Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
Some article numbers may have changed. If this isn't what you're looking for, try searching all articles. Search articles

Qu’est-ce que Netskope Private Access ?

Summary: Netskope Private Access fait partie du cloud de sécurité Netskope et offre un accès sécurisé « zero-trust » aux applications d’entreprise privées dans l’IT hybride. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Cet article vous offre une brève description des fonctionnalités et des caractéristiques de Netskope Private Access.


Produits concernés :

  • Netskope

Versions concernées :

  • Version 70+

Cause

Sans objet

Resolution

Netskope Private Access est un service moderne d’accès distant qui :

  • divise pour permettre l’accès aux applications dans plusieurs réseaux, dans le Cloud public (comme Amazon Web Services/Azure/Google Cloud Platform) et dans le datacenter ;
  • fournit un accès zero-trust au niveau de l’application au lieu d’un accès réseau avec mouvement latéral ;
  • est fourni en tant que service Cloud avec un empreinte mondiale qui évolue.

Netskope Private Access offre ces avantages via une fonctionnalité appelée Service Publishing. Service Publishing rend les applications d’entreprise disponibles sur et via la plate-forme Cloud Netskope plutôt que sur la périphérie réseau de l’entreprise.

La plate-forme Cloud Netskope devient le site Internet par lequel les applications d’entreprise sont accessibles. D’une certaine manière, ce système externalise les composants d’accès de la zone démilitarisée (DMZ). Cette externalisation de l’accès distant présente de nombreux avantages par rapport aux réseaux privés virtuels (VPN) traditionnels et à l’approche de l’accès distant basé sur le proxy. L’architecture globale et le modèle de delivery-as-a-service de Service Publishing sont cohérents avec les tendances IT. Il s’agit notamment de l’infrastructure-as-a-service, de l’IT hybride et de la fourniture décentralisée d’applications d’entreprise à partir du datacenter, du Cloud public et des SaaS (software as-a-service).

Netskope Private Access développe la plate-forme Netskope pour l’accès sécurisé au Logiciel en tant que service et au Web. Il comprend un accès sécurisé aux applications privées qui résident derrière les pare-feu d’une entreprise dans le datacenter et le Cloud public.

Voici quelques questions fréquemment posées concernant Netskope Private Access :

Remarque : certaines questions peuvent vous rediriger vers une page différente en raison de la complexité et de la longueur de la réponse.

La configuration matérielle de Netskope Private Access diffère d’un environnement de déploiement à l’autre. Pour en savoir plus, consultez ces articles : Configuration matérielle pour un éditeur Netskope Private Access.

Composant URL Port Remarques
Client
gateway.npa.goskope.com avant février 2020: gateway.newedge.io
TCP 443 (HTTPS)  
Éditeur
stitcher.npa.goskope.com Avant février 2020: stitcher.newedge.io
TCP 443 (HTTPS)
UDP 53 (DNS)
Le DNS n’a pas besoin d’être sortant si un réseau local de serveur DNS est en interne.
Client et éditeur ns[TENANTID]. [MP-NAME].npa.goskope.com
Avant février 2020: ns-[TENANTID].newedge.io
 
TCP 443 (HTTPS) Cela n’est nécessaire qu’une seule fois au cours de l’enregistrement.
Exemple d’URL: ns-1234.us-sv5.npa.goskope.com
variables [MP-NAME]:
  • us-sv5 (SV5)
  • us-sjc1 (SJC1)
  • de-fr4 (FR4)
  • nl-am2 (AM2)

 

Remarque :
  • [TENANTID] = identification du client propre à votre environnement
  • [MP-NAME] = site du plan de gestion Netskope
  • Pour vous aider à identifier votre [TENANTID] ou [MP-NAME], voir l'article : Comment obtenir une assistance pour Netskope.
  • Les ports par défaut peuvent également être différents des ports de votre environnement.

Pour connecter des utilisateurs avec des applications et des services, un administrateur de Netskope Private Access doit configurer des politiques d’application privées au sein de l’interface utilisateur de Netskope à quelques endroits. Voici les options de configuration et les détails des types d’application et de service connus.

Application Protocole et port Facteurs
Trafic Web TCP : 80, 443 (ports personnalisés : 8080, etc.)
UDP: 80, 443
Google Chrome utilise le protocole QUIC (HTTP/S sur UDP) pour certaines applications Web. La duplication des ports de navigation Web pour TCP et UDP peut améliorer les performances.
SSH  TCP : 22  
Remote Desktop (RDP) TCP : 3389
UDP: 3389
Certaines des applications client Windows Remote Desktop Protocol (RDP) (telles que les versions de Windows 10 récentes) préfèrent utiliser UDP : 3389 pour effectuer une connectivité de Bureau distant.
Windows SQL Server TCP : 1433, 1434
UDP: 1434
Le port par défaut pour Windows SQL Server est 1433, mais il peut être personnalisé dans vos environnements. Pour plus d’informations, consultez Configurer le pare-feu Windows pour autoriser l’accès à SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017).Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
MySQL TCP : 3300-3306, 33060
TCP: 33062 (pour les connexions propres à l’administrateur)
Pour les cas d’utilisation de connexion MySQL généraux, seul le port 3306 est requis, mais certains utilisateurs peuvent profiter de ports de fonctionnalité MySQL supplémentaires.
Netskope recommande d’utiliser une plage de ports pour les applications privées de base de données MySQL. MySQL bloque les connexions de Netskope Private Access, car il détecte le test d’accessibilité comme une attaque potentielle. L’utilisation d’une plage dans la configuration des ports fait que l’éditeur Netskope Private Access effectue une vérification de l’accessibilité uniquement sur le premier port de la plage. Cela empêche MySQL de voir ce trafic et d’éviter le blocage du port. Pour plus d’informations, consultez les tableaux de référence des ports MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html).Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
Remarque : Les ports par défaut peuvent également être différents des ports de votre environnement.

Oui. Netskope Private Access peut acheminer les applications en dehors de cette liste. Netskope Private Access prend en charge à la fois les protocoles TCP et UDP et tous les ports associés, avec une exception notable : Netskope ne réalise pas de protocole de tunnel du trafic DNS, mais nous prenons en charge les recherches par tunnel des services DNS (SRV) sur le port 53. Ce processus est nécessaire pour la découverte des services, qui est utilisée dans divers scénarios Windows Active Directory impliquant LDAP, Kerberos, etc.

Remarque : Parfois, les applications telles que VoIP peuvent être problématiques. Cela n’est pas dû aux recherches par tunnel, mais plutôt à la configuration. Par exemple, les applications qui effectuent une allocation dynamique de port lors de l’établissement d’une connexion peuvent être problématiques. En effet, un administrateur ne peut pas connaître à l’avance les ports qui seront configurés avant la fin de service de l’application. Pour cette raison, il n’existe aucun moyen de savoir quels ports spécifier.

L’intervalle d’interrogation dure environ une minute.

L’éditeur Netskope Private Access tente de se connecter à un port configuré sur une application privée pour vérifier si celle-ci est accessible.

Facteurs importants à prendre en compte :

  • L’éditeur fonctionne mieux lorsque vous définissez des applications privées par nom d’hôte (par exemple, jira.globex.io) et port (par exemple, 8080).
  • Lorsqu’une application est spécifiée avec plusieurs ports ou une plage de ports, l’éditeur utilise uniquement le premier port de la liste ou de la plage pour vérifier la disponibilité.
  • L’éditeur ne peut pas vérifier l’accessibilité pour les applications privées qui sont définies à l’aide d’un caractère générique (*.globex.io) ou d’un bloc CIDR (10.0.1.0/24). Il ne vérifie pas non plus l’accessibilité des applications avec des plages de ports définies (3305-3306).

En cas d’échec de l’enregistrement (par exemple, parce qu’il manque un chiffre dans le code d’enregistrement saisi), utilisez le protocole SSH dans l’éditeur et fournissez un nouveau jeton d’enregistrement.

Si l’enregistrement a réussi, mais que vous avez décidé d’enregistrer l’éditeur avec un autre jeton, cela n’est pas pris en charge et n’est pas recommandé. Dans ce scénario, réinstallez l’éditeur.

Non. Netskope Private Access n’effectue pas de protocole de tunnel ICMP, mais uniquement TCP et UDP. Vous ne pouvez pas exécuter ping ou traceroute sur Netskope Private Access pour tester les connexions réseau.

Non. Netskope Private Access ne prend pas en charge les protocoles qui établissement des connexions d’une application privée vers un client. Par exemple, le mode actif FTP n’est pas pris en charge.

Non. L’éditeur effectue l’épinglage SSL pour le processus d’enregistrement et l’authentification du certificat côté serveur par rapport à un certificat spécifique.

Dans ce cas, s’il existe un proxy qui met fin à la connexion TLS, la destination doit être sur liste blanche/contournée (*.newedge.io).

L’hôte de l’application privée voit la connexion comme provenant de l’adresse IP de l’éditeur qui s’y connecte. Il n’existe aucune plage. En fonction du nombre d’éditeurs utilisés pour se connecter à l’hôte de l’application privée, placez sur liste blanche chacune de ces adresses IP.

S'il est déployé dans Amazon Web Services, attribuez l'AMI (Amazon Machine Image) à un fichier KeyPair.pem que vous possédez déjà (ou générez un nouveau KeyPair.pem) au cours du provisionnement de l'éditeur.

Depuis un client SSH, saisissez ssh -i [KEYPAIR.PEM] centos@[PUBLISHER], puis appuyez sur Entrée.

Remarque :
  • [KEYPAIR.PEM] = chemin d'accès à votre fichier KeyPair.pem
  • [PUBLISHER] = adresse IP externe de l'éditeur
  • Le nom d’utilisateur par défaut de l’éditeur est :
    • centos
  • Le nom d’utilisateur par défaut pour les API Amazon Web Service est le suivant :
    • ec2-user

Après avoir réussi à utiliser SSH pour vous connecter à l’éditeur, vous êtes redirigé vers un menu d’interface de ligne de commande (CLI) interactif. Vous pouvez choisir l’option 3 pour être redirigé vers une CLI UNIX normale pour un dépannage supplémentaire. Pour plus d’informations, consultez la section Quelles sont les bonnes méthodes de dépannage des problèmes d’accessibilité à une application/un service privé derrière un éditeur ? (en anglais).

Menu SSH Netskope

  1. Cliquez avec le bouton droit de la souris sur le menu Démarrer de Windows, puis cliquez sur Exécuter.

Exécuter

  1. Dans l’interface d’exécution, saisissez cmd, puis appuyez sur OK.

Interface d’exécution

  1. Dans l'invite de commandes, saisissez ssh centos@[publisher], puis appuyez sur Entrée.
Remarque :
  • [publisher] = l’adresse IP externe de l’éditeur
  • Les informations d’identification par défaut pour l’éditeur sont les suivantes :
    • Nom d’utilisateur : centos
    • Mot de passe : centos
  • Le mot de passe doit être modifié après la première connexion.

Les éditeurs fonctionnent en mode actif/passif. Tout le trafic est transmis à un premier éditeur s’il est opérationnel (connecté). S’il tombe en panne, nous basculons vers un éditeur secondaire.

La première option consiste à utiliser l’utilitaire de dépannage. Cliquez sur Utilitaire de dépannage à partir de la page des applications privées.

Utilitaire de dépannage

Sélectionnez l'application privée et l'appareil auxquels vous tentez d'accéder, puis cliquez sur Dépanner.

Résolution des problèmes

L’utilitaire de dépannage des problèmes restitue la liste des contrôles effectués, les problèmes susceptibles d’affecter votre configuration, ainsi que les solutions.

Menu Utilitaire de dépannage


Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Additional Information

 

Videos

 

Affected Products

Netskope
Article Properties
Article Number: 000126828
Article Type: Solution
Last Modified: 31 Jan 2023
Version:  14
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.