Přeskočit na hlavní obsah
  • Vkládejte objednávky snadno a rychle
  • Zobrazit objednávky a sledovat stav expedice
  • Vytvořte a přistupujte k seznamu svých produktů

Co je to Netskope Private Access?

Shrnutí: Služba Netskope Private Access je součástí bezpečnostního cloudu Netskope, která umožňuje bezpečný přístup bez důvěry k soukromým podnikovým aplikacím v hybridním IT. ...

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.

Příznaky

Tato příručka obsahuje stručný popis funkcí a prvků služby Netskope Private Access.


Dotčené produkty:

  • Netskope

Dotčené verze:

  • Release 70+

Příčina

Není k dispozici

Řešení

Netskope Private Access je moderní služba pro vzdálený přístup, která:

  • Zajišťuje přístup k aplikacím ve více sítích, a to jak ve veřejném cloudu (například Amazon Web Services, Azure, Google Cloud Platform), tak v datovém centru.
  • Poskytuje přístup na úrovni aplikace nulové důvěry místo přístupu k síti s taktikou lateral movement.
  • Dodává se jako cloudová služba s celosvětovým dosahem, která se rychle rozšiřuje.

Služba Netskope Private Access tyto výhody poskytuje prostřednictvím funkce nazvané Service Publishing. Díky funkci Service Publishing jsou podnikové aplikace dostupné na cloudové platformě Netskope a nikoli na okraji podnikové sítě.

Cloudová platforma Netskope se stává místem na internetu, přes které je možné získat přístup k podnikovým aplikacím. V jistém smyslu externalizuje přístupové složky demilitarizované zóny (DMZ). Externalizace vzdáleného přístupu tímto způsobem má několik výhod oproti tradičním sítím VPN (Virtual Private Networks) a přístupům vzdáleného přístupu založeným na serveru proxy. Celková architektura a model poskytování funkce Service Publishing je v souladu s trendy IT. Patří mezi ně infrastruktury jako služby (IaaS), hybridní IT a decentralizované dodávání podnikových aplikací z datového centra, veřejného cloudu a softwaru jako služby (SaaS).

Služba Netskope Private Access rozšiřuje platformu Netskope pro zabezpečený přístup k službám SaaS a webu. To zahrnuje zabezpečený přístup k soukromým aplikacím, které se nacházejí za branami firewall podniku v datovém centru a veřejném cloudu.

Následují časté dotazy ohledně služby Netskope Private Access:

Poznámka: Některé otázky vás mohou přesměrovat na jinou stránku vzhledem ke složitosti či délce odpovědi.

Požadavky systému služby Netskope Private Access se v jednotlivých prostředích nasazení liší. Další informace najdete v článku: Systémové požadavky na vydavatele Netskope Private Access

Komponenta Adresa URL Port Poznámky
Klient
gateway.npa.goskope.com do února 2020: gateway.newedge.io
TCP 443 (HTTPS)  
Publikující
stitcher.npa.goskope.com do února 2020: stitcher.newedge.io
TCP 443 (HTTPS)
UDP 53 (DNS)
Pokud je k dispozici interní server DNS místní sítě, není nutné povolit odchozí server DNS.
Klient a vydavatel ns[TENANTID]. [MP-NAME].npa.goskope.com
před únorem 2020: ns-[TENANTID].newedge.io
 
TCP 443 (HTTPS) To je potřeba pouze jednou během registrace.
Příklad adresy URL: proměnné ns-1234.us-sv5.npa.goskope.com
[MP-NAME]:
  • us-sv5 (SV5)
  • us-sjc1 (SJC1)
  • de-fr4 (FR4)
  • nl-am2 (AM2)

 

Poznámka:
  • [TENANTID] = Identifikace nájemce jedinečná pro vaše prostředí.
  • [MP-NAME] = Umístění roviny správy Netskope.
  • Pomoc s identifikací [TENANTID] nebo [MP-NAME] najdete v článku: Jak získat podporu pro řešení Netskope
  • Výchozí porty se mohou lišit od portů ve vašem prostředí.

Chcete-li připojit uživatele k aplikacím a službám, je nutné, aby správce služby Netskope Private Access na několika místech v rozhraní Netskope nakonfiguroval zásady soukromých aplikací. Zde uvádíme možnosti konfigurace a podrobnosti o známých typech aplikací a služeb.

Aplikace Protokol a port Faktory
Webový provoz TCP: 80, 443 (vlastní porty: 8080, tak dále)
UDP: 80, 443
Google Chrome používá pro některé webové aplikace protokol QUIC (HTTP/S přes port UDP). Duplikování portů pro procházení webu v případě protokolu TCP i UDP může zlepšit výkon.
SSH  TCP: 22  
Remote Desktop (RDP) TCP: 3389
UDP: 3389
Některé klientské aplikace RDP (Remote Desktop Protocol) systému Windows (například novější verze systému Windows 10) upřednostňují protokol UDP:3389 pro připojení ke vzdálené ploše.
Windows SQL Server TCP: 1433, 1434
UDP: 1434
Výchozí port pro systém Windows SQL Server je 1433, ale ve vašem prostředí jej lze přizpůsobit. Další informace naleznete v části Konfigurace brány firewall systému Windows tak, aby umožňovala přístup k systému SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017).Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.)
MySQL TCP: 3300-3306, 33060
TCP: 33062 (připojení specifická pro správce)
Pro obecné případy použití připojení MySQL je vyžadován pouze port 3306, ale někteří uživatelé mohou využívat jiné porty s funkcí MySQL.
Společnost Netskope doporučuje používat rozsah portů pro soukromé aplikace databáze MySQL. Software MySQL blokuje připojení vydavatele Netskope Private Access, protože považuje test dostupnosti za potenciální útok. Použití rozsahu v konfiguraci portu způsobí, že vydavatel Netskope Private Access provede kontrolu dostupnosti pouze na prvním portu v rozsahu. Tak se zabrání tomu, aby software MySQL odhalil tento provoz a zablokoval port. Další informace naleznete v referenčních tabulkách portů MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html).Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.)
Poznámka: Výchozí porty se mohou lišit od portů ve vašem prostředí.

Ano. Služba Netskope Private Access může tunelově propojit aplikace mimo tento seznam. Služba Netskope Private Access podporuje protokoly TCP a UDP a všechny přidružené porty s jedinou výjimkou: Platforma Netskope sice nedokáže tunelově propojit většinu provozu DNS, ale podporujeme vyhledávání tunelových propojení služby DNS (SRV) přes port 53. To je nutné pro zjišťování služeb, které se používá v různých scénářích služby Windows Active Directory zahrnujících LDAP, Kerberos a další.

Poznámka: Aplikace, jako je VoIP, mohou být někdy problematické. Nezpůsobuje to tunelování, ale spíše konfigurace. Problematické mohou být například aplikace, které při navazování připojení provádějí dynamické přidělování portů. Je to proto, že správce nemůže předem vědět, které porty budou nastaveny službou aplikace. Proto neexistuje žádný způsob, jak určit, které porty je třeba specifikovat.

Interval dotazování je přibližně jedna minuta.

Vydavatel Netskope Private Access se pokusí připojit k nakonfigurovanému portu v soukromé aplikaci a zkontrolovat, zda je soukromá aplikace dosažitelná.

Důležité faktory, které je třeba zvážit:

  • Vydavatel funguje nejlépe, když definujete soukromé aplikace podle názvu hostitele (např. jira.globex.io) a portu (např. 8080).
  • Pokud je aplikace určena pomocí více portů nebo rozsahem portů, vydavatel použije ke kontrole dostupnosti první port ze seznamu nebo rozsahu.
  • Vydavatel nemůže zkontrolovat dostupnost soukromých aplikací, které jsou definovány pomocí zástupného znaku (*.globex.io) nebo blokem CIDR (10.0.1.0/24). Nezkontroluje ani dostupnost aplikací s definovanými rozsahy portů (3305-3306).

Pokud se registrace nezdaří (např. kvůli chybějící číslici při zadávání registračního kódu), přihlaste se pomocí SSH k vydavateli a poskytněte nový registrační token.

Pokud registrace proběhla úspěšně, ale rozhodli jste se zaregistrovat vydavatele pomocí jiného tokenu, tato akce není podporována a ani ji nedoporučujeme. V tomto scénáři znovu přeinstalujte vydavatele.

Ne. Služba Netskope Private Access nedokáže tunelově propojit protokol ICMP, pouze protokol TCP a UDP. Přes službu Netskope Private Access nelze spustit příkaz ping nebo traceroute a otestovat síťová připojení.

Ne. Služba Netskope Private Access nepodporuje protokoly, které navazují spojení mezi soukromou aplikací a klientem. Podporován není například režim FTP Active.

Ne. Vydavatel provede připnutí SSL pro účely registrace a ověření certifikátu na straně serveru vůči konkrétnímu certifikátu.

Pokud je v tomto případě k dispozici server proxy, který ukončí připojení TLS, je nutné cíl přidat na seznam povolených nebo jej obejít (*.newedge.io).

Hostitel soukromé aplikace uvidí, že připojení pochází z adresy IP vydavatele, který se k němu připojuje. K dispozici není žádný rozsah. V závislosti na počtu vydavatelů použitých k připojení k hostiteli soukromé aplikace přidejte každou z těchto IP adres na seznam povolených položek.

V případě nasazení do služeb Amazon Web Services přiřadíte zařízení AMI (Amazon Machine Image) soubor KeyPair.pem, který již máte (nebo vytvoříte nový soubor KeyPair.pem), během poskytování vydavatele.

V klientovi SSH zadejte příkaz ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] a stiskněte Enter.

Poznámka:
  • [KEYPAIR.PEM] = Cesta k souboru KeyPair.pem.
  • [PUBLISHER] = Externí IP adresa vydavatele.
  • Výchozí uživatelské jméno vydavatele je:
    • centos
  • Výchozí uživatelské jméno pro zařízení AMI služeb Amazon Web Services je:
    • ec2-user

Po úspěšném připojení k vydavateli prostřednictvím SSH budete přesměrováni do interaktivní nabídky rozhraní příkazového řádku (CLI). Pro další odstraňování problémů můžete zvolit možnost 3, která vás přesměruje do normálního rozhraní příkazového řádku UNIX. Další informace naleznete v části Jaký je vhodný způsob odstraňování problémů s přístupem k soukromé aplikaci nebo službě za vydavatelem?.

Nabídka Netskope SSH

  1. Pravým tlačítkem klikněte na nabídku Start systému Windows a poté na možnost Spustit.

Spustit

  1. V uživatelském rozhraní Spustit zadejte výraz cmd a poté stiskněte tlačítko OK.

Uživatelské rozhraní Spustit

  1. Do příkazového řádku zadejte příkaz ssh centos@[publisher] a stiskněte Enter.
Poznámka:
  • [publisher] = Externí IP adresa vydavatele.
  • Výchozí přihlašovací údaje pro vydavatele jsou:
    • Uživatelské jméno: centos
    • Heslo: centos
  • Heslo je po prvním přihlášení nutné změnit.

Vydavatelé pracují v režimu aktivní-pasivní. Veškerý provoz směřuje k prvnímu vydavateli, pokud je v provozu (připojen). Pokud vydavatel není k dispozici, přepneme proces na druhého vydavatele.

První nejlepší možností je použít funkci Troubleshooter. Klikněte na položku Troubleshooter na stránce Private Apps.

Troubleshooter

Vyberte soukromou aplikaci a zařízení, ke kterému se pokoušíte přistoupit, a klikněte na možnost Troubleshoot.

Odstranit potíže

Funkce Troubleshooter vygeneruje seznam provedených kontrol, problémů, které mohou ovlivnit konfiguraci, a řešení.

Nabídka Troubleshooter


Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Další informace

 

Videa

 

Dotčené produkty

Netskope
Vlastnosti článku
Číslo článku: 000126828
Typ článku: Solution
Poslední úprava: 31 Jan 2023
Verze:  14
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.