Che cos'è Netskope Private Access?
Resumen: Netskope Private Access fa parte di Netskope Security Cloud e consente l'accesso protetto Zero Trust alle applicazioni private di livello enterprise in un ambiente IT ibrido.
Síntomas
Questa guida fornisce una breve descrizione delle funzioni e delle caratteristiche di Netskope Private Access.
Prodotti interessati:
- Netskope
Versioni interessate:
- A partire dalla versione 70
Causa
Non applicabile
Resolución
Netskope Private Access è un servizio di accesso remoto moderno che:
- Consente l'accesso alle applicazioni in più reti, nel public cloud (ad esempio, Amazon Web Services, Azure, Google Cloud Platform) e nel data center.
- Fornisce l'accesso Zero Trust a livello di applicazione anziché l'accesso alla rete con spostamento laterale.
- Viene fornito come servizio cloud con un ingombro globale scalabile.
Netskope Private Access offre questi vantaggi tramite una funzionalità denominata Service Publishing. Service Publishing rende disponibili le applicazioni di livello enterprise nella piattaforma cloud Netskope anziché al perimetro della rete aziendale.
La piattaforma cloud Netskope rappresenta la posizione su Internet tramite cui si accede alle applicazioni di livello enterprise. In un certo senso, esternalizza i componenti di accesso della rete perimetrale. L'esternalizzazione dell'accesso remoto in questo modo offre numerosi vantaggi rispetto alle tradizionali reti VPN e agli approcci di accesso remoto basato su proxy. L'architettura generale di Service Publishing e il modello Delivery-as-a-Service sono coerenti con le tendenze IT. Queste includono Infrastructure-as-a-Service, Hybrid IT e la distribuzione decentralizzata di applicazioni enterprise dal data center, dal public cloud e dal Software-as-a-Service (SaaS).
Netskope Private Access estende la piattaforma di Netskope per l'accesso protetto a SaaS e web, incluso l'accesso protetto alle applicazioni private che risiedono dietro i firewall di un'azienda nel data center e nel public cloud.
Di seguito sono riportate le domande frequenti su Netskope Private Access:
I requisiti di sistema per Netskope Private Access differiscono tra gli ambienti di implementazione. Per ulteriori informazioni, fare riferimento a: Requisiti di sistema per un Publisher di Netskope Private Access.
| Componente | URL | Porta | Note |
|---|---|---|---|
| Client | gateway.npa.goskope.com prima di febbraio 2020: gateway.newedge.io |
TCP 443 (HTTPS) | |
| Autore | stitcher.npa.goskope.com prima di febbraio 2020: stitcher.newedge.io |
TCP 443 (HTTPS) UDP 53 (DNS) |
DNS non deve essere consentito in uscita se è presente un server DNS di rete locale a livello interno. |
| Client e Publisher | ns[TENANTID]. [MP-NAME].npa.goskope.com Prima di febbraio 2020: ns-[TENANTID].newedge.io |
TCP 443 (HTTPS) | Questa operazione è necessaria solo una volta durante la registrazione. URL di esempio: ns-1234.us-sv5.npa.goskope.com variabili [MP-NAME]:
|
- [TENANTID] = identificazione del tenant univoca per l'ambiente
- [MP-NAME] = posizione del piano di gestione Netskope
- Per assistenza nell'identificazione di [TENANTID] o [MP-NAME], consultare l'articolo: Come ottenere il supporto per Netskope.
- Le porte predefinite potrebbero essere diverse da quelle dell'ambiente in uso.
Per connettere utenti con applicazioni e servizi, un amministratore di Netskope Private Access deve configurare criteri app privati all'interno dell'interfaccia utente di Netskope in alcuni punti. Di seguito sono riportate le opzioni di configurazione e i dettagli per i tipi di applicazione e servizi noti.
| Applicazione | Protocollo e porta | Fattori |
|---|---|---|
| Web Traffic | TCP: 80, 443 (porte personalizzate: 8080, ecc.) UDP: 80, 443 |
Google Chrome utilizza il protocollo QUIC (HTTP/S over UDP) per alcune applicazioni web. La duplicazione delle porte di navigazione web per TCP e UDP può fornire un miglioramento delle prestazioni. |
| SSH | TCP: 22 | |
| Desktop remoto (RDP) | TCP: 3389 UDP: 3389 |
Alcune applicazioni client Windows Remote Desktop Protocol (RDP) (come le versioni più recenti di Windows 10) preferiscono utilizzare UDP:3389 per eseguire la connettività a Desktop remoto. |
| Windows SQL Server | TCP: 1433, 1434 UDP: 1434 |
La porta predefinita per Windows SQL Server è 1433, ma può essere personalizzata negli ambienti. Per ulteriori informazioni, consultare Configurare Windows Firewall per consentire l'accesso a SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017) . |
| MySQL | TCP: 3300-3306, 33060 TCP: 33062 (per le connessioni specifiche dell'amministratore) |
Per i casi d'uso generici di connessione a MySQL, è richiesta solo la porta 3306, ma alcuni utenti possono sfruttare le porte aggiuntive di MySQL. Netskope consiglia di utilizzare un intervallo di porte per le applicazioni private del database MySQL. MySQL blocca le connessioni dal Publisher di Netskope Private Access perché rileva il test di raggiungibilità come potenziale attacco. Un intervallo nella configurazione delle porte attiva un test di raggiungibilità nel Publisher di Netskope Private Access solo sulla prima porta nell'intervallo. Ciò impedisce a MySQL di visualizzare questo traffico e di evitare il blocco delle porte. Per ulteriori informazioni, fare riferimento a Tabelle di riferimento della porta MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html) . |
Sì. Netskope Private Access può effettuare il tunneling di applicazioni al di fuori di quelle nell'elenco. Netskope Private Access supporta entrambi i protocolli TCP e UDP e tutte le porte associate, con un'importante eccezione: Netskope non effettua il tunneling di gran parte del traffico DNS, ma supporta il tunneling delle ricerche dei servizi (SRV) DNS sulla porta 53. Questa operazione è necessaria per l'individuazione dei servizi, utilizzata in vari scenari Active Directory di Windows che riguardano LDAP, Kerberos e altro ancora.
L'intervallo di polling è di circa un minuto.
Il Publisher di Netskope Private Access tenta di connettersi a una porta configurata su un'app privata per verificare se è raggiungibile.
Fattori importanti da prendere in considerazione:
- Il Publisher funziona in modo ottimale quando si definiscono app private in base al nome host (ad esempio, jira.globex.io) e alla porta (ad esempio, 8080).
- Quando un'app viene specificata con più porte o con un intervallo di porte, il Publisher utilizza solo la prima porta dell'elenco o dell'intervallo per verificare la disponibilità.
- Il Publisher non è in grado di verificare la raggiungibilità delle applicazioni private definite con un carattere jolly (*.globex.io) o un blocco CIDR (10.0.1.0/24). Inoltre, non verifica la raggiungibilità delle applicazioni con intervalli di porte definiti (3305-3306).
Se la registrazione non è riuscita (ad esempio, perché non è stata inserita una cifra durante l'immissione del codice di registrazione), è possibile connettersi tramite SSH al Publisher e fornire un nuovo token di registrazione.
Se la registrazione è riuscita, ma si decide di registrare il Publisher con un altro token, questa operazione non è supportata e non è consigliata. In casi del genere, reinstallare il Publisher.
No. Netskope Private Access non effettua il tunneling di ICMP, ma solo di TCP e UDP. Non è possibile eseguire il ping o il traceroute su Netskope Private Access per testare le connessioni di rete.
No. L'accesso privato Netskope non supporta protocolli che stabiliscono connessioni da un'applicazione privata a un client. Ad esempio, la modalità FTP Active non è supportata.
No. Il Publisher esegue l'aggiunta SSL per il processo di registrazione e l'autenticazione sul lato server rispetto a uno specifico certificato.
In questo caso, se esiste un proxy che termina la connessione TLS, la destinazione deve essere consentita/ignorata (*.newedge.io).
L'host delle app private visualizza la connessione come originata dall'indirizzo IP del Publisher che effettua la connessione. Non esiste un intervallo. A seconda del numero di Publisher utilizzati per connettersi all'host di app private, sarà necessario autorizzare tutti gli indirizzi IP.
In caso di implementazione in Amazon Web Services, all'immagine AMI (Amazon Machine Image) viene assegnato un file KeyPair.pem già disponibile (o un nuovo file KeyPair.pem da generare) durante il provisioning del Publisher.
Da un client SSH, digitare ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] e premere Invio.
[KEYPAIR.PEM]= percorso del fileKeyPair.pem[PUBLISHER]= indirizzo IP esterno del Publisher.- Il nome utente predefinito del Publisher è:
centos
- Il nome utente predefinito per le AMI Amazon Web Services è:
ec2-user
Dopo aver utilizzato correttamente SSH per connettersi al Publisher, viene visualizzato un menu dell'interfaccia della riga di comando (CLI). È possibile scegliere l'opzione 3 per accedere a una CLI UNIX normale per la risoluzione avanzata dei problemi. Per ulteriori informazioni, fare riferimento a Qual è un metodo valido per la risoluzione dei problemi di accessibilità per un'app privata o un servizio dietro un Publisher?.
- Cliccare con il pulsante destro del mouse sul menu Start di Windows e scegliere Esegui.
- Nell'interfaccia utente Esegui digitare
cmd, quindi premere OK.
- Nel prompt dei comandi, digitare
ssh centos@[publisher]e premere Invio.
- [publisher] = indirizzo IP esterno del Publisher
- Le credenziali predefinite del Publisher sono:
- Nome utente:
centos - Password:
centos
- Nome utente:
- La password deve essere modificata dopo il primo accesso.
I Publisher operano in modalità attivo/passivo. Tutto il traffico passa a un primo Publisher se è operativo (connesso). Se è inattivo, passa a un Publisher secondario.
La prima opzione consiste nell'utilizzare la risoluzione dei problemi. Cliccare su Troubleshooter dalla pagina Private Apps.
Scegliere l'applicazione privata e il dispositivo a cui si sta tentando di accedere, quindi cliccare su Troubleshoot.
Troubleshooter visualizza l'elenco dei controlli eseguiti, i problemi che possono influire sulla configurazione e le soluzioni.
Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.