Co je to Netskope Private Access?
Resumen: Služba Netskope Private Access je součástí bezpečnostního cloudu Netskope, která umožňuje bezpečný přístup bez důvěry k soukromým podnikovým aplikacím v hybridním IT. ...
Síntomas
Tato příručka obsahuje stručný popis funkcí a prvků služby Netskope Private Access.
Dotčené produkty:
- Netskope
Dotčené verze:
- Release 70+
Causa
Není k dispozici
Resolución
Netskope Private Access je moderní služba pro vzdálený přístup, která:
- Zajišťuje přístup k aplikacím ve více sítích, a to jak ve veřejném cloudu (například Amazon Web Services, Azure, Google Cloud Platform), tak v datovém centru.
- Poskytuje přístup na úrovni aplikace nulové důvěry místo přístupu k síti s taktikou lateral movement.
- Dodává se jako cloudová služba s celosvětovým dosahem, která se rychle rozšiřuje.
Služba Netskope Private Access tyto výhody poskytuje prostřednictvím funkce nazvané Service Publishing. Díky funkci Service Publishing jsou podnikové aplikace dostupné na cloudové platformě Netskope a nikoli na okraji podnikové sítě.
Cloudová platforma Netskope se stává místem na internetu, přes které je možné získat přístup k podnikovým aplikacím. V jistém smyslu externalizuje přístupové složky demilitarizované zóny (DMZ). Externalizace vzdáleného přístupu tímto způsobem má několik výhod oproti tradičním sítím VPN (Virtual Private Networks) a přístupům vzdáleného přístupu založeným na serveru proxy. Celková architektura a model poskytování funkce Service Publishing je v souladu s trendy IT. Patří mezi ně infrastruktury jako služby (IaaS), hybridní IT a decentralizované dodávání podnikových aplikací z datového centra, veřejného cloudu a softwaru jako služby (SaaS).
Služba Netskope Private Access rozšiřuje platformu Netskope pro zabezpečený přístup k službám SaaS a webu. To zahrnuje zabezpečený přístup k soukromým aplikacím, které se nacházejí za branami firewall podniku v datovém centru a veřejném cloudu.
Následují časté dotazy ohledně služby Netskope Private Access:
Požadavky systému služby Netskope Private Access se v jednotlivých prostředích nasazení liší. Další informace najdete v článku: Systémové požadavky na vydavatele Netskope Private Access
| Komponenta | Adresa URL | Port | Poznámky |
|---|---|---|---|
| Klient | gateway.npa.goskope.com do února 2020: gateway.newedge.io |
TCP 443 (HTTPS) | |
| Publikující | stitcher.npa.goskope.com do února 2020: stitcher.newedge.io |
TCP 443 (HTTPS) UDP 53 (DNS) |
Pokud je k dispozici interní server DNS místní sítě, není nutné povolit odchozí server DNS. |
| Klient a vydavatel | ns[TENANTID]. [MP-NAME].npa.goskope.com před únorem 2020: ns-[TENANTID].newedge.io |
TCP 443 (HTTPS) | To je potřeba pouze jednou během registrace. Příklad adresy URL: proměnné ns-1234.us-sv5.npa.goskope.com [MP-NAME]:
|
- [TENANTID] = Identifikace nájemce jedinečná pro vaše prostředí.
- [MP-NAME] = Umístění roviny správy Netskope.
- Pomoc s identifikací [TENANTID] nebo [MP-NAME] najdete v článku: Jak získat podporu pro řešení Netskope
- Výchozí porty se mohou lišit od portů ve vašem prostředí.
Chcete-li připojit uživatele k aplikacím a službám, je nutné, aby správce služby Netskope Private Access na několika místech v rozhraní Netskope nakonfiguroval zásady soukromých aplikací. Zde uvádíme možnosti konfigurace a podrobnosti o známých typech aplikací a služeb.
| Aplikace | Protokol a port | Faktory |
|---|---|---|
| Webový provoz | TCP: 80, 443 (vlastní porty: 8080, tak dále) UDP: 80, 443 |
Google Chrome používá pro některé webové aplikace protokol QUIC (HTTP/S přes port UDP). Duplikování portů pro procházení webu v případě protokolu TCP i UDP může zlepšit výkon. |
| SSH | TCP: 22 | |
| Remote Desktop (RDP) | TCP: 3389 UDP: 3389 |
Některé klientské aplikace RDP (Remote Desktop Protocol) systému Windows (například novější verze systému Windows 10) upřednostňují protokol UDP:3389 pro připojení ke vzdálené ploše. |
| Windows SQL Server | TCP: 1433, 1434 UDP: 1434 |
Výchozí port pro systém Windows SQL Server je 1433, ale ve vašem prostředí jej lze přizpůsobit. Další informace naleznete v části Konfigurace brány firewall systému Windows tak, aby umožňovala přístup k systému SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017). ) |
| MySQL | TCP: 3300-3306, 33060 TCP: 33062 (připojení specifická pro správce) |
Pro obecné případy použití připojení MySQL je vyžadován pouze port 3306, ale někteří uživatelé mohou využívat jiné porty s funkcí MySQL. Společnost Netskope doporučuje používat rozsah portů pro soukromé aplikace databáze MySQL. Software MySQL blokuje připojení vydavatele Netskope Private Access, protože považuje test dostupnosti za potenciální útok. Použití rozsahu v konfiguraci portu způsobí, že vydavatel Netskope Private Access provede kontrolu dostupnosti pouze na prvním portu v rozsahu. Tak se zabrání tomu, aby software MySQL odhalil tento provoz a zablokoval port. Další informace naleznete v referenčních tabulkách portů MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html). ) |
Ano. Služba Netskope Private Access může tunelově propojit aplikace mimo tento seznam. Služba Netskope Private Access podporuje protokoly TCP a UDP a všechny přidružené porty s jedinou výjimkou: Platforma Netskope sice nedokáže tunelově propojit většinu provozu DNS, ale podporujeme vyhledávání tunelových propojení služby DNS (SRV) přes port 53. To je nutné pro zjišťování služeb, které se používá v různých scénářích služby Windows Active Directory zahrnujících LDAP, Kerberos a další.
Interval dotazování je přibližně jedna minuta.
Vydavatel Netskope Private Access se pokusí připojit k nakonfigurovanému portu v soukromé aplikaci a zkontrolovat, zda je soukromá aplikace dosažitelná.
Důležité faktory, které je třeba zvážit:
- Vydavatel funguje nejlépe, když definujete soukromé aplikace podle názvu hostitele (např. jira.globex.io) a portu (např. 8080).
- Pokud je aplikace určena pomocí více portů nebo rozsahem portů, vydavatel použije ke kontrole dostupnosti první port ze seznamu nebo rozsahu.
- Vydavatel nemůže zkontrolovat dostupnost soukromých aplikací, které jsou definovány pomocí zástupného znaku (*.globex.io) nebo blokem CIDR (10.0.1.0/24). Nezkontroluje ani dostupnost aplikací s definovanými rozsahy portů (3305-3306).
Pokud se registrace nezdaří (např. kvůli chybějící číslici při zadávání registračního kódu), přihlaste se pomocí SSH k vydavateli a poskytněte nový registrační token.
Pokud registrace proběhla úspěšně, ale rozhodli jste se zaregistrovat vydavatele pomocí jiného tokenu, tato akce není podporována a ani ji nedoporučujeme. V tomto scénáři znovu přeinstalujte vydavatele.
Ne. Služba Netskope Private Access nedokáže tunelově propojit protokol ICMP, pouze protokol TCP a UDP. Přes službu Netskope Private Access nelze spustit příkaz ping nebo traceroute a otestovat síťová připojení.
Ne. Služba Netskope Private Access nepodporuje protokoly, které navazují spojení mezi soukromou aplikací a klientem. Podporován není například režim FTP Active.
Ne. Vydavatel provede připnutí SSL pro účely registrace a ověření certifikátu na straně serveru vůči konkrétnímu certifikátu.
Pokud je v tomto případě k dispozici server proxy, který ukončí připojení TLS, je nutné cíl přidat na seznam povolených nebo jej obejít (*.newedge.io).
Hostitel soukromé aplikace uvidí, že připojení pochází z adresy IP vydavatele, který se k němu připojuje. K dispozici není žádný rozsah. V závislosti na počtu vydavatelů použitých k připojení k hostiteli soukromé aplikace přidejte každou z těchto IP adres na seznam povolených položek.
V případě nasazení do služeb Amazon Web Services přiřadíte zařízení AMI (Amazon Machine Image) soubor KeyPair.pem, který již máte (nebo vytvoříte nový soubor KeyPair.pem), během poskytování vydavatele.
V klientovi SSH zadejte příkaz ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] a stiskněte Enter.
[KEYPAIR.PEM]= Cesta k souboruKeyPair.pem.[PUBLISHER]= Externí IP adresa vydavatele.- Výchozí uživatelské jméno vydavatele je:
centos
- Výchozí uživatelské jméno pro zařízení AMI služeb Amazon Web Services je:
ec2-user
Po úspěšném připojení k vydavateli prostřednictvím SSH budete přesměrováni do interaktivní nabídky rozhraní příkazového řádku (CLI). Pro další odstraňování problémů můžete zvolit možnost 3, která vás přesměruje do normálního rozhraní příkazového řádku UNIX. Další informace naleznete v části Jaký je vhodný způsob odstraňování problémů s přístupem k soukromé aplikaci nebo službě za vydavatelem?.
- Pravým tlačítkem klikněte na nabídku Start systému Windows a poté na možnost Spustit.
- V uživatelském rozhraní Spustit zadejte výraz
cmda poté stiskněte tlačítko OK.
- Do příkazového řádku zadejte příkaz
ssh centos@[publisher]a stiskněte Enter.
- [publisher] = Externí IP adresa vydavatele.
- Výchozí přihlašovací údaje pro vydavatele jsou:
- Uživatelské jméno:
centos - Heslo:
centos
- Uživatelské jméno:
- Heslo je po prvním přihlášení nutné změnit.
Vydavatelé pracují v režimu aktivní-pasivní. Veškerý provoz směřuje k prvnímu vydavateli, pokud je v provozu (připojen). Pokud vydavatel není k dispozici, přepneme proces na druhého vydavatele.
První nejlepší možností je použít funkci Troubleshooter. Klikněte na položku Troubleshooter na stránce Private Apps.
Vyberte soukromou aplikaci a zařízení, ke kterému se pokoušíte přistoupit, a klikněte na možnost Troubleshoot.
Funkce Troubleshooter vygeneruje seznam provedených kontrol, problémů, které mohou ovlivnit konfiguraci, a řešení.
Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.