Netskope Private Accessとは何ですか?
Resumen: Netskope Private Accessは、Netskopeセキュリティ クラウドの一部であり、ハイブリッドITにプライベート エンタープライズ アプリケーションを提供しゼロトラストの安全なアクセスを可能にします。
Síntomas
このガイドでは、Netskope Private Accessの機能と特徴について簡単に説明します。
対象製品:
- Netskope
影響を受けるバージョン:
- リリース70以降
Causa
該当なし
Resolución
Netskope Private Accessは、次のような最新のリモート アクセス サービスです。
- パブリック クラウド(Amazon Web Services、Azure、Google Cloudプラットフォーム)とデータ センターの両方で、複数のネットワークにあるアプリケーションへのアクセスを可能にするために展開されます。
- ラテラル ムーブメントを伴うネットワーク アクセスの代わりに、ゼロトラストのアプリケーション レベル アクセスを提供します。
- 拡大する世界規模のフットプリントを使用するクラウド サービスとして提供されます。
Netskope Private Accessは、「サービス公開」と呼ばれる機能を使用して、これらのメリットを提供します。サービス公開によって、企業のネットワーク エッジではなくNetskopeクラウド プラットフォームを介して、エンタープライズ アプリケーションを使用できるようになります。
Netskopeクラウド プラットフォームは、エンタープライズ アプリケーションにアクセスするためのインターネット上の場所になります。ある意味では、これは非武装地帯(DMZ)のアクセス コンポーネントを外部化します。この方法を使用したリモート アクセスの外部化には、従来の仮想プライベート ネットワーク(VPN)およびプロキシ ベースのリモート アクセス アプローチに比べていくつかの利点があります。Service Publishingの全体的なアーキテクチャとサービスとしてのデリバリー モデルは、ITトレンドと一致しています。これには、サービスとしてのインフラストラクチャ、ハイブリッドIT、データ センターからのエンタープライズ アプリケーションの分散デリバリー、パブリック クラウド、ソフトウェア アズ ア サービス(SaaS)があります。
Netskope Private Accessは、SaaSやWebに安全にアクセスできるようにNetskopeのプラットフォームを拡張します。これには、データ センターとパブリック クラウドでエンタープライズ ファイアウォールの背後にあるプライベート アプリケーションへの安全なアクセスが含まれます。
Netskope Private Accessに関する一般的な質問を次に示します。
Netskope Private Accessのシステム要件は、導入環境によって異なります。詳細については、以下を参照してください。「Netskope Private Accessパブリッシャーのシステム要件」を参照してください。
| コンポーネント | URL | ポート | 注 |
|---|---|---|---|
| クライアント | gateway.npa.goskope.com 2020年2月以前: gateway.newedge.io |
TCP 443(HTTPS) | |
| 発行者 | stitcher.npa.goskope.com 2020年2月以前: stitcher.newedge.io |
TCP 443(HTTPS) UDP 53(DNS) |
ローカル ネットワークDNSサーバーが内部にある場合、DNSをアウトバウンドで許可する必要はありません。 |
| クライアントとパブリッシャー | ns[TENANTID]。[MP-NAME].npa.goskope.com 2020年2月以前: ns-[TENANTID].newedge.io |
TCP 443(HTTPS) | これは、登録時にのみ必要です。 URLの例:ns-1234.us-sv5.npa.goskope.com [MP-NAME]変数:
|
- [TENANTID] = お使いの環境に固有のテナントID
- [MP-NAME] = Netskope管理プレーンの場所
- お使いの[TENANTID]または[MP-NAME]の識別については、次を参照してください:「Netskopeのサポートを受ける方法」を参照してください。
- デフォルトのポートは、お使いの環境では異なる場合があります。
ユーザーをアプリケーションおよびサービスに接続するには、Netskope Private Access管理者がいくつかの場所でNetskope UIでプライベート アプリ ポリシーを設定する必要があります。ここでは、既知のアプリケーションおよびサービスのタイプの構成オプションと詳細について説明します。
| アプリケーション | プロトコルとポート | 要因 |
|---|---|---|
| Webトラフィック | TCP:80、443(カスタム ポート:8080など) UDP: 80、443 |
Google Chromeは、一部のWebアプリケーションに対して、QUICプロトコル(HTTP/S over UDP)を使用します。TCPとUDPの両方にWeb参照ポートを複製することで、パフォーマンスを向上させることができます。 |
| SSH | TCP:22 | |
| リモート デスクトップ(RDP) | TCP:3389 UDP: 3389 |
一部のWindowsリモート デスクトップ プロトコル(RDP)クライアント アプリ(Windows 10用の新しいバージョンなど)では、リモート デスクトップ接続を実行するためにUDP:3389の使用を推奨するようになりました。 |
| Windows SQL Server | TCP:1433、1434 UDP: 1434 |
Windows SQL Serverのデフォルト ポートは1433ですが、環境でカスタマイズすることができます。詳細については、「 SQL Serverアクセスを許可するためのWindowsファイアウォールの構成(https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017)」 を参照してください。 |
| MySQL | TCP:3300-3306、33060 TCP: 33062(管理者専用の接続用) |
一般的なMySQL接続の使用例では、ポート3306のみが必要ですが、ユーザーによっては追加のMySQL機能ポートを利用できる場合があります。 NetskopeではMySQLデータベースのプライベート アプリにポート範囲を使用することを推奨します。MySQLは、潜在的な攻撃としての到達可能性テストを検出するため、Netskope Private Accessパブリッシャーからの接続をブロックします。ポート構成内の範囲を使用すると、Netskope Private Accessパブリッシャーは、範囲内の最初のポートでのみ到達可能性チェックを実行します。これにより、MySQLがこのトラフィックを検出しないようにし、ポートのブロックを回避できます。詳細については、「 MySQLポート リファレンス テーブル(https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html) 」を参照してください。 |
はい。Netskope Private Accessは、そのリスト外のアプリケーションをトンネルすることができます。Netskope Private Accessでは、TCPとUDPの両方のプロトコルと、関連するすべてのポートがサポートされていますが、例外として、Netskopeは、ほとんどのDNSトラフィックをトンネリングしないことに注意してください。ただし、デル・テクノロジーズはポート53経由のDNSサービス(SRV)検索のトンネリングをサポートしています。これは、サービスの検出に必要で、LDAP、Kerberosなどを含むさまざまなWindows Active Directoryのシナリオで使用されます。
ポーリング間隔は約1分です。
Netskope Private Accessパブリッシャーは、プライベート アプリが到達可能かどうかを確認するために、プライベート アプリで設定されたポートへの接続を試みます。
考慮すべき重要な要素は次のとおりです。
- パブリッシャーは、ホスト名(例:jira.globex.io)とポート(例:8080)を使用してプライベート アプリを定義する場合に最もよく機能します。
- アプリに複数のポートまたはポート範囲を指定した場合、パブリッシャーは、リストまたは範囲の最初のポートを使用して、可用性を確認します。
- パブリッシャーは、ワイルドカード(* globex.io)またはCIDRブロック(10.0.1.0/24)を使用して定義されているプライベート アプリの到達可能性を確認できません。また、ポート範囲(3305~3306)を指定したアプリの到達可能性も確認しません。
登録できなかった場合(登録コードの入力中に数字が欠落していたなどの原因で)は、パブリッシャーにSSHでアクセスし、新しい登録トークンを入力します。
登録した後でパブリッシャーを別のトークンで登録することはサポートされておらず、推奨されません。このシナリオでは、パブリッシャーを再インストールします。
できません。Netskope Private AccessはICMPではなく、TCPとUDPのみでトンネリングします。Netskope Private Accessを介してpingまたはtracerouteを実行して、ネットワーク接続をテストすることはできません。
していません。Netskope Private Accessは、プライベート アプリからクライアントに対する接続を確立するプロトコルをサポートしていません。たとえば、FTPアクティブ モードはサポートされていません。
できません。パブリッシャーは、登録プロセスでSSLをピン留めし、特定の証明書に対するサーバー側の証明書認証を行います。
この場合、TLS接続を終端するプロキシがある場合は、宛先を許可リストに登録/バイパスする必要があります(*.newedge.io)。
プライベート アプリ ホストは、接続されているパブリッシャーのIPアドレスから発信されたものとして接続を認識します。範囲はありません。プライベート アプリ ホストに接続するために使用されるパブリッシャーの数に応じて、これらのIPアドレスをそれぞれ許可リストに登録します。
Amazon Web Servicesに導入されている場合は、既存のKeyPair.pem(または新しく生成したKeyPair.pem)をパブリッシャーのプロビジョニング中にAmazonマシン イメージ(AMI)に割り当てます。
SSHクライアントから、「ssh -i [KEYPAIR.PEM] centos@[PUBLISHER]」と入力してからEnterを押します。
[KEYPAIR.PEM]= お使いのKeyPair.pemファイルへのパス[PUBLISHER]= パブリッシャーの外部IPアドレス。- パブリッシャーのデフォルト ユーザー名は次のとおりです。
centos
- Amazon Web Service AMIのデフォルト ユーザー名は次のとおりです。
ec2-user
SSHを使用してパブリッシャーに正常に接続すると、対話形式のコマンド ライン インターフェイス(CLI)メニューに移動します。追加のトラブルシューティングを行うためには、オプション3を選択すると通常のUNIX CLIに移動できます。詳細については、「パブリッシャーの背後にあるプライベート アプリまたはサービスへのアクセスの問題をトラブルシューティングするための適切な方法」を参照してください。
- Windowsの[スタート]メニューを右クリックして、[ファイル名を指定して実行]をクリックします。
- [ファイル名を指定して実行]のUIで、「
cmd」と入力し、[OK]を押します。
![[ファイル名を指定して実行]UI](https://supportkb.dell.com/img/ka06P000000LfkgQAC/ka06P000000LfkgQAC_ja_3.jpeg)
- コマンド プロンプトで、「
ssh centos@[publisher]」と入力してからEnterを押します。
- [パブリッシャー] = パブリッシャーの外部IPアドレス。
- パブリッシャーのデフォルト認証情報は次のとおりです。
- ユーザー名:
centos - パスワード:
centos
- ユーザー名:
- パスワードは最初のログイン後に変更する必要があります。
パブリッシャーは、アクティブ/パッシブ モードで動作します。すべてのトラフィックは最初のパブリッシャー宛となります(機能している/接続されている場合)。最初のパブリッシャーが停止した場合は、2番目のパブリッシャー宛に切り替えます。
最初の最適なオプションは、トラブルシューティング ツールを使用することです。[PRIVATE APP]ページで[TROUBLESHOOTER]をクリックします。
アクセスしようとしているプライベート アプリとデバイスを選択してから、[TROUBLESHOOT]をクリックします。
トラブルシューティング ツールは、実行されたチェック、設定に影響する可能性のある問題、およびソリューションの各リストを表示します。
![[TROUBLESHOOTER]メニュー](https://supportkb.dell.com/img/ka06P000000LfkgQAC/ka06P000000LfkgQAC_ja_6.jpeg)
サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。