Hvad er Netskope Private Access?
Resumen: Netskope Private Access er en del af Netskope Security Cloud og giver mulighed for Zero-Trust Secure Access for private virksomhedsprogrammer i en hybrid forbindelse.
Síntomas
Denne vejledning indeholder en kort beskrivelse af funktionerne og funktionerne i Netskope Private Access.
Berørte produkter:
- Netskope
Berørte versioner:
- Version 70+
Causa
Ikke relevant
Resolución
Netskope Private Access er en moderne fjernadgangstjeneste, som:
- Spreder sig ud for at give adgang til programmer på flere netværk, både i den offentlige cloud (som f.eks. Amazon Web Services, Azure, Google Cloud Platform) og i datacenteret.
- Giver adgang til programmer på Zero Trust-niveau i stedet for netværksadgang med sidebevægelse.
- Leveres som en cloud-tjeneste med et globalt tilhørssted, der kan skaleres.
Netskope Private Access giver disse fordele ved hjælp af en egenskab, der kaldes Service Publishing (tjenesteudgivelse). Service Publishing gør virksomhedsprogrammer tilgængelige på og via Netskope Cloud-platformen i stedet for på virksomhedens netværk.
Netskope Cloud-platformen er den placering på internettet, hvorigennem virksomhedsprogrammer tilgås. På en måde eksternaliserer dette adgangskomponenterne i den demilitariserede zone (DMZ). Eksternalisering af fjernadgang på denne måde har flere fordele i forhold til traditionelle virtuelle private netværk (VPN) og proxy-baserede fjernadgangsmetoder. Service Publishings overordnede arkitektur og delivery-as-a-service-model er i overensstemmelse med IT-tendenserne. Disse omfatter infrastruktur som en tjeneste, hybrid IT og den decentraliserede levering af virksomhedsprogrammer fra datacenteret, den offentlige cloud og SaaS (Software as a Service).
Netskope Private Access udvider Netskopes platform for sikker adgang til SaaS og internettet. Dette omfatter sikker adgang til private programmer, der findes bag en virksomheds firewalls i datacenteret og den offentlige cloud.
Nedenstående er almindelige spørgsmål, der stilles om Netskope Private Access:
Systemkravene til Netskope Private Access varierer i de forskellige implementeringsmiljøer. Du kan finde flere oplysninger i: Systemkrav til en Netskope Private Access-udgiver.
| Komponent | URL-adresse | Port | Bemærkninger |
|---|---|---|---|
| Klient | gateway.npa.goskope.com før februar 2020: gateway.newedge.io |
TCP 443 (HTTPS) | |
| Publisher | stitcher.npa.goskope.com før februar 2020: stitcher.newedge.io |
TCP 443 (HTTPS) UDP 53 (DNS) |
DNS behøver ikke at være tilladt som udgående, hvis der er DNS-server internt på det lokale netværk. |
| Klient og udgiver | ns [TENANTID]. [MP-NAME].npa.goskope.com før februar 2020: ns-[TENANTID].newedge.io |
TCP 443 (HTTPS) | Dette er kun nødvendigt én gang under registreringen. Eksempel på URL: variabler for ns-1234.us-sv5.npa.goskope.com [MP-NAME]:
|
- [TENANTID] = Det lejer-id, der er unikt for dit miljø
- [MP-NAME] = Placeringen af Netskope-administrationsplanet
- For at få hjælp til at identificere dit [TENANTID] eller [MP-NAME] skal du se: Sådan får du support til Netskope.
- Standardportene kan afvige fra portene i dit miljø.
Hvis du vil oprette forbindelse til brugere med programmer og tjenester, skal en Netskope Private Access-administrator konfigurere private app-politikker et par steder i Netskope-brugergrænsefladen. Her er konfigurationsmulighederne og oplysninger om kendte typer af programmer og tjenester.
| Program | Protokol og port | Faktorer |
|---|---|---|
| Webtrafik | TCP: 80, 443 (brugerdefinerede porte: 8080 osv.) UDP: 80, 443 |
Google Chrome bruger QUIC-protokollen (HTTP/S over UDP) til visse webprogrammer. Kopiering af webbrowserportene til både TCP og UDP kan forbedre ydeevnen. |
| SSH | TCP: 22 | |
| Fjernskrivebord (RDP) | TCP: 3389 UDP: 3389 |
Nogle RDP-klientapps (Windows Remote Desktop Protocol) (f.eks. nyere Windows 10-versioner) foretrækker at bruge UDP:3389 til at oprette forbindelse til fjernskrivebord. |
| Windows SQL Server | TCP: 1433, 1434 UDP: 1434 |
Standardporten til Windows SQL Server er 1433, men dette kan tilpasses i dine miljøer. Du kan finde flere oplysninger under Konfigurer Windows Firewall til Allow SQL Server Access (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017) . |
| MySQL | TCP: 3300-3306, 33060 TCP: 33062 (for administratorspecifikke forbindelser) |
Til generelle brugstilfælde af MySQL-forbindelse kræves der kun port 3306, men nogle brugere kan drage fordel af de ekstra MySQL-funktionsporte. Netskope anbefaler at bruge et portinterval til MySQL-databasens private apps. MySQL blokerer forbindelser fra Netskope Private Access-udgiveren, fordi det registrerer en adgangstest som et potentielt angreb. Brug af et interval i portkonfigurationen medfører, at Netskope Private Access-udgiveren kun udfører et tilgængelighedscheck på den første port i serien. Dette forhindrer MySQL i at se denne trafik og undgå portblokeringen. Du finder flere oplysninger i MySQL Port Reference Tables (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html) . |
Ja. Netskope Private Access kan arbejde sig igennem apps uden for listen. Netskope private Access understøtter både TCP- og UDP-protokoller og alle tilknyttede porte med én vigtig undtagelse: Netskope gennemarbejder ikke det meste DNS-trafik, men vi understøtter gennemarbejdning af DNS-tjenesteopslag (SRV) via port 53. Dette er nødvendigt for at udføre tjenesteregistrering, som bruges i forskellige Windows Active Directory-scenarier, der involverer LDAP, Kerberos og meget mere.
Forespørgselsintervallet er ca. ét minut.
Netskope Private Access-udgiveren forsøger at oprette forbindelse til en konfigureret port på en privat app for at kontrollere, om den private app kan nås.
Vigtige faktorer, der skal overvejes:
- Udgiveren fungerer bedst, når du definerer private apps ud fra værtsnavn (f.eks. jira.globex.io) og port (f.eks. 8080).
- Når en app er angivet med flere porte eller et portinterval, bruger udgiveren den første port på listen eller i området til at kontrollere tilgængeligheden.
- Udgiveren kan ikke kontrollere tilgængeligheden for private apps, der er defineret med et jokertegn (*.globex.io) eller CIDR-blok (10.0.1.0/24). Det kontrollerer heller ikke tilgængelighed af apps med portintervaller defineret (3305-3306).
Hvis registreringen mislykkes (f.eks. fordi der mangler et ciffer under indtastning af registreringskoden), kan du bruge SSH på udgiveren og angive et nyt registreringstoken.
Hvis registreringen lykkedes, men du har besluttet at registrere udgiveren med et andet token, er dette ikke understøttet og kan ikke anbefales. I dette scenarie skal du geninstallere udgiveren.
Nej. Netskope Private Access gennemarbejder ikke ICMP, kun TCP og UDP. Du kan ikke køre ping eller traceroute via Netskope Private Access for at teste netværksforbindelser.
Nej. Netskope Private Access understøtter ikke protokoller, der etablerer forbindelser fra en privat app til en klient. F.eks. understøttes aktiv tilstand for FTP ikke.
Nej. Udgiveren udfører SSL-fastgørelse til registreringsprocessen og certifikatautentificering på serversiden i henhold til et bestemt certifikat.
Hvis der er en proxy, der afslutter TLS-forbindelsen, skal destinationen på tilladt-listen/omgås (*.newedge.io).
Den private appvært viser forbindelsen som udgående fra IP-adressen på den udgiver, der opretter forbindelse til den. Der er ingen afgrænsning. Afhængigt af antallet af udgivere, der bruges til at oprette forbindelse til den private appvært, skal du tillade hver af disse IP-adresser.
Hvis den implementeres i Amazon Web Services, skal du tildele Amazon Machine Image (AMI), KeyPair.pem som du allerede har (eller genererer en ny KeyPair.pem) under klargøring af udgiveren.
Fra en SSH-klient skal du skrive ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] og derefter trykke på Enter.
[KEYPAIR.PEM]= Stien til filenKeyPair.pem[PUBLISHER]= Udgiverens eksterne IP-adresse- Standardbrugernavnet for udgiveren er:
centos
- Standardbrugernavnet for Amazon Web Service AMI'erne er:
ec2-user
Når du har oprettet forbindelse via SSH til udgiveren, placeres du i en interaktiv kommandolinjegrænseflademenu (CLI). Du kan vælge valgmulighed 3 for at blive placeret i en normal UNIX CLI for yderligere fejlfinding. Du kan finde flere oplysninger i Hvad er en god metode til fejlfinding af adgangsproblemer for en privat app/tjeneste bag en udgiver?
- Højreklik på startmenuen i Windows, og klik herefter på Kør.
- I brugergrænsefladen Kør skal du skrive
cmdog derefter trykke på OK.
- I kommandoprompten skal du skrive
ssh centos@[publisher]og derefter trykke på Enter.
- [publisher] = Udgiverens eksterne IP-adresse
- Standard legitimationsoplysningerne for udgiveren er:
- Brugernavn:
centos - Adgangskode:
centos
- Brugernavn:
- Adgangskoden skal ændres efter første logon.
Udgivere arbejder i aktiv/passiv tilstand. Al trafik går til den første udgiver, hvis den er operationel (tilsluttet). Hvis den går ned, skiftes der til en sekundær udgiver.
Den første og bedste mulighed er at bruge fejlfindingsfunktionen. Klik på Fejlfinding på siden Private Apps.
Vælg den private app og enhed, som du forsøger at få adgang til, og klik derefter på Fejlfinding.
Fejlfindingen viser listen over udførte kontroller, problemer, som kan påvirke din konfiguration, og løsninger.
For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.