Netskope Private AccessはNetskopeでプライベートアプリへのアクセスが制御できるのです

Netskope Private Access(NPA)でプライベートアプリへアクセスしてみました。

kusumin

2021.12.08

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、ネクストモード株式会社のSaaSおじさん久住です。

タイトルを考えていたら迷走してなんちゃら構文みたいになりました。

はじめに

ネクストモードではSaaSやWebへのアクセスの際にNetskopeを経由する構成を取り、通信の可視化や制御を行っています。

今回は前回のエントリーで作成したAWS上のNetskope Private Access Publisher(パブリッシャー)から接続するプライベートアプリを作成してアクセス制御をしてみます。

Netskope Private Access(NPA)のユースケースとしては、今までVPNで接続していた社内システムへNetskope経由で接続することや、IP制限が必要な外部システムへアクセスすることが考えられます。

外部システムへのIP制限に関する考察は以前ブログにまとめましたので、是非こちらもあわせて御覧ください。

SaaSやWebと同一のNetskope管理画面で制御と可視化ができるという運用面のメリットだけでなく、パブリッシャーがインバウンド通信を必要としないというセキュリティ面のメリットがあります。

大まかな手順としては下記の通りです。パブリッシャーの作成も簡単ですがこちらも簡単です！

今回は外部システムへのアクセスにIP制限が必要なケースを想定して試してみました。

Netskope管理画面からSettings -> Security Cloud Platform -> App Definition -> PRIVATE APPSからNEW PRIVATE APPでアプリを作成します。

今回は自身のIPアドレスを確認するときに利用しているCMANへのアクセスを制御してみます。

次にNetskope管理画面のPolicies -> Real-time ProtectionからNEW POLICYをクリックしてNPA経由のプライベートアプリへのアクセス制御ポリシーを作成します。

ユーザーやグループ単位での細かい制御ができるのがとても便利です。

以上で設定は完了です。

まずは制御ポリシーを有効化していない状態でCMANにアクセスしてグローバルIPアドレスを確認してみます。この場合はNetskopeを経由しているため、NetskopeのPoPのIPアドレスが表示されます。

次に制御ポリシーを有効化した状態でCMANにアクセスしてグローバルIPアドレスを確認してみます。するとパブリッシャーに割り当てた固定IPアドレスでインターネットに抜けるため、パブリッシャーのグローバルIPアドレスが表示されます。

※パブリッシャーからインターネットに抜ける設定はAWS上のルーティングテーブルで設定しており、パブリッシャーに割り当てた固定IPが接続元となります。

Netskope管理画面ではSkope IT -> Network Eventsで通信イベントを確認できます。

SaaS、Webのアクセスと同様に「いつ」「だれが」「どこに」アクセスしたのか可視化できています。

NPA経由での接続がうまくいかない場合はNetskope管理画面からトラブルシューティングが可能です。

プライベートアプリを作成した画面上でTROUBLESHOOTERをクリックします。

正しく接続できないプライベートアプリと接続できないユーザー/デバイスを選択してTROUBLESHOOTをクリックします。

すると、どこでうまく行っていないのか確認することができます。今回は下記がトラブルシューティングで判明しました。

Netskope Private Accessにプライベートアプリを登録することでNPA経由で接続する方法をご紹介しました。ご紹介した社外システムへのIP制限だけでなく、AWSやデータセンタ上に構築している社内システムへのアクセスなど幅広く活用できるかと思います。