什麼是 Netskope Private Access?
Resumen: Netskope Private Access 是 Netskope 安全性雲端的一部分,可為混合式 IT 內的私有企業應用程式啟用零信任安全存取。
Síntomas
本指南提供 Netskope Private Access 特色與功能的簡短說明。
受影響的產品:
- Netskope
受影響的版本:
- 版本 70+
Causa
不適用
Resolución
Netskope Private Access 是一種現代化的遠端存取服務,可讓您:
- 為位於公有雲端 (例如 Amazon Web Services、Azure、Google Cloud Platform) 和資料中心等多個網路的應用程式扇出存取權限。
- 提供零信任應用程式層級存取,而非透過橫向移動的網路存取。
- 以雲端服務的形式提供,並可在全球範圍擴充。
Netskope Private Access 透過名為 Service Publishing 的功能提供這些優勢。Service Publishing 可讓企業應用程式透過 Netskope 雲端平台提供,而非商業網路邊緣。
Netskope 雲端平台會成為在網際網路中存取企業應用程式的位置。在某種意義上,這會將 demilitarized zone (DMZ) 的存取元件外部化。相較於傳統虛擬私人網路 (VPN) 和代理式遠端存取方法相比,透過這種方式將遠端存取外部化能提供多項優勢。Service Publishing 的整體架構和交付即服務模式與 IT 趨勢一致。其中包括基礎結構即服務、混合式 IT,以及從資料中心、公有雲端和軟體即服務 (SaaS) 分散交付企業應用程式。
Netskope Private Access 可延伸 Netskope 平台,以安全存取 SaaS 和 Web。這包括安全存取位於資料中心企業防火牆和公有雲端後的私人應用程式。
以下為 Netskope Private Access 的常見問題:
在不同的部署環境中,Netskope Private Access 的系統需求有所不同。如需詳細資訊,請參閱:Netskope Private Access Publisher 的系統需求。
| 元件 | URL | 連接埠 | 註 |
|---|---|---|---|
| 用戶端 | gateway.npa.goskope.com 2020 年 2 月之前:gateway.newedge.io |
TCP 443 (HTTPS) | |
| Publisher | stitcher.npa.goskope.com 2020 年 2 月之前:stitcher.newedge.io |
TCP 443 (HTTPS) UDP 53 (DNS) |
如果內部具有本機網路 DNS 伺服器,則不需要允許 DNS 連出。 |
| Client 和 publisher | ns [TENANTID]。[MP-NAME].npa.goskope.com 在 2020 年 2 月之前:ns-[TENANTID].newedge.io |
TCP 443 (HTTPS) | 只有在註冊期間才需要一次。 URL 範例:ns-1234.us-sv5.npa.goskope.com [MP-NAME] 變數:
|
- [TENANTID] = 您環境的租戶唯一識別碼
- [MP-NAME] = Netskope 控制面板位置
- 如需識別 [TENANTID] 或 [MP-NAME] 的協助,請參閱:如何取得 Netskope 的支援。
- 預設連接埠可能與環境中的連接埠不同。
若要將使用者連線至應用程式和服務,Netskope Private Access 的系統管理員必須在 Netskope UI 的幾個位置中設定私人應用程式原則。以下是已知應用程式和服務類型的組態選項和詳細資料。
| 應用程式 | 通訊協定和連接埠 | 因素 |
|---|---|---|
| Web 流量 | TCP:80,443 (自訂連接埠:8080,依此類推) UDP:80,443 |
Google Chrome 針對某些 Web 應用程式使用 QUIC 通訊協定 (HTTP/S over UDP)。為 TCP 和 UDP 複製 Web 流覽連接埠可改善效能。 |
| SSH | TCP:22 | |
| 遠端桌面 (RDP) | TCP:3389 UDP:3389 |
某些 Windows 遠端桌面通訊協定 (RDP) 用戶端應用程式 (例如較新的 Windows 10 版本) 偏好使用 UDP:3389 執行遠端桌面連線。 |
| Windows SQL Server | TCP:1433、1434 UDP:1434 |
Windows SQL Server 的預設連接埠為 1433,不過您可以在您的環境中自訂。如需更多資訊,請參閱「設定 Windows 防火牆」以允許 SQL Server 存取 (HTTPs://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017) 。 |
| MySQL | TCP:3300-3306、33060 TCP:33062 (用於系統管理員專用連線) |
一般的 MySQL 連線使用案例只需要連接埠 3306,但有些使用者可能可透過額外的 MySQL 功能連接埠取得優勢。 Netskope 建議使用適合 MySQL 資料庫私人應用程式的連接埠範圍。MySQL 會封鎖來自 Netskope Private Access Publisher 的連線,因為它會將其連線能力測試偵測為潛在攻擊。使用連接埠組態範圍時,Netskope Private Access Publisher 只會在範圍內的第一個連接埠上執行連線能力檢查。這可防止 MySQL 偵測此流量,並避免封鎖連接埠。如需詳細資訊,請參閱 MySQL 埠參考表 (HTTPs://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html) 。 |
是。Netskope Private Access 可讓應用程式使用該清單之外的通道。Netskope Private Access 同時支援 TCP 和 UDP 通訊協定以及所有相關聯的連接埠,但有一個值得注意的例外狀況:Netskope 不會為大部分 DNS 流量使用通道,但我們確實支援透過連接埠 53 為 DNS 服務 (SRV) 查詢使用通道。這是服務探索的必要服務,用於多種與 LDAP 和 Kerberos 相關的 Windows Active Directory 案例。
輪詢間隔約為一分鐘。
Netskope Private Access Publisher 會嘗試連線至私人應用程式上所設定的連接埠,以檢查是否可連線至私人應用程式。
需要考慮的重要因素:
- 當您根據主機名稱 (例如 jira.globex.io) 和連接埠 (例如 8080) 定義私人應用程式時,Publisher 能提供最佳效果。
- 當應用程式指定多個連接埠或連接埠範圍時,Publisher 會使用清單或範圍中的第一個連接埠來檢查可用性。
- Publisher 無法檢查使用萬用字元 (*.globex.io) 或 CIDR 區塊 (10.0.1.0/24) 定義的私人應用程式連線能力。它也不會檢查已定義連接埠範圍 (3305-3306) 的應用程式連線能力。
如果註冊失敗 (例如在輸入註冊代碼時遺失一個數位),請 SSH 至 Publisher 內,並提供新的註冊權杖。
如果註冊成功,但您決定使用另一個權杖來註冊 Publisher,我們不支援且不建議進行此操作。在這種情況下,請重新安裝 Publisher。
不。Netskope Private Access 不會為 ICMP 使用通道,僅會針對 TCP 和 UDP。您無法透過 Netskope Private Access 執行 ping 或 traceroute 來測試網路連線。
不。Netskope Private Access 不支援從私人應用程式建立至 Client 的通訊協定。舉例來說,不支援 FTP 主動模式。
不。Publisher 會針對註冊程序進行 SSL 定位,並針對特定憑證進行伺服器端憑證認證。
在這種情況下,如果有任何代理終止 TLS 連線,目的地必須加入允許清單/略過 (*.newedge.io)。
私人應用程式主機會將連線視為其連接至 Publisher IP 位址的來源。其中沒有範圍。根據用於連線至私人應用程式主機的 Publisher 數量而定,請將每個 IP 位址加入允許清單。
若已部署至 Amazon Web Services 內,請在 Publisher 隨需分配期間指派 Amazon Machine Image (AMI),一個您已經擁有的 KeyPair.pem (或產生新的 KeyPair.pem)。
從 SSH 用戶端中,輸入 ssh -i [KEYPAIR.PEM] centos@[PUBLISHER],然後按下 Enter 鍵。
[KEYPAIR.PEM]= 您KeyPair.pem檔案的路徑[PUBLISHER]= Publisher 的外部 IP 位址- Publisher 的預設使用者名稱為:
centos
- Amazon Web Service AMI 的預設使用者名稱為:
ec2-user
成功使用 SSH 連線至 Publisher 後,您會進入互動式命令行介面 (CLI) 功能表。您可以選擇選項 3 進入一般 UNIX CLI,以進行額外的故障診斷。如需更多資訊,請參閱針對位於 Publisher 之後的私人應用程式/服務存取性問題進行故障診斷的正確方法?
- 以滑鼠右鍵按一下 Windows 開始功能表,然後按一下執行。
- 在「執行」UI 中,輸入
cmd,然後按下確定。
- 在「命令提示字元」中,輸入
ssh centos@[publisher],然後按下 Enter 鍵。
- [publisher] = Publisher 的外部 IP 位址
- Publisher 的預設登入資料為:
- 使用者名稱:
centos - 密碼:
centos
- 使用者名稱:
- 第一次登入後必須變更密碼。
Publisher 以主動/被動模式運作。如果第一個 Publisher 可正常運作 (已連線),則所有流量都會進入其中。如果 Publisher 中斷,我們會切換至次要 Publisher。
最佳選項是使用「Troubleshooter」。在「Private Apps」頁面裡按一下 Troubleshooter。
選擇您嘗試存取的私人應用程式和裝置,然後按一下 Troubleshoot。
「Troubleshooter」會列出執行的檢查、可能會影響組態的問題,以及解決方案。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。