エージェントは通信を開始することができますServer & Workload Protectionまたは、から連絡を受ける可能性があります。Server & Workload Protectionコンピューター オブジェクトが双方向モードで動作するように設定されている場合。Server & Workload Protectionエージェントへのすべての接続を同様の方法で処理します。エージェントがアクティブ化されていない場合は、限られた一連の対話が可能です。エージェントが(管理者によって、またはエージェントによって開始されたアクティブ化機能によって)
アクティブ化されている場合、対話の完全なセットが有効になります。Server & Workload Protection TCP 接続の形成時にクライアントであったかどうかに関係なく、あらゆる場合に HTTP クライアントとして機能します。エージェントはデータを要求したり、自ら操作を開始したりすることはできません。Server & Workload Protectionイベントやステータスなどの情報を要求したり、操作を呼び出したり、構成をエージェントにプッシュしたりします。このセキュリティ ドメインは、エージェントがアクセスできないように高度に制御されています。Server & Workload Protectionまたはそれが実行されているコンピューター。
エージェントと Server & Workload Protection はどちらも、2つの異なるセキュリティコンテキストを使用してHTTPリクエスト用のセキュアチャネルを確立します。
手順
- 有効化の前に、Agentはまずブートストラップ証明書を受け入れてSSLまたはTLSチャネルを確立します。
- 認証後、接続を開始するには相互認証が必要です。相互認証の場合、 Server & Workload Protection 証明書がAgentに送信され、 エージェントの証明書が Server & Workload Protectionに送信されます。エージェントは、特権アクセスが許可される前に、証明書が同じ認証局 ( Server & Workload Protection) から発行されたものであることを検証します。
次に進む前に
セキュアチャネルが確立されると、エージェントはHTTP通信のサーバとして機能します。 Server & Workload Protection へのアクセスは制限されており、要求にのみ応答できます。セキュリティで保護されたチャネルは、認証、暗号化による機密性、および整合性を提供します。相互認証を使用することで、SSL通信チャネルが不正なサードパーティを介してプロキシされるMiTM
(man-in-the-middle) 攻撃から保護できます。ストリーム内では、内部コンテンツにGZIPが使用され、設定はPKCS #7を使用してさらに暗号化されます。