI) 資料安全標準 (DSS) 規定和安全評估程序的第 11.2.2 條規定,該規定要求每季執行外部弱點掃描,且必須由授權掃描服務商 (ASV) 來執行 (或證明已執行)。ASV 指的是具備一套服務和工具 (「ASV 掃描解決方案」) 的組織,能驗證其他公司是否遵循 PCI DSS 第 11.2.2 條規定的外部掃描規定。

ASV 掃描的掃描範圍內有哪些系統?

PCI DSS 規定針對隸屬持卡人資料環境中,掃描客戶所擁有或運用之可由外部存取 (網際網路對向) 的所有系統元件,以及任何提供持卡人資料環境路徑的向外系統元件進行弱點掃描。

什麼是 ASV 程序?

ASV 掃描的主要階段包含:

  • 範圍設定:由客戶執行,以納入隸屬持卡人資料環境的所有網際網路對向系統元件。
  • 掃描:使用 Tenable.io VM PCI 季度外部掃描範本
  • 報告/修復:修復中期報告的結果。
  • 爭議解決:客戶與 ASV 共同努力記錄和解決爭議的掃描結果。
  • 重新掃描 (視需要):直到產生的可解決爭議和例外狀況通過掃描。
  • 最後報告:以安全方式提交與遞送。

需要多久執行 ASV 掃描一次?

ASV 弱點掃描至少必須每季執行一次或在任何重大網路變更後執行,例如安裝新系統元件、變更網路拓撲、修改防火牆規則或升級產品。

授權掃描服務商 (ASV) 與合格安全評估商 (QSA) 有何不同?

ASV 僅會針對 PCI DSS 11.2 所述的外部弱點進行掃描。QSA 指的通過 PCI 安全標準委員會 (SSC) 認證與訓練,可執行一般 PCI DSS 現場評估的評估公司。


Tenable.IO PCI ASV 解決方案功能

Tenable 是經認證的 PCI ASV 嗎?

是。Tenable 是一家合格的授權掃描服務商 (ASV),可為商家和服務供應商驗證網際網路對向環境 (用於儲存、處理或傳輸持卡人資料) 的外部弱點掃描。ASV 資格認證程序包含三個部分:第一個牽涉到 Tenable Network Security 服務商資格認證。第二部分則是負責進行遠端 PCI 掃描服務的 Tenable 員工資格認證。第三部分包含 Tenable 遠端掃描解決方案 (Tenable.io 弱點管理和 Tenable.io PCI ASV) 的安全測試。

身為授權掃描服務商 (ASV),Tenable 是否能實際執行掃描?

ASV 可執行掃描。不過,Tenable 依賴客戶使用 PCI 季度外部掃描範本來自行進行掃描。此範本可防止客戶變更組態設定,例如停用弱點檢查、指派嚴重性等級、更改掃描參數等。客戶使用 Tenable.io VM 雲端型掃描器來掃描其網際網路對向環境,然後提交合規掃描報告給 Tenable 作為證明。Tenable 會驗證掃描報告,然後客戶再依照支付組織所指示將這些報告提交給其收單機構或支付組織。

新產品和現有產品有何不同之處?

全新或改良的功能包含:

  • 使用者可透過單一 UI 進行掃描/管理/提交/完成 ASV 證明程序。
  • 能讓多人提出爭議並提交以獲得 ASV 認證。
  • 能將相同的爭議/例外狀況套用到多個 IP。(能根據外掛程式,而非依照資產建立爭議)
  • 能將 IP 標示為範圍外
  • 能夠註釋補償管控

資料主權

Tenable.io PCI ASV 是否符合歐盟資料主權規定?

弱點資料不屬於 EU DPD 95/46/EC 資料,因此任何資料保留規定都是因應客戶需要,而非監管機構要求。歐盟國家政府組織可擁有各自的資料保留規定,但這些規定必須逐例予以評估,且不會對 PCI-ASV 掃描造成任何問題。


Tenable.io ASV 定價/授權/訂購

Tenable.io VM 是否包含任何 PCI ASV 授權?

是,Tenable.io VM 針對單一、獨特的 PCI 資產都擁有 PCI ASV 授權。部分組織大費周章地透過外包支付處理功能限制 PCI 範圍內的資產。由於這些客戶可以說「不在 PCI 產業中」,因此 Tenable 已簡化了他們的採購和授權。客戶每 90 天可變更其資產一次。

Tenable.io PCI ASV 的授權方式為何?

對於擁有超過一個以上獨特 PCI 資產的客戶,Tenable.io PCI ASV 解決方案會授權為 Tenable.io 弱點管理訂閱的附加元件。

Tenable.io PCI ASV 的授權為何不是根據客戶的網際網路對向 PCI 資產數量?

在實體的持卡人資料環境 (CDE) 內或提供路徑的網際網路對向的主機數量可能會頻繁變更,因此造成授權的複雜性。Tenable 選擇使用更簡單的授權方式。

客戶每季可提交多少個證明?

客戶可提交無限數量的季度證明。

試用/評估客戶是否有資格可評估 Tenable.io PCI ASV?

是。評估客戶可使用 PCI 季度外部掃描範本來掃描資產、檢視結果並提出爭議。不過,他們無法提交掃描報告作為證明。

現有的 Tenable.io VM 客戶如何轉換到新功能?

新功能將於 2017 年 7 月 24 日自動啟用,客戶可以將其用於下一次 PCI ASV 掃描。現有客戶最少一年內將不需要授權新的 PCI ASV 功能。

已授權現有 PCI ASV 功能的 SecurityCenter 客戶如何轉換到新功能?

已擁有授權之外部/PCI 掃描的 SecurityCenter® 客戶在 Tenable.io PCI ASV 一推出後即可開始使用。續約時,這些客戶可使用現有的 SKU 進行續約。不過,對他們來說改為授權 Tenable.io PCI ASV 的好處更多。

免費試用 立即購買

試用 Tenable.io Vulnerability Management

免費試用 60 天

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即註冊並在 60 秒內進行第一次掃描。

購買 Tenable.io Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 資產
免費試用 立即購買

免費試用 Nessus Professional

免費試用 7 天

Nessus® 是現今市場上功能最全面的弱點掃描器。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊互動。

購買 Nessus Professional

Nessus® 是現今市場上功能最全面的弱點掃描器。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊互動。

立即購買 1 年、2 年或 3 年授權。