Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Vulnerability Management 常见问题

试用 Tenable Vulnerability Management

在 60 秒内运行第一次扫描。

立即试用

一般问题

Tenable Vulnerability Management 是什么?

Tenable Vulnerability Management 是一款基于风险的漏洞管理解决方案,为您提供全面的网络可见性,助您预测攻击和快速对严重漏洞进行响应。持续不断的发现和评估为发现网络上的所有资产以及这些资产上隐藏的漏洞提供了必要的可见性。 内置的优先级分析、威胁情报和实时报告可帮助了解自身风险,并主动阻断攻击路径。 该解决方案基于领先的 Tenable Nessus 技术并在云中托管,提供了对网络上资产和漏洞的完整可见性,以便快速准确地了解风险,并获悉需要优先修复哪些漏洞。

Tenable Vulnerability Management 是 Tenable 风险暴露管理平台 Tenable One 不可或缺的组成部分。Tenable One 基于 Tenable Vulnerability Management 打造而成,提供对整个基础设施的安全风险的可操作洞察,包括云实例、Web 应用程序、Active Directory (AD) 等,甚至是移动设备、虚拟机和容器等高度动态变化的资产。为进一步提升网络安全风险管理,您可以获得额外的优先级分析指标和功能,如攻击面可视化、资产重要程度评级、基于风险的风险暴露评分和同行业内的基准测试,以及跟踪风险随时间降低的能力。

如何了解有关 Tenable Vulnerability Management 的更多信息?

要了解 Tenable Vulnerability Management 的更多信息,请访问 Tenable Vulnerability Management 产品页参加即将举办的网络研讨会或联系您的 Tenable 认证合作伙伴Tenable 代表

我如何评估 Tenable Vulnerability Management 应用程序?

请访问 https://www.tenable.com/try 注册 Tenable Vulnerability Management 的免费评估版。

我如何购买 Tenable Vulnerability Management 应用程序?

您可以通过以下方式购买 Tenable Vulnerability Management 应用程序:与当地的 Tenable 认证合作伙伴合作、联系您的 Tenable 代表访问 tenable.com

我能否分别购买 Tenable.io 应用程序的许可?

是。您可以单独对 Tenable 应用程序授予许可。例如,Tenable Web Application Scanning 可以以单独授予许可,而不包含 Tenable Vulnerability Management 的漏洞管理功能。

Tenable Vulnerability Management 如何定价和许可授权?

Tenable Vulnerability Management 通过年度订阅授予许可,并按资产而非按 IP 地址定价。客户得以充分利用云等新型技术,无需担心重复统计。

有关定价与许可的更多信息,请参阅以下部分。

何为资产?

资产包括:

  • 操作系统连接到网络的实体或虚拟设备
  • 具有 FQDN 的 Web 应用程序
  • 活动(非终止)的云资源

示例包括:台式机、笔记本电脑、服务器、存储或网络设备、电话、平板电脑、虚拟机、云实例和容器等。

其他 Tenable Vulnerability Management 应用程序如何定价和授权?

Tenable Web App Scanning 通过年度订阅授予许可,并按资产数量定价。Tenable Web App Scanning 按产品评估的完全限定域名 (FQDN) 的总数定价。

有关定价与许可的更多信息,请参阅以下部分。

Tenable 是否提供 Tenable Vulnerability Management 服务级别协议 (SLA)?

是。Tenable 通过强大的 Tenable Vulnerability Management 服务级别协议 (SLA),在业界率先为漏洞管理提供正常运行时间保证。与全球领先的云服务提供商(如 Amazon Web Services (AWS))一样,只要未达到 SLA,即提供服务积分。

从何处可以找到有关 Tenable Vulnerability Management 的文档?

欲获取包含 Tenable Vulnerability Management 在内的全部 Tenable 产品技术文档,请前往 https://docs.tenable.com

Tenable 使用哪些 IP 进行云端扫描?

默认情况下,Tenable Vulnerability Management 会使用区域特定的扫描程序进行配置。欲查阅更多信息,请参见文档

我可以同时使用 Tenable Security Center 和 Tenable Vulnerability Management 吗?

是。您可以同时使用两种解决方案。客户可以利用 Tenable Security Center 和 Tenable Vulnerability Management 选择混合漏洞管理部署。对 Tenable Vulnerability Management PCI/ASV 或其他 Tenable Vulnerability Management 应用程序感兴趣的客户可以选择混合部署以及 Tenable Security Center 实例。

我可以从 Tenable Security Center 迁移到 Tenable Vulnerability Management 吗?

是。对于感兴趣的客户,可以使用一系列选项将 Tenable Security Center 平滑迁移到 Tenable Vulnerability Management,而且 Tenable 或您的认证合作伙伴会提供全面支持。有关更多信息,请联系您的 Tenable 认证合作伙伴Tenable 代表

什么是外部攻击面管理 (EASM)?

外部攻击面管理 (EASM) 是 Tenable 提供的一项功能,可帮助您了解网络边界之外的盲点。该功能支持客户对其域进行扫描,以找到可能对您的企业带来高风险、以前未知且连接到 Internet 的资产。

Tenable Vulnerability Management 是否包含外部攻击面管理 (EASM)?

是,Tenable Vulnerability Management 提供外部攻击面管理 (EASM) 功能。如果您需要在扫描结果中增加额外的域、频率和/或元数据,可以购买我们的 Tenable Attack Surface Management 附加组件。

何为 Tenable Web App Scanning?

Tenable Web App Scanning 是一种动态应用程序安全测试 (DAST) 应用程序。 DAST 通过前端对正在运行中的 Web 应用程序进行爬虫分析,创建出包含所有页面、链接和表单的站点地图进行测试。当 DAST 创建完站点地图后,就会通过前端查询站点,识别出应用程序自定义代码中是否存在任何漏洞,或占应用程序大部分的第三方组件中是否存在已知漏洞。

从何处可以了解有关 Tenable Web App Scanning 的更多信息或对其进行评估?

有关 Tenable Web App Scanning 的更多信息,请访问 Tenable Web App Scanning 产品页面。 请访问 tenable.com/try-was 注册免费评估,或联系您的 Tenable 认证合作伙伴Tenable 代表获取更多信息。

产品是否扫描源代码或执行静态分析?

排名第一 Tenable Web App Scanning 是一种动态应用程序安全测试 (DAST) 解决方案,会在应用程序于测试或生产环境中运行时测试“来自外部”的 Web 应用程序。

弹性资产许可问题

内置于 Tenable Vulnerability Management 的弹性资产许可,是一种将漏洞管理许可与现今弹性 IT 环境相结合的大胆创新。如果资产具有多个和/或不断变化的 IP 地址,弹性资产许可能够避免此类资产的重复统计。此外,它还会自动从最近未扫描到的资产中回收许可,包括过时资产以及可能误扫描到的资产。

Tenable Vulnerability Management 弹性资产许可是什么?

弹性资产许可有何主要益处?

  • 客户可根据资产数量而非虚高的 IP 计数购买适量的许可。
  • 客户可避免从过时和/或误扫描到资产中回收许可,这往往会耗费时间,并造成项目不准确。
  • 对于具有多个 IP 地址的资产,漏洞管理指标不会因其双重和三重统计漏洞而崩溃。

弹性资产许可有何益处?

弹性资产许可有何主要益处?

  • 客户可根据资产数量而非虚高的 IP 计数购买适量的许可。
  • 客户可避免从过时和/或误扫描到资产中回收许可,这往往会耗费时间,并造成项目不准确。
  • 对于具有多个 IP 地址的资产,漏洞管理指标不会因其双重和三重统计漏洞而崩溃。

Tenable Vulnerability Management 客户是否可以扫描多于许可的资产?

是的,客户可以在短时间内超出资产的许可数量。当然,若持续超出许可数量,客户即需要进行校准。

Tenable Vulnerability Management 漏洞管理客户如何确定许可状态?

Tenable Vulnerability Management 用户界面会显示以下两项信息:资产的许可数量和实际的许可使用情况。

何为资产?

资产是可供分析的实体,包括台式电脑、笔记本电脑、服务器、存储设备、网络设备、手机、平板电脑、虚拟机、虚拟机监控程序和容器等。

Tenable Vulnerability Management 如何识别资产?

Tenable Vulnerability Management 漏洞管理首次发现资产时,会收集多个标识属性,其中可能包括 BIOS UUID、系统 MAC 地址、NetBIOS 名称、FQDN 和/或可用于切实识别资产的其他属性。此外,经过身份验证的扫描和 Nessus 代理会分配一个 Tenable UUID 至该设备。随后,Tenable Vulnerability Management 漏洞管理在扫描资产时,会将其与之前发现的资产进行对比。如果新发现的资产与之前发现资产的并不匹配,则该资产将添加至 Tenable Vulnerability Management 资产清单。

资产与 IP 有何不同?

IP 通常是资产的一项属性,许多资产会分配有多个 IP(例如 DHCP 设备、具有有线和无线接口的系统等)。

为何资产计数可能低于 IP 计数?

很多时候,资产会具有多个网络接口卡,以便经由多个网络进行访问。例如,Web 服务器可能同时用于生产网络和管理网络;笔记本电脑通常兼具有线和无线网络接口。此外,笔记本电脑在从某一位置移动到另一位置时通常会获得新的 IP。如果按照 IP 分别进行扫描,都将导致双重统计。

潜在客户如何估算其资产计数?

Tenable Vulnerability Management 支持使用主动和被动传感器进行无限制发现扫描。客户可以通过扫描对所有资产进行全面清点,并确定适当的许可级别。

如何避免对同一资产进行多次统计?

Tenable Vulnerability Management 支持多种方法,可避免对同一资产进行双重或三重统计,从而计算出适当的许可级别。借助传统资产,Tenable Vulnerability Management 使用专用算法,会将新发现的资产与已发现的资产进行匹配,以避免重复统计并确保漏洞报告更为准确。

数据安全和隐私问题

客户数据安全和隐私是 Tenable 的第一要务。数以千计的客户,包括金融服务提供商、医疗保健提供商、零售商、教育机构和政府机构,都放心由 Tenable 处理其云平台中的漏洞数据。

数据安全和隐私包括以下内容:不允许客户访问非自身所有以外的任何数据,并确保任何客户之外的人​员、黑客、犯罪分子或未经授权的 Tenable 代表均无法访问、披露、复制存储于 Tenable Vulnerability Management 服务中的客户数据,或是以其他方式违反针对此类数据的隐私保护。

此外,Tenable 着力于 Tenable Vulnerability Management 服务的可用性和可靠性;因为安全控制不善会产生各种问题,即使不会为客户的数据带来风险​,亦会影响服务的可用性。Tenable 实施和执行若干措施,使 Tenable Vulnerability Management 具有高度可用性,并可防范攻击或单纯的故障及中断,从而始终为我们的客户所用。

Tenable Vulnerability Management 管理哪些客户数据?

最终,Tenable Vulnerability Management 所管理的客户数据具有一个用途,即在客户管理资产和漏洞以确保其环境安全时,为其提供卓越体验。为了实现这一目标,Tenable Vulnerability Management 对以下三类客户数据实施管理:

  1. 资产和漏洞数据
  2. 环境性能数据
  3. 客户使用数据

Tenable Vulnerability Management 管理哪些客户资产和漏洞数据?

Tenable Vulnerability Management 会在客户网络上盘存资产,并对资产属性实施管理,其中可包括 IP 地址、MAC 地址、NetBIOS 名称、操作系统和版本、活动端口等。

Tenable Vulnerability Management 资产数据
Tenable Vulnerability Management 管理的资产数据范例

Tenable Vulnerability Management 收集详细的当前及历史漏洞和配置数据,其中可包括关键程度、可利用性和修复状态以及网络活动。此外,如果客户通过与资产管理系统和补丁管理系统等第三方产品集成来增强 Tenable Vulnerability Management 数据,则 Tenable Vulnerability Management 可管理这些产品的数据。

Tenable Vulnerability Management 漏洞数据
Tenable Vulnerability Management 管理的漏洞数据范例

Tenable 是否会分析或使用客户数据?

Tenable 可匿名分析客户数据,确定行业趋势、漏洞增缓趋势,以及安全事件趋势。例如,将漏洞的存在与其攻击相关联,会使 Tenable 客户获益匪浅。其他益处包括:先进的分析,以及客户数据与行业、安全事件和趋势相关性的增强。收集和分析此类数据,还可让客户在行业或整体层面上,对照他人进行自我衡量。如果客户不希望 Tenable 收集其数据,Tenable 也将提供必要的拒绝方法。

会收集哪些 Tenable Vulnerability Management 运行状况和状态数据?

为了维护 Tenable Vulnerability Management 的性能和可用性,并提供最佳用户体验,Tenable Vulnerability Management 会收集客户特定的应用程序状态及运行状况信息。其中包括扫描器与平台通信的频率、被扫描的资产数量和所部署软件的版本,以及其他用以尽快识别、解决潜在问题的常规遥测。

客户能否选择拒绝健全和状态数据收集?

Tenable 利用健全及状态数据,及时检测并解决潜在问题,从而遵守 SLA 承诺。因此,客户无法选择拒绝此数据收集。

会收集哪些 Tenable Vulnerability Management 使用数据?

Tenable 收集匿名用户使用数据,以评估和改进客户体验。此类数据包括页面访问、点击以及表达用户关于简化和改进用户体验意见的其他用户活动。

用户能否选择拒绝使用数据收集?

是。客户可要求不再允许容器参与收集过程。

客户数据位于何处?

Tenable 通过 Amazon Web Services (AWS) 的数据中心和服务向客户提供和交付 Tenable Vulnerability Management。默认情况下,Tenable 会选择在最合宜的区域创建一个客户容器,以确保客户获得最佳体验。目前的位置有:

  • 美国东部
  • 美国西部
  • U.S Central
  • 伦敦
  • 法兰克福
  • 悉尼
  • 新加坡
  • 加拿大
  • 日本
  • 巴西
  • 印度

除此之外,如果客户在部署之前要求使用某一特定的 AWS 区域,Tenable 将在该区域激活客户。

由于所有客户数据均存储在安全可靠、区域性的 AWS 服务中,AWS 所维护的欧盟数据保护认证也适用于 Tenable 云。更多信息可在此处获得。

Tenable Vulnerability Management 是否会在未来支持其他国家/地区?如会,则在何时?

是。然而,其他位置的时间框架尚未确定。

数据是否可以存储在非初始区域的 AWS 区域?

在某些情况下,数据可以存储在非初始 AWS 区域的其他区域。

  • Tenable Vulnerability Management 客户可使用众多 AWS 区域所提供的公共、共享扫描池运行外部扫描。 通常而言,选择接近目标的扫描器会加快扫描速度。请注意,若客户在非帐户托管区域的其他位置使用云扫描器,扫描数据将暂时存在于帐户托管区域之外,但不会被存储。例如,如果客户有个在欧盟/德国托管的帐户,其在美国/北弗吉尼亚使用扫描器进行扫描,那么扫描​数据将短暂途径美国后才可存储于法兰克福。如果数据区域构成问题,客户应仅于其所在区域使用云扫描器进行外部扫描。此项可根据每次扫描的情况进行简单选择。
  • 如果客户使用的是 Tenable Security Center,即使其整个基础设施中有一部分使用 Tenable Vulnerability Management 扫描,扫描数据也不会存储在云端。
  • Tenable Nessus Agent 扫描数据会在客户自 Tenable Vulnerability Management 运行扫描时存储于 Tenable Vulnerability Management。如果客户使用 Tenable Nessus Manager 运行代理扫描,无论代理部署于何处,数据都不会存储于 Tenable Vulnerability Management。

客户能否强制将数据保留在特定位置/国家/地区?

是。数据会存储在创建帐户时所选的国家/地区。

如何在 Tenable Vulnerability Management 中保护客户数据?

Tenable 采用多种安全措施来提供 Tenable Vulnerability Management 数据安全和隐私。

Tenable 如何执行安全开发?

Tenable 遵循一系列的实践以确保 Tenable Vulnerability Management 应用程序软件的安全。

测试由 Tenable 内部三个独立的团队实施:

  • 安全测试由开发团队实施;
  • Tenable IT 安全团队在部署前后执行 Tenable Vulnerability Management 漏洞测试(部署后测试为不定期测试,不会预先通知其他团队);以及
  • Tenable 在部署前会针对源代码和更改内容提供额外安全审查。

所有软件部署均为自动化,并且只通过构建系统(该系统通过企业 LDAP 认证进行身份验证)予以执行,或是由使用 SSH 私有密钥进行身份验证的 Ansible 予以执行。所有部署均加以记录和追踪;此外,有关部署操作(计划或计划外)的通知会自动发送至 Tenable 开发团队。

对源代码的所有更改都被追踪并链接至应用该更改的发布版本。此类追踪可确保记录包含每项更改的完整历史,即何人作出更改、何时作出更改,以及更改内容何时最终部署到生产环境中。

每项部署须经由两名以上 Tenable 团队成员批准。一切更改和部署都将告知所有团队成员。软件首先被部署到测试环境中,随后在一段时间内以“滚动的方式”部署到生产实例中。

哪些客户应用程序安全功能可供使用?

  • 确保对 Tenable Vulnerability Management 的访问以安全且经授权的方式进行,是我们开发和运营团队工作的重中之重。Tenable Vulnerability Management 提供众多机制来保证客户数据安全并控制访问。我们会在五 (5) 次尝试登录失败之后锁定帐户,以此防止暴力攻击。
  • 为防止数据拦截,所有与平台的通信均通过 SSL (TLS-1.2) 加密。此外,旧版非安全 SSL 协商会遭到拒绝,以确保实现最高级别防护。
  • 为保护对平台的访问,客户可通过 Twillo 所提供的服务来配置双重身份验证。
  • 客户可将 Tenable Vulnerability Management 与其 SAML 部署相集成。Tenable Vulnerability Management 支持 IdP 和 SP 启动请求。最后,用户可使用电子邮件地址在应用程序内部直接重置密码。
  • 客户通常使用记录的 API 或 SDK 建立客户连接至 Tenable Vulnerability Management。访问可通过创建特定的 API“密钥”来进行授权和控制。可支持将不同的密钥用于不同的集成,而无须共享用户凭证。

如何保护客户数据?

Tenable 采用多种安全措施来提供 Tenable Vulnerability Management 数据安全和隐私。

如何加密数据?

Tenable Vulnerability Management 平台上的全部数据(所有状态)均使用不低于 AES-256 的标准进行至少一层加密。

静态: 数据使用 AES-256 标准进行至少一层加密并存储于加密媒体上。

一些数据类别包括针对每个文件的二级加密。

传输状态: 数据在传输中使用具 4096 位密钥的 TLS v1.2 进行加密(包括内部传输)。

Tenable Vulnerability Management 传感器通信: 从传感器到平台的流量总是由传感器启动,并且仅在端口 443 出站。流量使用具 4096 位密钥的 TLS 1.2 通过 SSL 通信进行加密。此举可免去更改防火墙的麻烦,并允许客户利用防火墙规则控制连接。

  • 扫描器至平台身份验证
    • 该平台为连接到容器的每个扫描器随机生成一个 256 位长度的密钥,并在链接过程中将该密钥传递给扫描器
    • 扫描器在请求作业、插件更新和更新为扫描器二进制数据时,使用此密钥对控制器进行身份回验
  • 扫描器至平台作业通信
    • 扫描器每 30 秒即联系一次平台
    • 如果存在作业,平台会生成一个 128 位的随机密钥
    • 扫描器从平台请求策略
    • 控制器使用密钥加密策略,包括在扫描过程中使用的凭证

备份/复制状态: 卷快照和数据副本存储所使用的加密级别与其来源相同,不低于 AES-256。 所有复制均通过提供商完成。 Tenable 不会将任何数据备份到场外物理媒体或物理系统。

索引状态: 索引数据使用 AES-256 标准进行至少一层加密并存储于加密媒体上。

扫描凭据: 存储在某一策略中,该策略于容器 AES-256 全局密钥中加密。扫描启动时,该策略会使用一个随机的 128 位密钥加密,并使用具 4096 位密钥的 TLS v1.2 进行传输。

密钥管理: 密钥集中存储,并使用基于角色的密钥进行加密,其访问受到限制。 存储的所有加密数据都可转为一个新的密钥。数据文件加密密钥在每个区域站点上均不相同,磁盘级密钥也是如此。密钥严禁共享,且每年会对密钥管理程序进行审查。

客户能否上传自己的密钥?

客户不可对密钥管理进行配置。Tenable 管理密钥以及密钥轮换。

Tenable 是否已获得任何隐私或安全认证,如隐私盾或 CSA STAR?

Tenable Network Security 遵守美国商务部颁布的欧盟-美国隐私盾框架以及瑞士-美国隐私盾框架,上述框架涉及收集、使用和保留从欧盟和瑞士向美国传输的个人信息。Tenable Network Security 已向商务部证明其符合上述隐私盾原则。如果在隐私政策和上述隐私盾原则之间存在任何冲突,以隐私盾原则为准。欲了解有关隐私盾计划的更多信息并查看我们的认证,请访问 https://www.privacyshield.gov/。

Tenable 已完成云安全联盟 (CSA) STAR 自我评估。 Tenable 在一致性评估倡议调查问卷 (CAIQ) 中,回答了超过 140 个 Tenable Vulnerability Management 客户或合作伙伴可能会提出的安全相关问题。CSA STAR 是业界最强大的云安全保障计划。STAR(安全信任与保证注册项目)涵盖透明度、严格审计和标准协调方面的关键原则,包括对最佳实践的指示以及对云产品安全态势的验证。

如何保护个人身份信息 (PII)?

Tenable Vulnerability Management 平台将竭力避免以需要额外认证或安全措施的方式收集个人身份信息 PII 数据类型。这包括信用卡号码、社会安全号码和其他海关检查项。一旦 Tenable 插件捕获可能包含敏感信息或个人信息的字符串,该平台将自动混淆其中至少 50% 的字符,以保护可能具敏感性的数据。

客户数据是否独立?

每个客户的数据均标记有“容器 ID”,对应特定的客户订阅。此容器 ID 可确保对客户数据的访问仅限于该客户。

Tenable Vulnerability Management 通过哪些控制措施来确保安全?

  • Tenable 执行每日漏洞扫描。
  • 由防火墙和网络分段来控制访问。通过自动化工具和流程监控 Tenable Vulnerability Management 平台的正常运行时间和性能以发现异常行为。
  • 针对日志实行全天候自动化监测,Tenable 工作人员亦可全天候对事件作出响应。

如何保护 Tenable Vulnerability Management 传感器的安全?

连接到平台的传感器可收集漏洞和资产信息,在客户安全方面发挥着重要作用。保护此类数据并确保通信路径的安全,是 Tenable Vulnerability Management 的一项核心功能。Tenable Vulnerability Management 目前支持以下几种传感器:Tenable Nessus 漏洞扫描器、被动扫描器和 Nessus 代理。

这些传感器在通过密码身份验证并链接至 Tenable Vulnerability Management 后会连接 Tenable Vulnerability Management 平台。一旦完成链接,Tenable Vulnerability Management 即可管理所有更新内容(插件、代码等),以确保传感器始终处于最新状态。

从传感器到平台的流量总是由传感器启动,并且仅在端口 443 出站。流量使用具 4096 位密钥的 TLS 1.2 通过 SSL 通信进行加密。此举可免去更改防火墙的麻烦,并允许客户利用防火墙规则控制连接。

  • 扫描器至平台身份验证
    • 该平台为连接到容器的每个扫描器随机生成一个 256 位长度的密钥,并在链接过程中将该密钥传递给扫描器
    • 扫描器在请求作业、插件更新和更新为扫描器二进制数据时,使用此密钥对控制器进行身份回验
  • 扫描器至平台作业通信
    • 扫描器每 30 秒即联系一次平台
    • 如果存在作业,平台会生成一个 128 位的随机密钥
    • 扫描器从平台请求策略
    • 控制器使用密钥加密策略,包括在扫描过程中使用的凭证

如何管理 Tenable Vulnerability Management 可用性?

Tenable Vulnerability Management 的各项服务致力于提供 99.95% 或更佳的正常运行时间,并已在多数服务上提供 100% 的正常运行时间。Tenable 已发布 SLA,表明我们会确保所有用户均可使用该平台,并说明倘若发生计划外停机,我们如何取信于客户。

“正常运行”状态简单取决于第三方托管的公共可用性测试,其定期测试所有服务的可用性。有关现有和以前的服务运行时间相关信息,请访问 https://status.tenable.com

Tenable Vulnerability Management 广泛使用 AWS 平台和其他领先技术,以确保客户享有最佳服务和整体质量体验。下方是为惠及客户所部署解决方案的部分列表:

  • ElasticSearch 集群: Elasticsearch 群集可用性高,可从主节点、lb 节点和至少 1 个数据节点的丢失中恢复,而不会影响服务可用性。
  • 弹性块存储:用于获取每日快照并存储八 (8) 份副本。
  • Kafka 生态系统: Kafka 和 Zookeeper 都可在群集中复制数据,提供任何节点应对灾难性故障的容错能力。
  • Postgres 实例: 管理后端微服务框架,保留 30 天的快照

复制的数据位于何处?

复制的数据存储在同一区域内。

哪些灾难恢复功能已部署到位?

灾难是指可造成一或多个区域中数据或设备发生无法恢复之损失的事件。

Tenable Vulnerability Management 灾难恢复程序具有多个级别,以应对任何地点可能发生的 5 年一次到 50 年一次的状况。根据灾难范围的不同,恢复程序用时 60 分钟至 48 小时不等。

何人可以访问客户数据?

客户可控制访问其数据的对象,包括为其人员分配角色和权限,并授权 Tenable 支持人员的暂时访问。

如何管理用户角色和权限?

Tenable Vulnerability Management 客户管理员可分配用户角色(基本、标准、管理员和禁用),以管理对扫描、策略、扫描器、代理和资​产列表的访问。

Tenable 人员能否访问客户数据?

是。经客户许可,Tenable 全球支持人员中的三级成员可以模拟用户帐户,作为另一用户在 Tenable Vulnerability Management 执行操作,而无需获得用户密码。Tenable 支持人员或客户可申请激活此功能。Tenable 支持人员需要客户借由积极支持案例中的注释,来“批准”此模拟功能。支持中记录的每个问题均须授予权限。Tenable 任何时候都不会以总体“确定”的方式操作以进行模拟。用户模拟可能导致数据离开主位置。

所有 Tenable Vulnerability Management 操作人员均须通过第三方背景检查。此外,所有高级团队成员都具有至少 5 年在 SaaS 模式安全软件公司工作的经验,而且许多成员还获得诸如 CISSP 之类的安全认证。

Tenable 有明确的雇用和解雇流程。所有员工在雇用入职阶段均须签署保密协议;此外,所有帐户和访问密钥在解雇时将立即予以撤销。

何人可以使用模拟功能?

仅 Tenable 三级支持人员可以使用模拟功能。

模拟活动是否会记录?

是。

Tenable 在排解技术问题时,数据是否会离开所在国家/地区?

Tenable 竭力确保客户数据受到保护,并通过与客户合作保证其策略得到贯彻,以保障在必要区域的数据留存。然而,在某些实例中,客户可通过电子邮件向 Tenable 发送报告,或以违背自身策略的其他方式,在其所在区域外发送电子邮件。

Tenable 支持人员能否访问客户的内部网络?

否。所有流量均由扫描器启动,并且仅用于出站。扫描器安装在客户的防火墙后面,可通过防火墙控制扫描器的访问。

客户数据可在 Tenable Vulnerability Management 中保留多长时间?

数据保留期旨在满足不同的客户和监管要求。

主动扫描数据可保留多长时间?

Tenable Vulnerability Management 平台的一项核心功能,就是能够衡量一段时间内的进程。为了能在 1 年期内进行报告,Tenable Vulnerability Management 将自动存储客户数据长达 15 个月。

如果客户需要 15 个月以上的存储期,Tenable Vulnerability Management 可提供多种方法下载客户数据,方便客户按照意愿存储数据。

如果客户终止 Tenable Vulnerability Management 服务,数据会保留多长时间?

如果客户的帐户到期或终止,Tenable 会保留当时的数据,但时间不会超过 180 天。此后,此类数据可能会被删除,并且无法恢复。

PCI 相关数据可保留多长时间?

根据 PCI 的规定,对于 PCI 合规验证流程中所涉及的数据,直到 PCI 认证日期之后至少 3 年方可删除。在这段时间内,即使客户选择删除其扫描内容或帐户,或是终止其 Tenable Vulnerability Management 服务,Tenable 也会保留此类数据。

Tenable Vulnerability Management 使用数据可保留多长时间?

为确保最佳体验,只要客户容器保持活跃,我们就会收集信息。一旦客户终止服务,对数据的保留将不会超过 180 天。

Tenable Vulnerability Management 是否获得通用标准认证?

通用标准认证通常不适用于 SaaS 解决方案,因其更新频率不适合需用时六到九个月才能完成的认证流程。

客户能否选择存储数据的国家/地区?

除此之外,如果客户在部署之前要求使用某一特定地理位置,Tenable 将在该位置激活客户。目前的位置有:

  • 美国
  • 伦敦
  • 法兰克福
  • 悉尼
  • 新加坡
  • 加拿大
  • 日本
  • 巴西
  • 印度

数据是否存在于一个国家/地区的多个位置?

否。Tenable 目前不会将数据从某一位置复制到另一位置。

PCI ASV

何为 PCI ASV?

PCI ASV 是指支付卡行业 (PCI) 数据安全标准 (DSS) 要求的规定 11.2.2,以及要求每季度进行一次外部漏洞扫描的安全评估程序,该程序须由经过批准的扫描供应商 (ASV) 执行(或证明)。ASV 是具有一组服务和工具(“ASV 扫描解决方案”)的组织,可验证对 PCI DSS 要求 11.2.2 外部扫描规定的遵守情况。

哪些系统属于 ASV 扫描的范围?

PCI DSS 要求对以下组件进行漏洞扫描:作为持卡人数据环境的一部分,为扫描客户所拥有或使用的一切外部可访问(面向互联网)系统组件;以及任何面向外部、为持卡人数据环境提供路径的系统组件。

ASV 流程是什么?

ASV 扫描的主要阶段包括:

  • 审查:由客户执行,以包括所有作为持卡人数据环境一部分面向互联网的系统组件。
  • 扫描:使用 Tenable Vulnerability Management PCI 季度外部扫描模板
  • 报告/修复:对中期报告的结果进行修复。
  • 争议解决:客户和 ASV 携手共同记录和解决有争议的扫描结果。
  • 重新扫描(视需要):直到生成争议和异常得到解决的合格扫描。
  • 最终报告:以安全的方式提交并交付。

ASV 扫描需要多长时间进行一次?

ASV 漏洞扫描需要至少每季度进行一次,并在网络上发生以下任何重大改变后进行:例如新系统组件的安装、网络拓扑结构的改变、防火墙规则的修改或产品升级。

经过批准的扫描供应商 (ASV) 与合格安全评估商 (QSA) 有何不同?

经过批准的扫描供应商 (ASV) 仅执行 PCI DSS 11.2 中所述的特定外部漏洞扫描。合格安全评估商 (QSA) 是指经过 PCI 安全标准委员会 (SSC) 资格验证和培训、以执行一般 PCI DSS 现场评估的评估商公司。


Tenable PCI ASV 解决方案功能

Tenable 是否为经过认证的 PCI ASV?

是。Tenable 作为一家经过批准的扫描供应商 (ASV),有资格验证商家和服务提供商面向互联网环境(用于存储、处理或传输持卡人数据)执行的外部漏洞扫描。ASV 资格认证流程由三部分组成:第一部分涉及 Tenable Network Security 作为供应商的资格。第二部分是关于负责远程 PCI 扫描服务的 Tenable 员工的资格。第三部分包含 Tenable 的远程扫描解决方案 (Tenable Vulnerability Management 和 Tenable PCI ASV)的安全测试。

作为经过批准的扫描供应商 (ASV),Tenable 是否切实执行扫描?

ASV 可执行扫描。不过,Tenable 依赖于客户使用 PCI 季度外部扫描模板自行进行扫描。该模板可防止客户更改配置设定,例如禁用漏洞检查、分配严重级别、更改扫描参数等。客户使用 Tenable Vulnerability Management 基于云的扫描程序来扫描其面向互联网的环境,然后向 Tenable 提交合规扫描报告作为证明。 Tenable 认证扫描报告后,客户可按照支付品牌的指示将其提交给收购方或支付品牌。


数据主权

Tenable PCI ASV 是否符合欧盟数据主权要求?

漏洞数据并非欧盟 DPD 95/46/EC 数据,因此任何数据驻留要求均由客户而非监管机构提出。欧盟国家的政府组织可提出自己的驻留要求,但这些要求须根据具体情况逐一进行评估,而且可能并非是 PCI-ASV 扫描方面的问题。


Tenable Vulnerability Management ASV 定价/许可/订购

Tenable Vulnerability Management 是否包含任何 PCI ASV 许可证?

是,Tenable Vulnerability Management 针对单个、唯一 PCI 资产包含 PCI ASV 许可证。某些组织大费周章地对 PCI 范围内的资产进行限制,一般是通过外包支付处理功能。由于这些客户可能“不从事 PCI 业务”,Tenable 已对其购买和许可流程进行简化。客户可以每 90 天变更一次资产。

Tenable PCI ASV 如何进行许可授权?

对于拥有不止一项独特 PCI 资产的客户,可以 Tenable Vulnerability Management 订阅的附加组件的方式授予 Tenable PCI ASV 许可。

为何 Tenable PCI ASV 不根据客户面向互联网的 PCI 资产数量进行许可授权?

在某一实体的持卡人数据环境 (CDE) 内或向其提供路径的面向互联网的主机数量可能频繁变化,从而导致许可过程错综复杂。Tenable 选择使用更为简便的许可方法。

客户每季度可以提交多少份证明?

客户可以提交不限数量的季度证明。

进行试用/评估的客户是否有资格评估 Tenable PCI ASV?

是。评估客户可以使用 PCI 季度外部扫描模板来扫描资产并查看结果。但是,他们无法提交扫描报告进行认证。