こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です。
タイトルを考えていたら迷走してなんちゃら構文みたいになりました。
はじめに
ネクストモードではSaaSやWebへのアクセスの際にNetskopeを経由する構成を取り、通信の可視化や制御を行っています。
今回は前回のエントリーで作成したAWS上のNetskope Private Access Publisher(パブリッシャー)から接続するプライベートアプリを作成してアクセス制御をしてみます。
ユースケース
Netskope Private Access(NPA)のユースケースとしては、今までVPNで接続していた社内システムへNetskope経由で接続することや、IP制限が必要な外部システムへアクセスすることが考えられます。
外部システムへのIP制限に関する考察は以前ブログにまとめましたので、是非こちらもあわせて御覧ください。
SaaSやWebと同一のNetskope管理画面で制御と可視化ができるという運用面のメリットだけでなく、パブリッシャーがインバウンド通信を必要としないというセキュリティ面のメリットがあります。
手順
大まかな手順としては下記の通りです。パブリッシャーの作成も簡単ですがこちらも簡単です!
- プライベートアプリの作成(Netskope)
- アクセス制御用ポリシーの設定(Netskope)
やってみた
今回は外部システムへのアクセスにIP制限が必要なケースを想定して試してみました。
プライベートアプリの作成
Netskope管理画面からSettings
-> Security Cloud Platform
-> App Definition
-> PRIVATE APPS
からNEW PRIVATE APP
でアプリを作成します。
今回は自身のIPアドレスを確認するときに利用しているCMANへのアクセスを制御してみます。
- APPLICATION NAME:任意
- HOST:ホストドメイン or IPアドレス
- PROTOCOL & PORT:特定のポート or ポート範囲
- PUBLISHER:作成したパブリッシャー(冗長化したい場合は複数選択)
アクセス制御用ポリシーの設定
次にNetskope管理画面のPolicies
-> Real-time Protection
からNEW POLICY
をクリックしてNPA経由のプライベートアプリへのアクセス制御ポリシーを作成します。
- Source:ユーザー or OU or グループ
- Destination:作成したプライベートアプリ
- Profile & Actions:Allow or Block
ユーザーやグループ単位での細かい制御ができるのがとても便利です。
以上で設定は完了です。
接続テスト
まずは制御ポリシーを有効化していない状態でCMANにアクセスしてグローバルIPアドレスを確認してみます。この場合はNetskopeを経由しているため、NetskopeのPoPのIPアドレスが表示されます。
次に制御ポリシーを有効化した状態でCMANにアクセスしてグローバルIPアドレスを確認してみます。するとパブリッシャーに割り当てた固定IPアドレスでインターネットに抜けるため、パブリッシャーのグローバルIPアドレスが表示されます。
※パブリッシャーからインターネットに抜ける設定はAWS上のルーティングテーブルで設定しており、パブリッシャーに割り当てた固定IPが接続元となります。
Netskope管理画面からの見え方
Netskope管理画面ではSkope IT
-> Network Events
で通信イベントを確認できます。
SaaS、Webのアクセスと同様に「いつ」「だれが」「どこに」アクセスしたのか可視化できています。
トラブルシューティング
NPA経由での接続がうまくいかない場合はNetskope管理画面からトラブルシューティングが可能です。
プライベートアプリを作成した画面上でTROUBLESHOOTER
をクリックします。
正しく接続できないプライベートアプリと接続できないユーザー/デバイスを選択してTROUBLESHOOT
をクリックします。
すると、どこでうまく行っていないのか確認することができます。今回は下記がトラブルシューティングで判明しました。
- アクセス制御ポリシーが無い(ポリシーを無効化してる
- パブリッシャーがつながっていない
- パブリッシャーのversionが古い
さいごに
Netskope Private Accessにプライベートアプリを登録することでNPA経由で接続する方法をご紹介しました。 ご紹介した社外システムへのIP制限だけでなく、AWSやデータセンタ上に構築している社内システムへのアクセスなど幅広く活用できるかと思います。