Netskope Private Access Nedir?
Resumen: Netskope güvenlik bulutunun bir parçası olan Netskope Private Access, Karma BT ortamlarındaki özel kurumsal uygulamalara sıfır güven politikasıyla güvenli erişim sağlar. ...
Síntomas
Bu rehberde, Netskope Private Access'in işlevleri ve özellikleri hakkında kısa bir açıklama sağlanmaktadır.
Etkilenen Ürünler:
- Netskope
Etkilenen Sürümler:
- Sürüm 70+
Causa
Geçerli değil
Resolución
Netskope Private Access, aşağıdaki işlemleri gerçekleştirebilen modern bir uzaktan erişim hizmetidir:
- Hem genel buluttaki (Amazon Web Services, Azure, Google Cloud Platform gibi) hem de veri merkezindeki birden çok ağdaki uygulamalara erişim sağlar.
- Yatay hareketle ağ erişimi yerine sıfır güven politikasıyla uygulama düzeyinde erişim sağlar.
- Ölçeklendirilebilen dünya çapında bir ayak iziyle bulut hizmeti olarak sunulur.
Netskope Private Access, bu avantajları Hizmet Yayınlama adı verilen bir özellikle sunar. Hizmet Yayınlama, kurumsal uygulamaları işletmenin ağ ucu yerine Netskope bulut platformunda ve bu platform aracılığıyla erişilebilir hale getirir.
Netskope bulut platformu, internetteki kurumsal uygulamalara erişilen konum haline gelir. Bir bakıma bu süreç, sivil bölgenin (DMZ) erişim bileşenlerini dışta bırakır. Uzaktan erişimi bu şekilde dışta bırakmanın, geleneksel sanal özel ağlara (VPN) ve proxy tabanlı uzaktan erişim yaklaşımlarına kıyasla çeşitli avantajları vardır. Hizmet Yayınlamanın genel mimarisi ve hizmet olarak sunum modeli, BT eğilimleriyle uyumludur. Bunlar arasında hizmet olarak altyapı, Karma BT ile veri merkezi, genel bulut ve hizmet olarak yazılımdan (SaaS) kurumsal uygulamaların merkezden dağıtımı bulunur.
Netskope Private Access, SaaS ve web'e güvenli erişim için Netskope'un platformunu genişletir. Bu, bir işletmenin veri merkezinde ve genel bulutta güvenlik duvarlarının arkasında çalışan özel uygulamalara güvenli erişimi de kapsar.
Netskope Private Access ile ilgili sık sorulan sorular aşağıda verilmiştir:
Netskope Private Access sistem gereksinimleri, dağıtım ortamları arasında farklılık gösterir. Daha fazla bilgi için bkz.: Netskope Private Access Yayıncı İçin Sistem Gereksinimleri.
| Bileşen | URL | Port (Bağlantı Noktası) | Notlar |
|---|---|---|---|
| İstemci | gateway.npa.goskope.com Şubat 2020'den Önce: gateway.newedge.io |
TCP 443 (HTTPS) | |
| Yayıncı | stitcher.npa.goskope.com Şubat 2020'den Önce: stitcher.newedge.io |
TCP 443 (HTTPS) UDP 53 (DNS) |
Dahili olarak bir yerel ağ DNS sunucusu varsa DNS'ye giden olarak izin verilmesi gerekmez. |
| İstemci ve yayıncı | ns [TENANTID]. [MP-NAME].npa.goskope.com Şubat 2020'den Önce: ns-[TENANTID].newedge.io |
TCP 443 (HTTPS) | Bu, yalnızca kayıt sırasında bir defaya mahsus gereklidir. Örnek URL: ns-1234.us-sv5.npa.goskope.com [MP-NAME] değişkenleri:
|
- [TENANTID] = Ortamınıza özel kiracı kimliği
- [MP-NAME] = Netskope yönetim düzlemi konumu
- [TENANTID] veya [MP-NAME] değişkeninizi tanımlama konusunda yardım için şu makaleye bakın: Netskope İçin Destek Alma.
- Varsayılan bağlantı noktaları, ortamınızdaki bağlantı noktalarından farklı olabilir.
Kullanıcıları uygulamalara ve hizmetlere bağlamak için bir Netskope Private Access yöneticisinin Netskope Kullanıcı Arayüzü içindeki özel uygulama politikalarını birkaç yerde yapılandırması gerekir. Bilinen uygulama ve hizmet türleri için yapılandırma seçenekleri ve ayrıntılar aşağıda verilmiştir.
| Uygulama | Protokol ve Bağlantı Noktası | Faktörler |
|---|---|---|
| Web Trafiği | TCP: 80, 443 (özel bağlantı noktaları: 8080 vb.) UDP: 80, 443 |
Google Chrome'da bazı web uygulamaları için QUIC protokolü (UDP üzerinden HTTP/S) kullanılır. Hem TCP hem UDP için web tarama bağlantı noktalarının çoğaltılması, performansın iyileştirilmesini sağlayabilir. |
| SSH | TCP: 22 | |
| Uzak Masaüstü (RDP) | TCP: 3389 UDP: 3389 |
Bazı Windows Uzak Masaüstü Protokolü (RDP) istemci uygulamaları (daha yeni Windows 10 sürümleri gibi) Uzak Masaüstü bağlantısı gerçekleştirmek için UDP:3389'u kullanmayı tercih ediyor. |
| Windows SQL Server | TCP: 1433, 1434 UDP: 1434 |
Windows SQL Server için varsayılan bağlantı noktası 1433'tür ancak bu seçenek, ortamlarınıza göre özelleştirilebilir. Daha fazla bilgi için Bkz. SQL Server Erişimine İzin Vermek için Windows Güvenlik Duvarı'nı Yapılandırma (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017) . |
| MySQL | TCP: 3300-3306, 33060 TCP: 33062 (özel yönetici bağlantıları için) |
Genel MySQL bağlantısı kullanım durumları için yalnızca 3306 numaralı bağlantı noktası gereklidir. Ancak bazı kullanıcılar, ek MySQL özellikli bağlantı noktalarından yararlanabilir. Netskope, MySQL veritabanı özel uygulamaları için bir bağlantı noktası aralığı kullanılmasını önerir. MySQL, erişilebilirlik testini potansiyel bir saldırı olarak algıladığından Netskope Private Access yayıncının bağlantılarını engeller. Bağlantı noktası yapılandırmasında bir aralık kullanılması, Netskope Private Access yayıncının yalnızca aralıktaki ilk bağlantı noktasında erişilebilirlik denetimi gerçekleştirmesine neden olur. Bu, MySQL'in bu trafiği görmesini ve bağlantı noktası bloğunu engellemesini önler. Daha fazla bilgi için MySQL Bağlantı Noktası Referans Tabloları'na (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html) başvurun . |
Evet. Netskope Private Access, bu listenin dışındaki uygulamalarla tünel oluşturabilir. Netskope Private Access, TCP ile UDP protokollerini ve ilişkili tüm bağlantı noktalarını tek bir istisna dışında destekler: Netskope şu anda çoğu DNS trafiğiyle tünel oluşturmamaktadır ancak 53 numaralı bağlantı noktası üzerinden DNS hizmeti (SRV) aramalarıyla tünel oluşturmayı destekliyoruz. Bu işlem; LDAP, Kerberos ve daha fazla seçeneği içeren çeşitli Windows Active Directory senaryolarında kullanılan hizmet keşfi için gereklidir.
Yoklama aralığı yaklaşık bir dakikadır.
Netskope Private Access Yayıncı, özel uygulamanın erişilebilir olup olmadığını kontrol etmek için bu uygulamadaki yapılandırılmış bir bağlantı noktasına bağlanmaya çalışır.
Göz önünde bulundurulması gereken önemli noktalar şu şekildedir:
- Yayıncı, özel uygulamaları ana bilgisayar adına (ör. jira.globex.io) ve bağlantı noktasına (ör. 8080) göre tanımladığınızda en iyi sonucu verir.
- Uygulama birden çok bağlantı noktasıyla veya bağlantı noktası aralığıyla belirtildiğinde yayıncı, kullanılabilirliği kontrol etmek için liste ya da aralıktaki ilk bağlantı noktasını kullanır.
- Yayıncı, joker karakter (*.globex.io) veya CIDR bloğu (10.0.1.0/24) ile tanımlanan özel uygulamalar için erişilebilirliği kontrol edemez. Ayrıca, tanımlanan bağlantı noktası aralıkları (3305-3306) bulunan uygulamaların erişilebilirliğini de denetlemez.
Kayıt başarısız olursa (ör. kayıt kodunu girerken bir rakam eksik olduğundan) yayıncıya SSH ekleyin ve yeni bir kayıt belirteci sağlayın.
Kayıt başarılı olduysa ancak yayıncıyı başka bir belirteçle kaydetmeye karar verdiyseniz bu işlem desteklenmez ve önerilmez. Bu senaryoda yayıncıyı tekrar yükleyin.
Hayır. Netskope Private Access, ICMP ile değil yalnızca TCP ve UDP ile tünel oluşturabilir. Ağ bağlantılarını test etmek için Netskope Private Access üzerinden ping veya traceroute komutunu çalıştıramazsınız.
Hayır. Netskope Private Access, özel bir uygulama ile bir İstemci arasında bağlantı kuran protokolleri desteklemez. Örneğin, FTP Active modu desteklenmez.
Hayır. Yayıncı, belirli bir sertifikaya göre kayıt işlemi ve sunucu tarafı sertifika kimlik doğrulaması için SSL sabitlemesi yapar.
Bu durumda, TLS bağlantısını sona erdiren herhangi bir proxy varsa hedefin izin listesine alınması/atlanması gerekir (*.newedge.io).
Özel uygulama ana bilgisayarı, bağlantı kaynağını kendisine bağlanan yayıncının IP adresi olarak görür. Herhangi bir aralık yoktur. Özel uygulama ana bilgisayarına bağlanmak için kullanılan yayıncı sayısına bağlı olarak bu IP adreslerinin her birini izin listesine alın.
Amazon Web Services'e dağıtım yapılıyorsa yayıncı kaynağının sağlanması sırasında, Amazon Machine Image'a (AMI) zaten sahip olduğunuz bir KeyPair.pem atayın (veya yeni bir KeyPair.pem oluşturun).
Bir SSH istemcisinde ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] yazın ve ardından Enter tuşuna basın.
[KEYPAIR.PEM]=KeyPair.pemdosyanızın yolu[PUBLISHER]= Yayıncının harici IP adresi- Yayıncının varsayılan kullanıcı adı:
centos
- Amazon Web Service AMI'nın varsayılan kullanıcı adı:
ec2-user
SSH kullanarak yayıncıya başarıyla bağlandıktan sonra etkileşimli bir komut satırı arayüzü (CLI) menüsüne alınırsınız. Ek sorun giderme adımları için seçenek 3'ün normal bir UNIX CLI'ye yerleştirilmesini tercih edebilirsiniz. Daha fazla bilgi için Yayıncının arkasındaki özel bir uygulamaya/hizmete erişim sorunlarını gidermenin iyi bir yöntemi nedir? bölümüne başvurun
- Windows Başlangıç Menüsüne sağ tıklayın ve ardından Çalıştır'a tıklayın.
- Çalıştır kullanıcı arayüzünde
cmdyazın ve ardından Tamam'a basın.
- Komut istemine
ssh centos@[publisher]yazın ve ardından Enter tuşuna basın.
- [publisher] = Yayıncının harici IP adresi
- Yayıncının varsayılan kimlik bilgileri şu şekildedir:
- Kullanıcı adı:
centos - Parola:
centos
- Kullanıcı adı:
- İlk oturum açma işleminden sonra parolanın değiştirilmesi gerekir.
Yayıncılar aktif/pasif modda çalışır. Çalışıyor (bağlı) olması durumunda tüm trafik ilk yayıncıya gider. İlki çalışmıyorsa ikinci yayıncıya geçiş yaparız.
İlk olarak Sorun Gidericiyi kullanmak en iyi seçeneğinizdir. Private Apps (Özel Uygulamalar) sayfasında Troubleshooter (Sorun Giderici) öğesine tıklayın.
Erişmeye çalıştığınız özel uygulamayı ve aygıtı seçip Troubleshoot (Sorun Gider) öğesine tıklayın.
Troubleshooter (Sorun Giderici), yürütülen denetimlerin, yapılandırmanızı etkileyebilecek sorunların ve bunlarla ilgili çözümlerin listesini oluşturur.
Destek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.