Che cos'è Netskope Private Access?

I requisiti di sistema per Netskope Private Access differiscono tra gli ambienti di implementazione. Per ulteriori informazioni, fare riferimento a: Requisiti di sistema per un Publisher di Netskope Private Access.

Per connettere utenti con applicazioni e servizi, un amministratore di Netskope Private Access deve configurare criteri app privati all'interno dell'interfaccia utente di Netskope in alcuni punti. Di seguito sono riportate le opzioni di configurazione e i dettagli per i tipi di applicazione e servizi noti.

Applicazione	Protocollo e porta	Fattori
Web Traffic	TCP: 80, 443 (porte personalizzate: 8080, ecc.) UDP: 80, 443	Google Chrome utilizza il protocollo QUIC (HTTP/S over UDP) per alcune applicazioni web. La duplicazione delle porte di navigazione web per TCP e UDP può fornire un miglioramento delle prestazioni.
SSH	TCP: 22
Desktop remoto (RDP)	TCP: 3389 UDP: 3389	Alcune applicazioni client Windows Remote Desktop Protocol (RDP) (come le versioni più recenti di Windows 10) preferiscono utilizzare UDP:3389 per eseguire la connettività a Desktop remoto.
Windows SQL Server	TCP: 1433, 1434 UDP: 1434	La porta predefinita per Windows SQL Server è 1433, ma può essere personalizzata negli ambienti. Per ulteriori informazioni, consultare Configurare Windows Firewall per consentire l'accesso a SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017).
MySQL	TCP: 3300-3306, 33060 TCP: 33062 (per le connessioni specifiche dell'amministratore)	Per i casi d'uso generici di connessione a MySQL, è richiesta solo la porta 3306, ma alcuni utenti possono sfruttare le porte aggiuntive di MySQL. Netskope consiglia di utilizzare un intervallo di porte per le applicazioni private del database MySQL. MySQL blocca le connessioni dal Publisher di Netskope Private Access perché rileva il test di raggiungibilità come potenziale attacco. Un intervallo nella configurazione delle porte attiva un test di raggiungibilità nel Publisher di Netskope Private Access solo sulla prima porta nell'intervallo. Ciò impedisce a MySQL di visualizzare questo traffico e di evitare il blocco delle porte. Per ulteriori informazioni, fare riferimento a Tabelle di riferimento della porta MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html).

Sì. Netskope Private Access può effettuare il tunneling di applicazioni al di fuori di quelle nell'elenco. Netskope Private Access supporta entrambi i protocolli TCP e UDP e tutte le porte associate, con un'importante eccezione: Netskope non effettua il tunneling di gran parte del traffico DNS, ma supporta il tunneling delle ricerche dei servizi (SRV) DNS sulla porta 53. Questa operazione è necessaria per l'individuazione dei servizi, utilizzata in vari scenari Active Directory di Windows che riguardano LDAP, Kerberos e altro ancora.

L'intervallo di polling è di circa un minuto.

Il Publisher di Netskope Private Access tenta di connettersi a una porta configurata su un'app privata per verificare se è raggiungibile.

Fattori importanti da prendere in considerazione:

• Il Publisher funziona in modo ottimale quando si definiscono app private in base al nome host (ad esempio, jira.globex.io) e alla porta (ad esempio, 8080).
• Quando un'app viene specificata con più porte o con un intervallo di porte, il Publisher utilizza solo la prima porta dell'elenco o dell'intervallo per verificare la disponibilità.
• Il Publisher non è in grado di verificare la raggiungibilità delle applicazioni private definite con un carattere jolly (*.globex.io) o un blocco CIDR (10.0.1.0/24). Inoltre, non verifica la raggiungibilità delle applicazioni con intervalli di porte definiti (3305-3306).

Se la registrazione non è riuscita (ad esempio, perché non è stata inserita una cifra durante l'immissione del codice di registrazione), è possibile connettersi tramite SSH al Publisher e fornire un nuovo token di registrazione.

Se la registrazione è riuscita, ma si decide di registrare il Publisher con un altro token, questa operazione non è supportata e non è consigliata. In casi del genere, reinstallare il Publisher.

No. Netskope Private Access non effettua il tunneling di ICMP, ma solo di TCP e UDP. Non è possibile eseguire il ping o il traceroute su Netskope Private Access per testare le connessioni di rete.

No. L'accesso privato Netskope non supporta protocolli che stabiliscono connessioni da un'applicazione privata a un client. Ad esempio, la modalità FTP Active non è supportata.

No. Il Publisher esegue l'aggiunta SSL per il processo di registrazione e l'autenticazione sul lato server rispetto a uno specifico certificato.

In questo caso, se esiste un proxy che termina la connessione TLS, la destinazione deve essere consentita/ignorata (*.newedge.io).

L'host delle app private visualizza la connessione come originata dall'indirizzo IP del Publisher che effettua la connessione. Non esiste un intervallo. A seconda del numero di Publisher utilizzati per connettersi all'host di app private, sarà necessario autorizzare tutti gli indirizzi IP.

In caso di implementazione in Amazon Web Services, all'immagine AMI (Amazon Machine Image) viene assegnato un file KeyPair.pem già disponibile (o un nuovo file KeyPair.pem da generare) durante il provisioning del Publisher.

Da un client SSH, digitare ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] e premere Invio.

Dopo aver utilizzato correttamente SSH per connettersi al Publisher, viene visualizzato un menu dell'interfaccia della riga di comando (CLI). È possibile scegliere l'opzione 3 per accedere a una CLI UNIX normale per la risoluzione avanzata dei problemi. Per ulteriori informazioni, fare riferimento a Qual è un metodo valido per la risoluzione dei problemi di accessibilità per un'app privata o un servizio dietro un Publisher?.

1. Cliccare con il pulsante destro del mouse sul menu Start di Windows e scegliere Esegui.

2. Nell'interfaccia utente Esegui digitare cmd, quindi premere OK.

3. Nel prompt dei comandi, digitare ssh centos@[publisher] e premere Invio.

I Publisher operano in modalità attivo/passivo. Tutto il traffico passa a un primo Publisher se è operativo (connesso). Se è inattivo, passa a un Publisher secondario.

La prima opzione consiste nell'utilizzare la risoluzione dei problemi. Cliccare su Troubleshooter dalla pagina Private Apps.

Scegliere l'applicazione privata e il dispositivo a cui si sta tentando di accedere, quindi cliccare su Troubleshoot.

Troubleshooter visualizza l'elenco dei controlli eseguiti, i problemi che possono influire sulla configurazione e le soluzioni.