Passa al contenuto principale
  • Effettua gli ordini in modo rapido e semplice
  • Visualizza gli ordini e monitora lo stato della spedizione
  • Crea e accedi a un elenco dei tuoi prodotti

Che cos'è Netskope Private Access?

Riepilogo: Netskope Private Access fa parte di Netskope Security Cloud e consente l'accesso protetto Zero Trust alle applicazioni private di livello enterprise in un ambiente IT ibrido.

Questo articolo si applica a Questo articolo non si applica a Questo articolo non è legato a un prodotto specifico. Non tutte le versioni del prodotto sono identificate in questo articolo.

Sintomi

Questa guida fornisce una breve descrizione delle funzioni e delle caratteristiche di Netskope Private Access.


Prodotti interessati:

  • Netskope

Versioni interessate:

  • A partire dalla versione 70

Causa

Non applicabile

Risoluzione

Netskope Private Access è un servizio di accesso remoto moderno che:

  • Consente l'accesso alle applicazioni in più reti, nel public cloud (ad esempio, Amazon Web Services, Azure, Google Cloud Platform) e nel data center.
  • Fornisce l'accesso Zero Trust a livello di applicazione anziché l'accesso alla rete con spostamento laterale.
  • Viene fornito come servizio cloud con un ingombro globale scalabile.

Netskope Private Access offre questi vantaggi tramite una funzionalità denominata Service Publishing. Service Publishing rende disponibili le applicazioni di livello enterprise nella piattaforma cloud Netskope anziché al perimetro della rete aziendale.

La piattaforma cloud Netskope rappresenta la posizione su Internet tramite cui si accede alle applicazioni di livello enterprise. In un certo senso, esternalizza i componenti di accesso della rete perimetrale. L'esternalizzazione dell'accesso remoto in questo modo offre numerosi vantaggi rispetto alle tradizionali reti VPN e agli approcci di accesso remoto basato su proxy. L'architettura generale di Service Publishing e il modello Delivery-as-a-Service sono coerenti con le tendenze IT. Queste includono Infrastructure-as-a-Service, Hybrid IT e la distribuzione decentralizzata di applicazioni enterprise dal data center, dal public cloud e dal Software-as-a-Service (SaaS).

Netskope Private Access estende la piattaforma di Netskope per l'accesso protetto a SaaS e web, incluso l'accesso protetto alle applicazioni private che risiedono dietro i firewall di un'azienda nel data center e nel public cloud.

Di seguito sono riportate le domande frequenti su Netskope Private Access:

Nota: per alcune domande è possibile che si venga reindirizzati a una pagina diversa a causa della complessità e della lunghezza della risposta.

I requisiti di sistema per Netskope Private Access differiscono tra gli ambienti di implementazione. Per ulteriori informazioni, fare riferimento a: Requisiti di sistema per un Publisher di Netskope Private Access.

Componente URL Porta Note
Client
gateway.npa.goskope.com prima di febbraio 2020: gateway.newedge.io
TCP 443 (HTTPS)  
Autore
stitcher.npa.goskope.com prima di febbraio 2020: stitcher.newedge.io
TCP 443 (HTTPS)
UDP 53 (DNS)
DNS non deve essere consentito in uscita se è presente un server DNS di rete locale a livello interno.
Client e Publisher ns[TENANTID]. [MP-NAME].npa.goskope.com
Prima di febbraio 2020: ns-[TENANTID].newedge.io
 
TCP 443 (HTTPS) Questa operazione è necessaria solo una volta durante la registrazione.
URL di esempio: ns-1234.us-sv5.npa.goskope.com
variabili [MP-NAME]:
  • us-sv5 (SV5)
  • us-sjc1 (SJC1)
  • de-fr4 (FR4)
  • nl-am2 (AM2)

 

Nota:
  • [TENANTID] = identificazione del tenant univoca per l'ambiente
  • [MP-NAME] = posizione del piano di gestione Netskope
  • Per assistenza nell'identificazione di [TENANTID] o [MP-NAME], consultare l'articolo: Come ottenere il supporto per Netskope.
  • Le porte predefinite potrebbero essere diverse da quelle dell'ambiente in uso.

Per connettere utenti con applicazioni e servizi, un amministratore di Netskope Private Access deve configurare criteri app privati all'interno dell'interfaccia utente di Netskope in alcuni punti. Di seguito sono riportate le opzioni di configurazione e i dettagli per i tipi di applicazione e servizi noti.

Applicazione Protocollo e porta Fattori
Web Traffic TCP: 80, 443 (porte personalizzate: 8080, ecc.)
UDP: 80, 443
Google Chrome utilizza il protocollo QUIC (HTTP/S over UDP) per alcune applicazioni web. La duplicazione delle porte di navigazione web per TCP e UDP può fornire un miglioramento delle prestazioni.
SSH  TCP: 22  
Desktop remoto (RDP) TCP: 3389
UDP: 3389
Alcune applicazioni client Windows Remote Desktop Protocol (RDP) (come le versioni più recenti di Windows 10) preferiscono utilizzare UDP:3389 per eseguire la connettività a Desktop remoto.
Windows SQL Server TCP: 1433, 1434
UDP: 1434
La porta predefinita per Windows SQL Server è 1433, ma può essere personalizzata negli ambienti. Per ulteriori informazioni, consultare Configurare Windows Firewall per consentire l'accesso a SQL Server (https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017)Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies..
MySQL TCP: 3300-3306, 33060
TCP: 33062 (per le connessioni specifiche dell'amministratore)
Per i casi d'uso generici di connessione a MySQL, è richiesta solo la porta 3306, ma alcuni utenti possono sfruttare le porte aggiuntive di MySQL.
Netskope consiglia di utilizzare un intervallo di porte per le applicazioni private del database MySQL. MySQL blocca le connessioni dal Publisher di Netskope Private Access perché rileva il test di raggiungibilità come potenziale attacco. Un intervallo nella configurazione delle porte attiva un test di raggiungibilità nel Publisher di Netskope Private Access solo sulla prima porta nell'intervallo. Ciò impedisce a MySQL di visualizzare questo traffico e di evitare il blocco delle porte. Per ulteriori informazioni, fare riferimento a Tabelle di riferimento della porta MySQL (https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html)Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies..
Nota: Le porte predefinite potrebbero essere diverse da quelle dell'ambiente in uso.

Sì. Netskope Private Access può effettuare il tunneling di applicazioni al di fuori di quelle nell'elenco. Netskope Private Access supporta entrambi i protocolli TCP e UDP e tutte le porte associate, con un'importante eccezione: Netskope non effettua il tunneling di gran parte del traffico DNS, ma supporta il tunneling delle ricerche dei servizi (SRV) DNS sulla porta 53. Questa operazione è necessaria per l'individuazione dei servizi, utilizzata in vari scenari Active Directory di Windows che riguardano LDAP, Kerberos e altro ancora.

Nota: talvolta le applicazioni come VoIP possono risultare problematiche, non a causa del tunneling ma della configurazione. Ad esempio, le applicazioni che eseguono l'allocazione di porte dinamiche quando si stabilisce una connessione possono risultare problematiche. Ciò è dovuto al fatto che un amministratore non sa quali porte configurare in anticipo dal lato di servizio dell'applicazione, quindi non è possibile conoscere le porte da specificare.

L'intervallo di polling è di circa un minuto.

Il Publisher di Netskope Private Access tenta di connettersi a una porta configurata su un'app privata per verificare se è raggiungibile.

Fattori importanti da prendere in considerazione:

  • Il Publisher funziona in modo ottimale quando si definiscono app private in base al nome host (ad esempio, jira.globex.io) e alla porta (ad esempio, 8080).
  • Quando un'app viene specificata con più porte o con un intervallo di porte, il Publisher utilizza solo la prima porta dell'elenco o dell'intervallo per verificare la disponibilità.
  • Il Publisher non è in grado di verificare la raggiungibilità delle applicazioni private definite con un carattere jolly (*.globex.io) o un blocco CIDR (10.0.1.0/24). Inoltre, non verifica la raggiungibilità delle applicazioni con intervalli di porte definiti (3305-3306).

Se la registrazione non è riuscita (ad esempio, perché non è stata inserita una cifra durante l'immissione del codice di registrazione), è possibile connettersi tramite SSH al Publisher e fornire un nuovo token di registrazione.

Se la registrazione è riuscita, ma si decide di registrare il Publisher con un altro token, questa operazione non è supportata e non è consigliata. In casi del genere, reinstallare il Publisher.

No. Netskope Private Access non effettua il tunneling di ICMP, ma solo di TCP e UDP. Non è possibile eseguire il ping o il traceroute su Netskope Private Access per testare le connessioni di rete.

No. L'accesso privato Netskope non supporta protocolli che stabiliscono connessioni da un'applicazione privata a un client. Ad esempio, la modalità FTP Active non è supportata.

No. Il Publisher esegue l'aggiunta SSL per il processo di registrazione e l'autenticazione sul lato server rispetto a uno specifico certificato.

In questo caso, se esiste un proxy che termina la connessione TLS, la destinazione deve essere consentita/ignorata (*.newedge.io).

L'host delle app private visualizza la connessione come originata dall'indirizzo IP del Publisher che effettua la connessione. Non esiste un intervallo. A seconda del numero di Publisher utilizzati per connettersi all'host di app private, sarà necessario autorizzare tutti gli indirizzi IP.

In caso di implementazione in Amazon Web Services, all'immagine AMI (Amazon Machine Image) viene assegnato un file KeyPair.pem già disponibile (o un nuovo file KeyPair.pem da generare) durante il provisioning del Publisher.

Da un client SSH, digitare ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] e premere Invio.

Nota:
  • [KEYPAIR.PEM] = percorso del file KeyPair.pem
  • [PUBLISHER] = indirizzo IP esterno del Publisher.
  • Il nome utente predefinito del Publisher è:
    • centos
  • Il nome utente predefinito per le AMI Amazon Web Services è:
    • ec2-user

Dopo aver utilizzato correttamente SSH per connettersi al Publisher, viene visualizzato un menu dell'interfaccia della riga di comando (CLI). È possibile scegliere l'opzione 3 per accedere a una CLI UNIX normale per la risoluzione avanzata dei problemi. Per ulteriori informazioni, fare riferimento a Qual è un metodo valido per la risoluzione dei problemi di accessibilità per un'app privata o un servizio dietro un Publisher?.

Menu SSH di Netskope

  1. Cliccare con il pulsante destro del mouse sul menu Start di Windows e scegliere Esegui.

Run

  1. Nell'interfaccia utente Esegui digitare cmd, quindi premere OK.

Interfaccia utente Esegui

  1. Nel prompt dei comandi, digitare ssh centos@[publisher] e premere Invio.
Nota:
  • [publisher] = indirizzo IP esterno del Publisher
  • Le credenziali predefinite del Publisher sono:
    • Nome utente: centos
    • Password: centos
  • La password deve essere modificata dopo il primo accesso.

I Publisher operano in modalità attivo/passivo. Tutto il traffico passa a un primo Publisher se è operativo (connesso). Se è inattivo, passa a un Publisher secondario.

La prima opzione consiste nell'utilizzare la risoluzione dei problemi. Cliccare su Troubleshooter dalla pagina Private Apps.

Troubleshooter

Scegliere l'applicazione privata e il dispositivo a cui si sta tentando di accedere, quindi cliccare su Troubleshoot.

Risoluzione dei problemi

Troubleshooter visualizza l'elenco dei controlli eseguiti, i problemi che possono influire sulla configurazione e le soluzioni.

Menu Troubleshooter


Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Informazioni aggiuntive

 

Video

 

Prodotti interessati

Netskope
Proprietà dell'articolo
Numero articolo: 000126828
Tipo di articolo: Solution
Ultima modifica: 31 gen 2023
Versione:  14
Trova risposta alle tue domande dagli altri utenti Dell
Support Services
Verifica che il dispositivo sia coperto dai Servizi di supporto.