クライアント認証

クライアント認証 (バージョン 9 で導入) は、BigFix で使用されるセキュリティー・モデルを拡張して、信頼できるクライアント・レポートおよびプライベート・メッセージを実現します。

この機能には後方互換性がなく、バージョン 9.0 より前のクライアントは、認証を行うリレーまたはサーバーとは通信できません。

オリジナルのセキュリティー・モデルには、以下の 2 つの中心となる機能があります。

• クライアントはサーバーからのコンテンツを信頼する。クライアントが受信するすべてのコマンドと質問は、 クライアント上にインストールされた公開鍵に対して検証されるキーによって署名されます。
• クライアントはプライベート・レポートをサーバーに送信できます。クライアントはサーバーに送信するレポートの暗号化を選択でき、 レポートに含まれた内容を攻撃者が解釈できないようにすることができます。この機能はデフォルトでは無効になっており、 設定を使用してオンに切り替えます。

クライアント認証では、セキュリティー・モデルを拡張して、以上の 2 つの機能の次のようなミラー・イメージを提供します。

• サーバーはクライアントからのレポートを信頼できます (否認防止)。クライアントはサーバーに送信するレポートをすべて署名します。これにより、レポートが攻撃者からのものでないことを検証できます。
• サーバーはクライアントにプライベート・データを送信できる (メールボックス)。サーバーは、攻撃者がデータを解釈できないようにするために、個々のクライアントに送信するデータを暗号化することができます。

認証済みリレーを使用する通信は、SSL を使用してすべての通信を暗号化する、信頼できるプライベートな両方向の通信チャネルです。ただし、非認証リレーとその子の間の通信は、その通信が暗号化されたレポートまたはメールボックス宛のアクションやファイルでない限り、暗号化されません。

このレベルのセキュリティーは、さまざまな目的に役立ちます。企業において、インターネットに接続するノード、DMZ 内、または完全には信頼できないすべてのネットワーク接続に対して認証リレーを要求するセキュリティー・ポリシーを採用している場合があります。認証を行うことにより、まだご使用のデプロイメントに参加していないクライアントがデプロイメント情報を取得するのを防ぐことができます。