ホーム
Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
データのフロー
BigFix Inventory インフラストラクチャーのコンポーネント間、およびユーザーとツールの間では、いくつかの異なる相互作用が行われます。

Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
- データのフロー
  BigFix Inventory インフラストラクチャーのコンポーネント間、およびユーザーとツールの間では、いくつかの異なる相互作用が行われます。
- セキュリティー設定のシナリオ
  サポートされる各セキュリティー・シナリオを実現するために BigFix サーバーおよび BigFix Inventory サーバーで有効にする必要があるセキュリティー・オプションについて確認します。
- データベース接続暗号化の構成
  BigFix Inventory サーバーと BigFix Inventory データベースの接続を暗号化できます。暗号化は、JDBC ドライバーを使用して、BigFix Inventory サーバーとデータベース・エンジンの間に確立します。サーバーのアップグレード中に接続を暗号化できます。
- セキュア通信の構成
  セキュアな接続を確保するために、BigFix Inventory では、公開鍵暗号方式を使用します。この方式は、秘密鍵および公開鍵という 2 つの別々の鍵を使用するアルゴリズムを基盤としています。この鍵ペアは、通信の暗号化および暗号化解除に使用されます。
- 連邦暗号化標準への準拠
  暗号化に関する連邦情報処理標準要件に準拠するように、BigFix Inventory を構成できます。
- LDAP を使用したユーザーの認証
  BigFix Inventory は、Lightweight Directory Access Protocol (LDAP) サーバーを使用した認証をサポートします。この機能を使用するには、BigFix Inventory サーバーを構成する必要があります。
- シングル・サインオン (SSO) の構成と有効化
  9.2.1 以降で使用可能。2 要素認証と SSO を使用して BigFix Inventory にログオンし、企業内の他のアプリケーションとのログインの一貫性を維持することができます。2 要素認証と、Security Assertion Markup Language (SAML 2.0) トークンの交換に基づくシングル・サインオンを併用し、ID プロバイダーとして Microsoft™ Active Directory フェデレーション・サービスを使用するように BigFix Inventory を構成できます。あるいは、IBM Lightweight Third-Party Authentication (LTPA) テクノロジーを使用し、認証サービスとして IBM Security Access Manager for Web を使用することもできます。
- パスワードおよび暗号化メカニズムの構成
  アプリケーション・セキュリティーを向上させるために、ユーザー・パスワードのセキュリティー・ポリシーを定義します。パスワードが保管されている鍵ストアと BigFix Inventory データベースのパスワードおよび暗号化メカニズムも構成できます。
- ユーザー・アカウントのロックアウトの構成
  9.2.8 以降で使用可能。デフォルトでは、ユーザーが 5 分以内に 10 回を超えて BigFix Inventory にログインしようとした後に、ユーザー・アカウントは 5 分間ロックされます。デフォルト設定を変更したり、ユーザー・アカウントのロックアウトを無効にしたりすることができます。
- 信頼できる VM マネージャー証明書を受け入れるためのVM Manager toolの構成
  デフォルトで、VM Manager toolは、信頼できるかどうかに関係なく、すべての VM マネージャー証明書を受け入れます。デフォルトの動作を変更して、信頼できる証明書のみをVM Manager toolが受け入れるようにすることができます。
- リレー
  リレーにより、サーバーのアップストリームとダウンストリームの両方の負荷が軽減されます。サーバーと直接通信する代わりに、指定のリレーと通信するようにクライアントに指示できます。これにより、サーバーの負荷が大幅に軽減され、クライアントとサーバーの間のネットワーク・トラフィックが大幅に削減されます。

データのフロー

BigFix Inventory インフラストラクチャーのコンポーネント間、およびユーザーとツールの間では、いくつかの異なる相互作用が行われます。

BigFix Inventory 内のデータ・フローを示している図

BigFix Inventory ドメイン (domain)

BigFix Inventory ドメインのデータ・フローを以下の表に示します。4 つの列と 2 つの行があります。各行は、列 3 からは 2 つの行に分割されています。
対話	タイプ	接続	「説明」
A	Web ブラウザーのデータ・トラフィック	ポート	デフォルトでは、Web ブラウザーはポート 9081 (HTTPS) を使用して BigFix Inventory サーバーに接続します。SSL/TLS 接続トンネリングを無効化できます。
A	Web ブラウザーのデータ・トラフィック	起点	Web ブラウザーが BigFix Inventory サーバーに接続します。
B	REST API のデータ・トラフィック	ポート	デフォルトでは、Web ブラウザーはポート 9081 (HTTPS) を使用して BigFix Inventory サーバーに接続します。セキュア接続は無効にすることができます。
B	REST API のデータ・トラフィック	起点	REST API 接続を使用するクライアント。

BigFix ドメイン

BigFix ドメインのデータ・フローを以下の表に示します。4 つの列と 2 つの行があります。各行は、列 3 からは 2 つの行に分割されています。
対話	タイプ	接続	「説明」
C	BigFix コンソールのデータ・トラフィック	ポート	コンソールは、すべての対話に HTTPS 52311 を使用してルート・サーバーに接続します。
		起点	BigFix コンソールが RootServer サービスに接続します。
		ネットワーク制御:	BigFix コンソール・ユーザーごとに「リフレッシュ・レート」が存在します (デフォルトは 15 秒)。
D	収集、ポスト、ダウンロード	ポート	インストール時に BigFix 管理者がポート 52311 を構成することができます。
		起点	BigFix クライアントが BigFix リレーまたはサーバーへの要求を開始します。
		ネットワーク制御:	BigFix リレーまたはクライアントに対する帯域幅調整を構成できます。収集間隔を構成できます。デフォルトは、各 Fixlet サイトで 1 日あたり `1` です。ポスト間の最小待機時間を構成できます。デフォルトは `15` 秒です。アクションごとに一時分散 (ある期間にわたってダウンロードを分散) を構成できます。「ポリシー」を設定して、適切な BigFix リレーを指していないコンピューターがファイルをダウンロードできないようにすることができます。
E	UDP の「新規情報」メッセージ	ポート	インストール時に BigFix 管理者がポート 52311 を構成することができます。
		起点	BigFix クライアントの直接の「親」(BigFix リレーまたはサーバー) から UDP メッセージが送信されます。
		ネットワーク制御:	BigFix リレーから一度に送信される UDP メッセージ数の限度を構成できます。 BigFix リレーから UDP メッセージが送信された後に待機する時間の限度を構成できます。
F	リレーの選択	ポート	ICMP プロトコルはポートを使用しません。
		起点	各 BigFix クライアントが、BigFix リレーが応答するまで、TTL を増やしながら ICMP パケットを連続する「ラウンド」で各リレーに送信します。例えば、1 ホップ離れたリレーと 2 ホップ離れたリレーの 2 つのリレーがあるネットワークで、BigFix クライアントが両方のリレーに TTL 1 で ICMP メッセージを送信し、2 つの「時間超過」メッセージをローカル・ルーターから受信したとします。BigFix クライアントは、次に両方のリレーに TTL 2 で ICMP メッセージを送信し、1 つの「時間超過」メッセージと 1 つの応答メッセージを受信します。この結果、BigFix クライアントは 1 ホップ離れたリレーを選択します。
		ネットワーク制御	リレーの自動選択は無効にすることができます。 BigFix クライアントが自動選択を実行する間隔を構成できます。一定の時間内に送信する ICMP パケット数の上限を構成できます。リレーの自動選択中に送信する「ラウンド」数の上限を構成できます。
G	外部 BigFix Fixlet サーバーからの新しいデータのダウンロード	ポート	通常は 80、場合によっては 21、443
		起点	BigFix サーバーが BigFix Fixlet サーバーに接続します
		ネットワーク制御	BigFix サーバーが新しい Fixlet メッセージの有無をチェックする間隔を構成できます。

以下のデータベース・プロトコルが使用されます。

ODBC
JDBC