Что такое Netskope Private Access?
Resumen: Netskope Private Access является частью среды облачных вычислений безопасности Netskope и обеспечивает безопасный доступ к частным корпоративным приложениям в гибридной ИТ-инфраструктуре по модели Zero Trust. ...
Síntomas
В этой статье приведено краткое описание функций и характеристик программы Netskope Private Access.
Затронутые продукты:
- Netskope
Затронутые версии:
- Версия 70+
Causa
Неприменимо
Resolución
Netskope Private Access — это современная служба удаленного доступа, которая:
- Поддерживает доступ к приложениям в нескольких сетях как в общедоступном облаке (например, Amazon Web Services/Azure/Google Cloud Platform), так и в центре обработки данных.
- Обеспечивает доступ на уровне приложений по модели Zero Trust, а не доступ к сети с помощью техники бокового смещения.
- Предоставляется как облачный сервис с возможностью масштабирования по всему миру.
Netskope Private Access предоставляет эти преимущества благодаря специальной возможности под названием Service Publishing. Service Publishing предоставляет доступ к корпоративным приложениям на облачной платформе Netskope и через нее, а не на периферии корпоративной сети.
Облачная платформа Netskope становится местоположением в Интернете, через которое осуществляется доступ к корпоративным приложениям. В некотором смысле это делает компоненты доступа демилитаризованной зоны (ДМЗ) внешними. Внешний удаленный доступ таким образом имеет несколько преимуществ по сравнению с традиционными виртуальными частными сетями (VPN) и подходами удаленного доступа на основе прокси-серверов. Общая архитектура и модель предоставления услуг в рамках системы Service Publishing соответствуют тенденциям в области ИТ-инфраструктуры. К ним относятся инфраструктура как услуга, гибридная ИТ-инфраструктура и децентрализованная доставка корпоративных приложений из центра обработки данных, общедоступного облака и ПО как услуги (SaaS).
Netskope Private Access расширяет платформу Netskope для безопасного доступа к SaaS и Интернету. Система включает безопасный доступ к частным приложениям, которые находятся за брандмауэрами предприятия в центре обработки данных и общедоступном облаке.
Ниже приведены распространенные вопросы о Netskope Private Access:
Требования к системе частного доступа Netskope различаются в зависимости от среды развертывания. Для получения дополнительной информации см. статью: Системные требования для издателя Netskope Private Access.
| Компонент | URL-адрес | Порт | Примечания |
|---|---|---|---|
| Клиентские продукты | gateway.npa.goskope.com до февраля 2020 г.: gateway.newedge.io |
TCP 443 (HTTPS) | |
| Издатель | stitcher.npa.goskope.com до февраля 2020 г.: stitcher.newedge.io |
TCP 443 (HTTPS) UDP 53 (DNS) |
При наличии внутреннего сервера DNS в локальной сети не требуется разрешение на исходящий трафик DNS. |
| Клиент и издатель | ns[TENANTID]. [MP-NAME].npa.goskope.com До февраля 2020 г.: ns-[TENANTID].newedge.io |
TCP 443 (HTTPS) | Это требуется выполнить только один раз во время регистрации. Пример URL: переменные ns-1234.us-sv5.npa.goskope.com [MP-NAME]:
|
- [TENANTID] = уникальный идентификатор пользователя для вашей среды
- [MP-NAME] = местоположение плоскости управления Netskope
- Для получения помощи в идентификации [TENANTID] или [MP-NAME] см.: Как получить поддержку для Netskope.
- Порты по умолчанию могут отличаться от портов в вашей среде.
Для подключения пользователей к приложениям и службам администратор закрытого доступа Netskope должен настроить политики частных приложений в пользовательском интерфейсе Netskope в нескольких местах. Здесь приведены параметры конфигурации и сведения об известных типах приложений и служб.
| Приложение | Протокол и порт | Факторы |
|---|---|---|
| Веб-трафик | TCP: 80, 443 (пользовательские порты: 8080 и т. д.) UDP: 80, 443 |
Google Chrome использует протокол QUIC (HTTP/S через UDP) для некоторых веб-приложений. Дублирование портов браузера для TCP и UDP может повысить производительность. |
| SSH | TCP: 22 | |
| Удаленный рабочий стол (RDP) | TCP: 3389 « Протокол UDP: 3389 |
Некоторые клиентские приложения RDP Windows (например, более новые версии Windows 10) используют порт UDP:3389 для подключения к удаленному рабочему столу. |
| Windows SQL Server | TCP: 1433, 1434 «Протокол UDP: 1434 |
Порт по умолчанию для Windows SQL Server — 1433, хотя вы можете изменить его в своих средах. Для получения дополнительной информации см. статью Настройка брандмауэра Windows, чтобы разрешить доступ к SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017). . |
| MySQL | TCP: 3300-3306, 33060 TCP : 33062 (для подключений, предназначенных для администратора) |
Для общих сценариев использования подключения MySQL требуется только порт 3306, но некоторые пользователи могут воспользоваться дополнительными портами функций MySQL. Netskope рекомендует использовать диапазон портов для частных приложений базы данных MySQL. MySQL блокирует подключения от издателя Netskope Private Access, так как система расценивает проверку доступности как потенциальную атаку. Использование диапазона в конфигурации портов приводит к тому, что издатель Netskope Private Access выполняет проверку доступности только на первом порте диапазона. Это не позволяет MySQL видеть этот трафик и избегать блокировки портов. Для получения дополнительной информации см. справочные таблицы портов MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html). |
Да. Netskope Private Access может туннелировать приложения за пределами этого списка. Netskope Private Access поддерживает протоколы TCP и UDP, а также все связанные порты с одним важным исключением: Netskope не туннелирует большинство DNS-трафика, но поддерживает туннелирование поиска DNS-служб (SRV) через порт 53. Это необходимо для обнаружения служб, которое используется в различных сценариях Windows Active Directory, связанных с LDAP, Kerberos и др.
Интервал опроса составляет около одной минуты.
Издатель Netskope Private Access пытается подключиться к настроенному порту в частном приложении, чтобы проверить, доступно ли частное приложение.
Важные факторы, которые необходимо учитывать:
- Издатель лучше всего работает при определении личных приложений по имени хоста (например, jira.globex.io) и порту (например, 8080).
- Если приложение указано с несколькими портами или диапазоном портов, издатель будет использовать только первый порт из списка или диапазона для проверки доступности.
- Издатель не может проверить доступность для частных приложений, которые определены с помощью подстановочного знака (*.globex.io) или блока CIDR (10.0.1.0/24). Кроме того, он не проверяет доступность приложений с определенными диапазонами портов (3305–3306).
Если регистрация не удалась (например, из-за пропуска цифры при вводе регистрационного кода), можно выполнить SSH-соединение с издателем и предоставить новый регистрационный токен.
Если регистрация прошла успешно, но вы решили зарегистрировать издателя с другим токеном, такой подход не поддерживается и не рекомендуется. В этом сценарии переустановите издателя.
Нет. Netskope Private Access не туннелирует ICMP, только TCP и UDP. Для проверки сетевых подключений нельзя запустить команду ping или трассировку через Netskope Private Access.
Нет. Netskope Private Access не поддерживает протоколы, которые устанавливают соединения между частным приложением и клиентом. Например, активный режим FTP не поддерживается.
Нет. Издатель выполняет привязку SSL для процесса регистрации и проверки подлинности сертификата на стороне сервера для конкретного сертификата.
В случае если доступен какой-либо прокси, который прерывает TLS-соединение, необходимо, чтобы адресат был добавлен в список разрешенных или чтобы его можно было обойти (*.needge.io).
Хост закрытого приложения видит соединение как исходящее от IP-адреса издателя, который к нему подключается. Диапазон отсутствует. В зависимости от количества издателей, используемых для подключения к хосту частных приложений, внесите в список разрешенных все подобные IP-адреса.
При развертывании в Amazon Web Services назначьте файл KeyPair.pem для образа Amazon Machine Image (AMI), который уже имеется (или создайте новый файл KeyPair.pem) во время подготовки издателя.
В клиенте SSH введите ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] и нажмите клавишу Enter.
[KEYPAIR.PEM]= путь к файлуKeyPair.pem[PUBLISHER]= внешний IP-адрес издателя- Имя пользователя издателя по умолчанию:
centos
- Имя пользователя по умолчанию для AMI в рамках Amazon Web Services:
ec2-user
После успешного подключения по SSH к издателю вы попадете в интерактивное меню интерфейса командной строки (CLI). Можно выбрать вариант 3, после чего вы перейдете в обычный интерфейс командной строки UNIX для дополнительного поиска и устранения неисправностей. Для получения дополнительной информации см. статью Какой способ устранения проблем с доступностью для частного приложения/службы издателя является предпочтительным?
- Нажмите правой кнопкой мыши меню Windows «Пуск», затем нажмите Выполнить.
- В интерфейсе пользователя «Выполнить» введите
cmdи нажмите OK.
- В командной строке введите
ssh centos@[publisher]и нажмите клавишу Enter.
- [publisher] = внешний IP-адрес издателя
- Учетные данные издателя по умолчанию:
- Имя пользователя:
centos - Пароль:
centos
- Имя пользователя:
- Пароль необходимо изменить после первого входа в систему.
Издатели работают в режиме «активный-пассивный». Весь трафик направляется первому издателю, если он работает (подключен). Если он не работает, мы переключаем его на вторичного издателя.
Наиболее предпочтительным вариантом является использование средства устранения неполадок. Нажмите Средство устранения неполадок на странице «Частные приложения».
Выберите частное приложение и устройство, к которым вы пытаетесь получить доступ, затем нажмите Устранение неполадок.
Средство устранения неполадок отображает список выполненных проверок и проблем, которые могут повлиять на конфигурацию, а также их решений.
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.