Qu’est-ce que Netskope Private Access ?
Resumen: Netskope Private Access fait partie du cloud de sécurité Netskope et offre un accès sécurisé « zero-trust » aux applications d’entreprise privées dans l’IT hybride. ...
Síntomas
Cet article vous offre une brève description des fonctionnalités et des caractéristiques de Netskope Private Access.
Produits concernés :
- Netskope
Versions concernées :
- Version 70+
Causa
Sans objet
Resolución
Netskope Private Access est un service moderne d’accès distant qui :
- divise pour permettre l’accès aux applications dans plusieurs réseaux, dans le Cloud public (comme Amazon Web Services/Azure/Google Cloud Platform) et dans le datacenter ;
- fournit un accès zero-trust au niveau de l’application au lieu d’un accès réseau avec mouvement latéral ;
- est fourni en tant que service Cloud avec un empreinte mondiale qui évolue.
Netskope Private Access offre ces avantages via une fonctionnalité appelée Service Publishing. Service Publishing rend les applications d’entreprise disponibles sur et via la plate-forme Cloud Netskope plutôt que sur la périphérie réseau de l’entreprise.
La plate-forme Cloud Netskope devient le site Internet par lequel les applications d’entreprise sont accessibles. D’une certaine manière, ce système externalise les composants d’accès de la zone démilitarisée (DMZ). Cette externalisation de l’accès distant présente de nombreux avantages par rapport aux réseaux privés virtuels (VPN) traditionnels et à l’approche de l’accès distant basé sur le proxy. L’architecture globale et le modèle de delivery-as-a-service de Service Publishing sont cohérents avec les tendances IT. Il s’agit notamment de l’infrastructure-as-a-service, de l’IT hybride et de la fourniture décentralisée d’applications d’entreprise à partir du datacenter, du Cloud public et des SaaS (software as-a-service).
Netskope Private Access développe la plate-forme Netskope pour l’accès sécurisé au Logiciel en tant que service et au Web. Il comprend un accès sécurisé aux applications privées qui résident derrière les pare-feu d’une entreprise dans le datacenter et le Cloud public.
Voici quelques questions fréquemment posées concernant Netskope Private Access :
La configuration matérielle de Netskope Private Access diffère d’un environnement de déploiement à l’autre. Pour en savoir plus, consultez ces articles : Configuration matérielle pour un éditeur Netskope Private Access.
| Composant | URL | Port | Remarques |
|---|---|---|---|
| Client | gateway.npa.goskope.com avant février 2020: gateway.newedge.io |
TCP 443 (HTTPS) | |
| Éditeur | stitcher.npa.goskope.com Avant février 2020: stitcher.newedge.io |
TCP 443 (HTTPS) UDP 53 (DNS) |
Le DNS n’a pas besoin d’être sortant si un réseau local de serveur DNS est en interne. |
| Client et éditeur | ns[TENANTID]. [MP-NAME].npa.goskope.com Avant février 2020: ns-[TENANTID].newedge.io |
TCP 443 (HTTPS) | Cela n’est nécessaire qu’une seule fois au cours de l’enregistrement. Exemple d’URL: ns-1234.us-sv5.npa.goskope.com variables [MP-NAME]:
|
- [TENANTID] = identification du client propre à votre environnement
- [MP-NAME] = site du plan de gestion Netskope
- Pour vous aider à identifier votre [TENANTID] ou [MP-NAME], voir l'article : Comment obtenir une assistance pour Netskope.
- Les ports par défaut peuvent également être différents des ports de votre environnement.
Pour connecter des utilisateurs avec des applications et des services, un administrateur de Netskope Private Access doit configurer des politiques d’application privées au sein de l’interface utilisateur de Netskope à quelques endroits. Voici les options de configuration et les détails des types d’application et de service connus.
| Application | Protocole et port | Facteurs |
|---|---|---|
| Trafic Web | TCP : 80, 443 (ports personnalisés : 8080, etc.) UDP: 80, 443 |
Google Chrome utilise le protocole QUIC (HTTP/S sur UDP) pour certaines applications Web. La duplication des ports de navigation Web pour TCP et UDP peut améliorer les performances. |
| SSH | TCP : 22 | |
| Remote Desktop (RDP) | TCP : 3389 UDP: 3389 |
Certaines des applications client Windows Remote Desktop Protocol (RDP) (telles que les versions de Windows 10 récentes) préfèrent utiliser UDP : 3389 pour effectuer une connectivité de Bureau distant. |
| Windows SQL Server | TCP : 1433, 1434 UDP: 1434 |
Le port par défaut pour Windows SQL Server est 1433, mais il peut être personnalisé dans vos environnements. Pour plus d’informations, consultez Configurer le pare-feu Windows pour autoriser l’accès à SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017). |
| MySQL | TCP : 3300-3306, 33060 TCP: 33062 (pour les connexions propres à l’administrateur) |
Pour les cas d’utilisation de connexion MySQL généraux, seul le port 3306 est requis, mais certains utilisateurs peuvent profiter de ports de fonctionnalité MySQL supplémentaires. Netskope recommande d’utiliser une plage de ports pour les applications privées de base de données MySQL. MySQL bloque les connexions de Netskope Private Access, car il détecte le test d’accessibilité comme une attaque potentielle. L’utilisation d’une plage dans la configuration des ports fait que l’éditeur Netskope Private Access effectue une vérification de l’accessibilité uniquement sur le premier port de la plage. Cela empêche MySQL de voir ce trafic et d’éviter le blocage du port. Pour plus d’informations, consultez les tableaux de référence des ports MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html). |
Oui. Netskope Private Access peut acheminer les applications en dehors de cette liste. Netskope Private Access prend en charge à la fois les protocoles TCP et UDP et tous les ports associés, avec une exception notable : Netskope ne réalise pas de protocole de tunnel du trafic DNS, mais nous prenons en charge les recherches par tunnel des services DNS (SRV) sur le port 53. Ce processus est nécessaire pour la découverte des services, qui est utilisée dans divers scénarios Windows Active Directory impliquant LDAP, Kerberos, etc.
L’intervalle d’interrogation dure environ une minute.
L’éditeur Netskope Private Access tente de se connecter à un port configuré sur une application privée pour vérifier si celle-ci est accessible.
Facteurs importants à prendre en compte :
- L’éditeur fonctionne mieux lorsque vous définissez des applications privées par nom d’hôte (par exemple, jira.globex.io) et port (par exemple, 8080).
- Lorsqu’une application est spécifiée avec plusieurs ports ou une plage de ports, l’éditeur utilise uniquement le premier port de la liste ou de la plage pour vérifier la disponibilité.
- L’éditeur ne peut pas vérifier l’accessibilité pour les applications privées qui sont définies à l’aide d’un caractère générique (*.globex.io) ou d’un bloc CIDR (10.0.1.0/24). Il ne vérifie pas non plus l’accessibilité des applications avec des plages de ports définies (3305-3306).
En cas d’échec de l’enregistrement (par exemple, parce qu’il manque un chiffre dans le code d’enregistrement saisi), utilisez le protocole SSH dans l’éditeur et fournissez un nouveau jeton d’enregistrement.
Si l’enregistrement a réussi, mais que vous avez décidé d’enregistrer l’éditeur avec un autre jeton, cela n’est pas pris en charge et n’est pas recommandé. Dans ce scénario, réinstallez l’éditeur.
Non. Netskope Private Access n’effectue pas de protocole de tunnel ICMP, mais uniquement TCP et UDP. Vous ne pouvez pas exécuter ping ou traceroute sur Netskope Private Access pour tester les connexions réseau.
Non. Netskope Private Access ne prend pas en charge les protocoles qui établissement des connexions d’une application privée vers un client. Par exemple, le mode actif FTP n’est pas pris en charge.
Non. L’éditeur effectue l’épinglage SSL pour le processus d’enregistrement et l’authentification du certificat côté serveur par rapport à un certificat spécifique.
Dans ce cas, s’il existe un proxy qui met fin à la connexion TLS, la destination doit être sur liste blanche/contournée (*.newedge.io).
L’hôte de l’application privée voit la connexion comme provenant de l’adresse IP de l’éditeur qui s’y connecte. Il n’existe aucune plage. En fonction du nombre d’éditeurs utilisés pour se connecter à l’hôte de l’application privée, placez sur liste blanche chacune de ces adresses IP.
S'il est déployé dans Amazon Web Services, attribuez l'AMI (Amazon Machine Image) à un fichier KeyPair.pem que vous possédez déjà (ou générez un nouveau KeyPair.pem) au cours du provisionnement de l'éditeur.
Depuis un client SSH, saisissez ssh -i [KEYPAIR.PEM] centos@[PUBLISHER], puis appuyez sur Entrée.
[KEYPAIR.PEM]= chemin d'accès à votre fichierKeyPair.pem[PUBLISHER]= adresse IP externe de l'éditeur- Le nom d’utilisateur par défaut de l’éditeur est :
centos
- Le nom d’utilisateur par défaut pour les API Amazon Web Service est le suivant :
ec2-user
Après avoir réussi à utiliser SSH pour vous connecter à l’éditeur, vous êtes redirigé vers un menu d’interface de ligne de commande (CLI) interactif. Vous pouvez choisir l’option 3 pour être redirigé vers une CLI UNIX normale pour un dépannage supplémentaire. Pour plus d’informations, consultez la section Quelles sont les bonnes méthodes de dépannage des problèmes d’accessibilité à une application/un service privé derrière un éditeur ? (en anglais).
- Cliquez avec le bouton droit de la souris sur le menu Démarrer de Windows, puis cliquez sur Exécuter.
- Dans l’interface d’exécution, saisissez
cmd, puis appuyez sur OK.
- Dans l'invite de commandes, saisissez
ssh centos@[publisher], puis appuyez sur Entrée.
- [publisher] = l’adresse IP externe de l’éditeur
- Les informations d’identification par défaut pour l’éditeur sont les suivantes :
- Nom d’utilisateur :
centos - Mot de passe :
centos
- Nom d’utilisateur :
- Le mot de passe doit être modifié après la première connexion.
Les éditeurs fonctionnent en mode actif/passif. Tout le trafic est transmis à un premier éditeur s’il est opérationnel (connecté). S’il tombe en panne, nous basculons vers un éditeur secondaire.
La première option consiste à utiliser l’utilitaire de dépannage. Cliquez sur Utilitaire de dépannage à partir de la page des applications privées.
Sélectionnez l'application privée et l'appareil auxquels vous tentez d'accéder, puis cliquez sur Dépanner.
L’utilitaire de dépannage des problèmes restitue la liste des contrôles effectués, les problèmes susceptibles d’affecter votre configuration, ainsi que les solutions.
Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.