Wat is Netskope Private Access?
Resumen: Netskope Private Access maakt deel uit van de Netskope-beveiligingscloud en maakt een zero-trust beveiligde toegang naar particuliere bedrijfsapplicaties in hybride IT mogelijk.
Síntomas
Deze handleiding geeft een korte beschrijving van de functies en functies van Netskope Private Access.
Betreffende producten:
- Netskope
Betreffende versies:
- Release 70+
Causa
Niet van toepassing
Resolución
Netskope Private Access is een moderne externe toegangsservice die:
- Uitwaaiert om toegang tot applicaties in meerdere netwerken mogelijk te maken, zowel in de public cloud (zoals Amazon Web Services, Azure, Google Cloud Platform) als in het datacenter.
- Zero-trust toegang biedt op applicatieniveau in plaats van netwerktoegang met dwarsbeweging.
- Wordt geleverd als een cloudservice met een wereldwijde footprint die kan worden geschaald.
Netskope Private Access biedt deze voordelen door middel van een mogelijkheid genaamd Service Publishing. Service Publishing maakt bedrijfsapplicaties beschikbaar op en via het Netskope-cloudplatform in plaats aan de netwerkrand van de onderneming.
Het Netskope-cloudplatform wordt de locatie op internet waar toegang wordt verkregen tot bedrijfsapplicaties. In zekere zin worden hierdoor de toegangsonderdelen van de gedemilitariseerde-zone (DMZ) extern geplaatst. Het op deze manier extern maken van externe toegang heeft verschillende voordelen ten opzichte van traditionele VPN (virtual private network) en op proxy gebaseerde benaderingen voor externe toegang. De algemene architectuur en levering-as-a-service-model van Service Publishing zijn consistent met IT-trends. Deze omvatten infrastructuur-as-a-service, hybride IT en de gedecentraliseerde levering van bedrijfsapplicaties vanuit het datacenter, de public cloud en software-as-a-service (SaaS).
Netskope Private Access breidt het Netskope-platform uit voor beveiligde toegang tot SaaS en web. Dit omvat beveiligde toegang tot privé-applicaties die zich in het datacenter en de public cloud bevinden achter de firewall van een onderneming.
Hieronder vindt u aantal algemene vragen over Netskope Private Access:
De systeemvereisten voor Netskope Private Access verschillen per implementatieomgeving. Raadpleeg voor meer informatie: Systeemvereisten voor een Netskope Private Access Publisher.
| Component | URL | Poort | Opmerkingen |
|---|---|---|---|
| Client | gateway.npa.goskope.com vóór februari 2020: gateway.newedge.io |
TCP 443 (HTTPS) | |
| Publisher | stitcher.npa.goskope.com vóór februari 2020: stitcher.newedge.io |
TCP 443 (HTTPS) UDP 53 (DNS) |
DNS is niet verplicht om uitgaand te worden toegestaan als er intern in het lokale netwerk een DNS-server aanwezig is. |
| Client en publisher | ns [TENANTID]. [MP-NAME].npa.goskope.com Vóór februari 2020: ns-[TENANTID].newedge.io |
TCP 443 (HTTPS) | Dit is slechts één keer nodig tijdens de registratie. Voorbeeld URL: ns-1234.us-sv5.npa.goskope.com [MP-NAME] variabelen:
|
- [TENANTID] = De tenant-id die uniek is voor uw omgeving
- [MP-NAME] = de locatie van het Netskope-beheer vlak
- Voor hulp bij het identificeren van uw [TENANTID] of [MP-NAME], raadpleegt u: Hoe krijg ik support voor Netskope?.
- De standaardpoorten kunnen afwijken van de poorten in uw omgeving.
Om gebruikers aan te sluiten op applicaties and services moet een Netskope Private Access-beheerder op enkele locaties het beleid voor privé-apps in de Netskope-gebruikersinterface configureren. Hier volgen de configuratieopties en -gegevens voor bekende applicatie- en servicetypen.
| Applicatie | Protocol en poort | Factoren |
|---|---|---|
| Webverkeer | TCP: 80, 443 (aangepaste poorten: 8080, enzovoort) UDP: 80, 443 |
Google Chrome gebruikt voor sommige webapplicaties het QUIC-Protocol (HTTP/S via UDP). Het dupliceren van de webbrowserpoorten voor zowel TCP als UDP kunnen prestatieverbetering opleveren. |
| SSH | TCP: 22 | |
| Extern bureaublad (RDP) | TCP: 3389 UDP: 3389 |
Sommige Windows Remote Desktop Protocol (RDP) client-apps (zoals nieuwere Windows 10-versies) geven de voorkeur aan UDP:3389 om remote desktop-connectiviteit uit te voeren. |
| Windows SQL Server | TCP: 1433, 1434 UDP: 1434 |
De standaardpoort voor Windows SQL Server is 1433, hoewel dit in uw omgevingen kan worden aangepast. Raadpleeg voor meer informatie De Windows Firewall configureren om SQL Server Access (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017) toe te staan. |
| MySQL | TCP: 3300-3306, 33060 TCP: 33062 (voor specifieke admin-verbindingen) |
Voor algemene MySQL-verbindingen is alleen poort 3306 vereist, maar sommige gebruikers kunnen profiteren van de extra MySQL-functiepoorten. Netskope beveelt het gebruik aan van een poortbereik voor MySQL database-privé-apps. MySQL blokkeert verbindingen van de Netskope Private Access-publisher, omdat het de bereikbaarheidstest als mogelijke aanval detecteert. Het gebruik van een bereik in de poortconfiguratie leidt ertoe dat de Netskope Private Access-publisher alleen een bereikbaarheidscontrole uitvoert op de eerste poort in het bereik. Hiermee wordt voorkomen dat MySQL dit verkeer ziet en de poortblokkade vermijdt. Raadpleeg voor meer informatie MySQL Port Reference Tables (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html) . |
Ja. Netskope Private Access kan tunnels aanleggen naar apps die buiten die lijst vallen. Netskope Private Access ondersteunt zowel de TCP- als UDP-protocollen en alle bijbehorende poorten, met één opvallende uitzondering: Netskope biedt geen tunneling voor het meeste DNS-verkeer, maar we ondersteunen wel het tunnelen van DNS-service (SRV)-lookups via poort 53. Dit is nodig voor het detecteren van services, wat gebruikt wordt in verschillende Windows Active Directory-scenario's met betrekking tot LDAP, Kerberos en meer.
Het polling-interval is ongeveer één minuut.
Netskope Private Access Publisher probeert verbinding te maken met een geconfigureerde poort op een privé-app om te controleren of de privé-app bereikbaar is.
Belangrijke factoren om rekening mee te houden:
- De publisher werkt het beste wanneer u privé-apps definieert op hostnaam (bijvoorbeeld jira.globex.io) en poort (bijvoorbeeld 8080).
- Wanneer een app is opgegeven met meerdere poorten of een poortbereik, gebruikt de publisher de eerste poort uit de lijst of het bereik om de beschikbaarheid te controleren.
- De publisher kan de bereikbaarheid niet controleren voor privé-apps die zijn gedefinieerd met een jokerteken (*.globex.io) of CIDR-block (10.0.1.0/24). Het controleert ook niet de bereikbaarheid van apps met poortbereiken die zijn gedefinieerd (3305-3306).
Als de registratie mislukt (bijv. omdat een cijfer ontbreekt bij het invoeren van de registratiecode), kunt u via SSH naar de publisher gaan en een nieuw registratietoken opgeven.
Als de registratie is geslaagd, maar u hebt besloten om de publisher te registreren met een ander token, wordt dit niet ondersteund en niet aanbevolen. In dit scenario moet u de publisher opnieuw installeren.
Nee. Netskope Private Access biedt geen tunnel voor ICMP, alleen TCP en UDP. U kunt geen ping of traceroute uitvoeren over Netskope Private Access om netwerkverbindingen te testen.
Nee. Netskope Private Access biedt geen ondersteuning voor protocollen die verbindingen van een privé-app naar een client tot stand brengen. De actieve modus van FTP wordt bijvoorbeeld niet ondersteund.
Nee. De publisher voert SSL-pinning uit voor het registratieproces en certificaatauthenticatie op de server aan de hand van een specifiek certificaat.
In dit geval, als de TLS-verbinding eindigt in een proxy, moet de bestemming op een whitelist staan of omzeild worden (*.newedge.io).
De privé-app-host ziet de verbinding als afkomstig van het IP-adres van de publisher waarmee verbinding wordt gemaakt. Er is geen bereik. Afhankelijk van het aantal publishers dat wordt gebruikt om verbinding te maken met de privé-app-host, moet u elk van deze IP-adressen toestaan.
Indien geïmplementeerd in Amazon Web Services, wijst u de Amazon Machine Image (AMI) toe die KeyPair.pem u al hebt (of een nieuwe KeyPair.pemgenereert) tijdens de provisioning van de publisher.
Typ ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] en druk op Enter vanuit een SSH-client.
[KEYPAIR.PEM]= Het pad naar uwKeyPair.pembestand[PUBLISHER]= Het externe IP-adres van de publisher- De standaard gebruikersnaam voor de publisher is:
centos
- De standaard gebruikersnaam voor Amazon Web Service AMI's is:
ec2-user
Nadat u SSH hebt gebruikt om verbinding te maken met de publisher, krijgt u in een interactief menu van de opdrachtregelinterface (CLI). U kunt optie 3 kiezen om in een normale UNIX-CLI terecht te komen voor verdere probleemoplossing. Raadpleeg Wat is een goede methode voor het oplossen van toegankelijkheidsproblemen met een privé-app/service achter een publisher? voor meer informatie.
- Klik met de rechtermuisknop op het Windows-startmenu en vervolgens op Uitvoeren.
- Typ
cmden druk op OK in de gebruikersinterface uitvoeren.
- Typ
ssh centos@[publisher]en druk op Enter in de opdrachtprompt.
- [publisher] = het externe IP-adres van de publisher
- De standaard referenties voor de publisher zijn:
- Gebruikersnaam:
centos - Wachtwoord:
centos
- Gebruikersnaam:
- Het wachtwoord moet worden gewijzigd na de eerste aanmelding.
Publishers werken in actief/passief-modus. Al het verkeer gaat naar een eerste publisher als deze operationeel (verbonden) is. Als de verbinding wordt verbroken, schakelen we over naar een secundaire publisher.
De eerste beste optie is om de Troubleshooter te gebruiken. Klik op Probleemoplosser op de pagina Privé-apps.
Kies de privé-app en het apparaat waartoe u toegang probeert te krijgen en klik vervolgens op Probleemoplossing.
De Troubleshooter toont de lijst met uitgevoerde controles, problemen die van invloed kunnen zijn op uw configuratie en oplossingen.
Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.