ディスカバリー コード署名インスタンスで
ディスカバリー は、コード署名が有効になっているインスタンスでサポートされています。コード署名は、実行前に ディスカバリー コンポーネントの整合性を検証することで、 MID サーバー マシンやターゲットマシンで不正なスクリプトが実行されるのを防ぎます。
仕組み
コード署名が有効になっている場合、 ディスカバリー は実行前にスクリプトまたはコマンドを含むコンポーネントの署名を検証します。検証は、インスタンスレベルと MID サーバー レベルの両方で行われます。
インスタンスは、プローブおよびプローブパラメーターの署名を検証します。プローブが改ざんされた場合、インスタンスはそれを拒否し、処理のためにプローブを MID サーバー に送信しません。プローブパラメーターが信頼できない場合、プローブに追加されません。プローブは引き続き起動しますが、信頼できないパラメーターは起動しません。
MID サーバーは、パターン、MID スクリプトインクルード、および MID スクリプトファイルの署名を検証します。パターンの署名が無効な場合、 MID サーバー はそれをダウンロードしません。パターンが以前にダウンロードされている場合は削除されます。 ディスカバリー 再署名するまで、そのパターンをどのマシンでも実行できません。
署名は、 ディスカバリー アプリケーションとプラグインに自動的に含まれます。プラットフォームとストアアプリが要件を満たしている場合、 ディスカバリー のコード署名は手動で署名しなくても機能します。コード署名のしくみの詳細については、「 」を参照してください。
利点
- セキュリティ保護:署名されていないペイロードや改ざんされたペイロードが MID サーバーとターゲットマシンで実行されないようにブロックし、インスタンスが侵害された場合でも、悪意のある攻撃者が危険なコマンドを実行するのを防ぐのに役立ちます。
- 信頼性の検証:プローブ、パラメーター、およびセンサーが信頼できるソースから発信され、署名後に変更されていないことを確認します。
- コンプライアンスサポート:ディスカバリーのパフォーマンスに影響を与えずに不正なスクリプトの実行を防止することで、監査機能を強化します。
- 整合性保証:署名後に ディスカバリー コンポーネントの機密フィールドが変更されていないことを検証します。
要件
- オーストラリア バージョンのServiceNow AI Platformを使用している必要があります。
- 次の ServiceNow Store アプリケーションとバージョンがインストールされている必要があります。
- ディスカバリーアドミンワークスペース v1.13.0
- ヴィジビリティコンテンツ v6.13.10
- ディスカバリーとサービスマッピングパターン v1.30.2
- 信頼の輪 (Circle of Trust)を確立した状態でコード署名を有効にする必要があります。詳細については、「」を参照してください。
サポートされているディスカバリータイプ
- IP ベース ディスカバリー
- クラウドディスカバリー注:クラウドディスカバリー 追加の構成が必要です。詳細については、「コード署名されたインスタンスの クラウドディスカバリー の構成」を参照してください。
署名検証スコープ
コード署名は、ターゲットマシンまたはMID サーバーで実行されるスクリプトまたはコマンドを含むディスカバリーテーブルの署名を検証します。これには、プローブ、プローブパラメーター、センサー、パターンなどが含まれます。
制限事項
パターンデバッガーは、コード署名されたインスタンスでは使用できません。