O que é Netskope Private Access?
Resumen: O Netskope Private Access faz parte da nuvem de segurança do Netskope e permite acesso seguro zero-trust a aplicativos empresariais privados na TI híbrida.
Síntomas
Este guia apresenta uma breve descrição das funções e dos recursos do Netskope Private Access.
Produtos afetados:
- Netskope
Versões afetadas:
- Versão 70 ou superior
Causa
Não aplicável
Resolución
O Netskope Private Access é um serviço de acesso remoto moderno que:
- Executa fan-out para permitir o acesso a aplicativos em várias redes, tanto na nuvem pública (por exemplo, Amazon Web Services/Azure/Google Cloud Platform) quanto no data center.
- Fornece acesso zero trust no nível do aplicativo em vez de acesso à rede com movimento lateral.
- É fornecido como um serviço em nuvem com abrangência global que pode ser dimensionado.
O Netskope Private Access oferece esses benefícios por meio de um recurso chamado Service Publishing. O Service Publishing disponibiliza aplicativos empresariais na plataforma de nuvem da Netskope, e não na borda de rede da empresa.
A plataforma em nuvem da Netskope se torna o local na Internet pelo qual os aplicativos empresariais são acessados. De certa forma, isso externaliza os componentes de acesso da zona desmilitarizada (DMZ). A externalização do acesso remoto dessa maneira tem várias vantagens em relação às abordagens tradicionais de redes privadas virtuais (VPN) e de acesso remoto baseado em proxy. A arquitetura geral e o modelo de entrega as a service do Service Publishing são consistentes com as tendências de TI. Isso inclui Infraestrutura as a Service, TI híbrida e entrega descentralizada de aplicativos empresariais do data center, da nuvem pública e do Software as a Service (SaaS).
O Netskope Private Access estende a plataforma da Netskope para fornecer acesso seguro a SaaS e na Web. Isso inclui acesso seguro a aplicativos privados que protegidos pelos firewalls da empresa no data center e na nuvem pública.
Estas são as perguntas comuns feitas sobre o Netskope Private Access:
Os requisitos do sistema do Netskope Private Access diferem entre os ambientes de implementação. Para obter mais informações, consulte: Requisitos do sistema para um editor do Netskope Private Access.
| Componente | URL | Porta | Notas |
|---|---|---|---|
| Client | gateway.npa.goskope.com antes de fevereiro de 2020: gateway.newedge.io |
TCP 443 (HTTPS) | |
| Editor | stitcher.npa.goskope.com antes de fevereiro de 2020: stitcher.newedge.io |
TCP 443 (HTTPS) UDP 53 (DNS) |
O DNS não precisa ter permissão de saída se houver um servidor DNS de rede local internamente. |
| Client e editor | ns[TENANTID]. [MP-NAME].npa.goskope.com Antes de fevereiro de 2020: ns-[TENANTID].newedge.io |
TCP 443 (HTTPS) | Isso é necessário apenas uma vez durante o registro. Exemplo de URL: ns-1234.us-sv5.npa.goskope.com variáveis [MP-NAME]:
|
- [TENANTID] = a identificação do grupo de usuários exclusiva ao seu ambiente
- [MP-NAME] = o local do plano de gerenciamento do Netskope
- Para obter assistência na identificação de seu [TENANTID] ou [MP-NAME], consulte: Como obter suporte para o Netskope.
- A porta padrão pode ser diferente da porta do seu ambiente.
Para conectar usuários a aplicativos e serviços, um administrador do Netskope Private Access deve configurar políticas de aplicativos privados na interface do usuário do Netskope em alguns lugares. Veja as opções de configuração e os detalhes dos tipos conhecidos de aplicativo e serviço.
| Aplicativo | Protocolo e porta | Fatores |
|---|---|---|
| Tráfego da Web | TCP: 80, 443 (portas personalizadas: 8080, assim por diante) UDP: 80, 443 |
O Google Chrome usa o protocolo QUIC (HTTP/S sobre UDP) para alguns aplicativos da Web. Duplicar as portas de navegação na Web para TCP e UDP pode fornecer uma melhoria de desempenho. |
| SSH | TCP: 22 | |
| Remote Desktop (RDP) | TCP: 3389 UDP: 3389 |
Alguns aplicativos client do Remote Desktop Protocol (RDP) do Windows, como versões mais recentes do Windows 10, agora preferem usar UDP:3389 para a conectividade do Remote Desktop. |
| Windows SQL Server | TCP: 1433, 1434 UDP: 1434 |
A porta padrão do Windows SQL Server é a 1433, embora possa ser personalizada em seus ambientes. Para obter mais informações, consulte Configurar o firewall do Windows para permitir acesso ao SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017) . |
| MySQL | TCP: 3300-3306, 33060 TCP: 33062 (para conexões específicas do administrador) |
Para casos de uso de conexão MySQL em geral, somente a porta 3306 é necessária, mas alguns usuários podem se beneficiar das portas adicionais do recurso MySQL. A Netskope recomenda o uso de um intervalo de portas para aplicativos privados do banco de dados MySQL. O MySQL bloqueia as conexões do editor do Netskope Private Access porque ele detecta o teste de acessibilidade como um possível ataque. O uso de um intervalo na configuração da porta faz com que o editor do Netskope Private Access realize uma verificação de acessibilidade somente na primeira porta do intervalo. Isso impede que o MySQL veja esse tráfego e evite o bloco de portas. Para obter mais informações, consulte Tabelas de referência de porta do MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html) . |
Sim. O Netskope Private Access pode criar túnel dos aplicativos fora dessa lista. O Netskope Private Access é compatível com os protocolos TCP e UDP e todas as portas associadas, com uma exceção importante: O Netskope não encapsula a maior parte do tráfego DNS, mas oferece suporte a pesquisas de serviço DNS de encapsulamento (SRV) pela porta 53. Isso é necessário para a descoberta de serviço, que é usada em vários cenários do Windows Active Directory envolvendo LDAP, Kerberos e muito mais.
O intervalo de sondagem é de cerca de um minuto.
O editor do Netskope Private Access tenta se conectar a uma porta configurada em um aplicativo privado para verificar se ele está acessível.
Fatores importantes a serem considerados:
- O editor funciona melhor quando você define aplicativos privados por nome de host (por exemplo, jira.globex.io) e porta (por exemplo, 8080).
- Quando um aplicativo é especificado com várias portas ou um intervalo de portas, o editor usa a primeira porta da lista ou do intervalo para verificar a disponibilidade.
- O editor não pode verificar a acessibilidade de aplicativos privados definidos com um curinga (*.globex.io) ou bloco CIDR (10.0.1.0/24). Ele também não verifica o alcance de aplicativos com intervalos de portas definidos (3305-3306).
Se o registro falhar (por exemplo, devido à ausência de um dígito ao digitar o código de registro), você poderá usar o SSH no editor e fornecer um novo token de registro.
Se o registro foi bem-sucedido, mas você decidiu registrar o editor com outro token, além de não haver suporte para essa ação, ela não é recomendada. Nesse cenário, reinstale o editor.
Não. O Netskope Private Access não cria túnel para ICMP, somente para TCP e UDP. Não é possível executar ping ou traceroute pelo Netskope Private Access para testar conexões de rede.
Não. O Netskope Private Access não oferece suporte a protocolos que estabelecem conexões de um aplicativo privado para um client. Por exemplo, o modo FTP ativo não é compatível.
Não. O editor faz a fixação de SSL para o processo de registro e a autenticação de certificado do servidor em relação a um certificado específico.
Nesse caso, se houver um proxy que encerre a conexão TLS, o destino deverá ser adicionado à lista de permissões/ignorado (*.newedge.io).
O host do aplicativo privado vê a conexão como originária do endereço IP do editor que está se conectando a ele. Não há intervalo. Dependendo do número de editores usados para conectar-se ao host de aplicativos privados, coloque cada um desses endereços IP na lista de permissões.
Se implementado no Amazon Web Services, atribua à Amazon Machine Image (AMI) um KeyPair.pem que você já tenha (ou gere um novo KeyPair.pem) durante o provisionamento do editor.
Em um client SSH, digite ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] e pressione Enter.
[KEYPAIR.PEM]= o caminho para o seu arquivoKeyPair.pem[PUBLISHER]= o endereço IP externo do editor- O nome de usuário padrão para o editor é:
centos
- O nome de usuário padrão dos AMIs do Amazon Web Service é:
ec2-user
Depois de utilizar com êxito o SSH para se conectar ao editor, você será direcionado a um menu interativo da interface de linha de comando (CLI). Você pode escolher a opção 3 para ser direcionado a uma CLI normal do UNIX para solução adicional de problemas. Para obter mais informações, consulte Qual é um bom método para solucionar problemas de acessibilidade de um aplicativo/serviço privado por trás de um editor?
- Clique com o botão direito do mouse no menu Iniciar do Windows e clique em Executar.
- Na janela Executar IU, digite
cmde clique em OK.
- No prompt de comando, digite
ssh centos@[publisher]e pressione Enter.
- [publisher] = o endereço IP externo do editor
- As credenciais padrão para o editor são:
- Nome de usuário:
centos - Senha:
centos
- Nome de usuário:
- A senha deve ser alterada após o primeiro login.
Os editores trabalham no modo ativo-passivo. Todo o tráfego vai para um primeiro editor se ele estiver operacional (conectado). Se ele ficar inativo, passamos para um editor secundário.
A primeira melhor opção é usar o solucionador de problemas. Clique em Troubleshooter na página Private Apps.
Escolha o aplicativo privado e o dispositivo que você está tentando acessar e clique em Troubleshoot.
O solucionador de problemas processa a lista de verificações realizadas, problemas que podem afetar a configuração e soluções.
Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.