Netskope Private Accessとは何ですか？

Netskope Private Accessのシステム要件は、導入環境によって異なります。詳細については、以下を参照してください。「Netskope Private Accessパブリッシャーのシステム要件」を参照してください。

ユーザーをアプリケーションおよびサービスに接続するには、Netskope Private Access管理者がいくつかの場所でNetskope UIでプライベート アプリ ポリシーを設定する必要があります。ここでは、既知のアプリケーションおよびサービスのタイプの構成オプションと詳細について説明します。

アプリケーション	プロトコルとポート	要因
Webトラフィック	TCP：80、443（カスタム ポート：8080など) UDP: 80、443	Google Chromeは、一部のWebアプリケーションに対して、QUICプロトコル（HTTP/S over UDP）を使用します。TCPとUDPの両方にWeb参照ポートを複製することで、パフォーマンスを向上させることができます。
SSH	TCP：22
リモート デスクトップ(RDP)	TCP：3389 UDP: 3389	一部のWindowsリモート デスクトップ プロトコル(RDP)クライアント アプリ（Windows 10用の新しいバージョンなど）では、リモート デスクトップ接続を実行するためにUDP:3389の使用を推奨するようになりました。
Windows SQL Server	TCP：1433、1434 UDP: 1434	Windows SQL Serverのデフォルト ポートは1433ですが、環境でカスタマイズすることができます。詳細については、「 SQL Serverアクセスを許可するためのWindowsファイアウォールの構成(https://docs.microsoft.com/sql/sql-server/install/configure-the-windows-firewall-to-allow-sql-server-access?view=sql-server-2017)」を参照してください。
MySQL	TCP：3300-3306、33060 TCP: 33062（管理者専用の接続用）	一般的なMySQL接続の使用例では、ポート3306のみが必要ですが、ユーザーによっては追加のMySQL機能ポートを利用できる場合があります。 NetskopeではMySQLデータベースのプライベート アプリにポート範囲を使用することを推奨します。MySQLは、潜在的な攻撃としての到達可能性テストを検出するため、Netskope Private Accessパブリッシャーからの接続をブロックします。ポート構成内の範囲を使用すると、Netskope Private Accessパブリッシャーは、範囲内の最初のポートでのみ到達可能性チェックを実行します。これにより、MySQLがこのトラフィックを検出しないようにし、ポートのブロックを回避できます。詳細については、「 MySQLポート リファレンス テーブル(https://dev.mysql.com/doc/mysql-port-reference/en/mysql-ports-reference-tables.html)」を参照してください。

はい。Netskope Private Accessは、そのリスト外のアプリケーションをトンネルすることができます。Netskope Private Accessでは、TCPとUDPの両方のプロトコルと、関連するすべてのポートがサポートされていますが、例外として、Netskopeは、ほとんどのDNSトラフィックをトンネリングしないことに注意してください。ただし、デル・テクノロジーズはポート53経由のDNSサービス（SRV）検索のトンネリングをサポートしています。これは、サービスの検出に必要で、LDAP、Kerberosなどを含むさまざまなWindows Active Directoryのシナリオで使用されます。

ポーリング間隔は約1分です。

Netskope Private Accessパブリッシャーは、プライベート アプリが到達可能かどうかを確認するために、プライベート アプリで設定されたポートへの接続を試みます。

考慮すべき重要な要素は次のとおりです。

• パブリッシャーは、ホスト名（例：jira.globex.io）とポート（例：8080）を使用してプライベート アプリを定義する場合に最もよく機能します。
• アプリに複数のポートまたはポート範囲を指定した場合、パブリッシャーは、リストまたは範囲の最初のポートを使用して、可用性を確認します。
• パブリッシャーは、ワイルドカード（* globex.io）またはCIDRブロック（10.0.1.0/24）を使用して定義されているプライベート アプリの到達可能性を確認できません。また、ポート範囲（3305～3306）を指定したアプリの到達可能性も確認しません。

登録できなかった場合（登録コードの入力中に数字が欠落していたなどの原因で）は、パブリッシャーにSSHでアクセスし、新しい登録トークンを入力します。

登録した後でパブリッシャーを別のトークンで登録することはサポートされておらず、推奨されません。このシナリオでは、パブリッシャーを再インストールします。

できません。Netskope Private AccessはICMPではなく、TCPとUDPのみでトンネリングします。Netskope Private Accessを介してpingまたはtracerouteを実行して、ネットワーク接続をテストすることはできません。

していません。Netskope Private Accessは、プライベート アプリからクライアントに対する接続を確立するプロトコルをサポートしていません。たとえば、FTPアクティブ モードはサポートされていません。

できません。パブリッシャーは、登録プロセスでSSLをピン留めし、特定の証明書に対するサーバー側の証明書認証を行います。

この場合、TLS接続を終端するプロキシがある場合は、宛先を許可リストに登録/バイパスする必要があります（*.newedge.io）。

プライベート アプリ ホストは、接続されているパブリッシャーのIPアドレスから発信されたものとして接続を認識します。範囲はありません。プライベート アプリ ホストに接続するために使用されるパブリッシャーの数に応じて、これらのIPアドレスをそれぞれ許可リストに登録します。

Amazon Web Servicesに導入されている場合は、既存のKeyPair.pem（または新しく生成したKeyPair.pem）をパブリッシャーのプロビジョニング中にAmazonマシン イメージ(AMI)に割り当てます。

SSHクライアントから、「ssh -i [KEYPAIR.PEM] centos@[PUBLISHER]」と入力してからEnterを押します。

SSHを使用してパブリッシャーに正常に接続すると、対話形式のコマンド ライン インターフェイス（CLI）メニューに移動します。追加のトラブルシューティングを行うためには、オプション3を選択すると通常のUNIX CLIに移動できます。詳細については、「パブリッシャーの背後にあるプライベート アプリまたはサービスへのアクセスの問題をトラブルシューティングするための適切な方法」を参照してください。

1. Windowsの［スタート］メニューを右クリックして、［ファイル名を指定して実行］をクリックします。

2. ［ファイル名を指定して実行］のUIで、「cmd」と入力し、［OK］を押します。

3. コマンド プロンプトで、「ssh centos@[publisher]」と入力してからEnterを押します。

パブリッシャーは、アクティブ/パッシブ モードで動作します。すべてのトラフィックは最初のパブリッシャー宛となります（機能している/接続されている場合）。最初のパブリッシャーが停止した場合は、2番目のパブリッシャー宛に切り替えます。

最初の最適なオプションは、トラブルシューティング ツールを使用することです。［PRIVATE APP］ページで［TROUBLESHOOTER］をクリックします。

アクセスしようとしているプライベート アプリとデバイスを選択してから、［TROUBLESHOOT］をクリックします。

トラブルシューティング ツールは、実行されたチェック、設定に影響する可能性のある問題、およびソリューションの各リストを表示します。