Netskope Private AccessのパブリッシャーをAWSに作成してみた

こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です。

はじめに

ネクストモードではSaaSやWebへのアクセスの際にNetskopeを経由する構成を取り、通信の可視化や制御を行っています。

今回はVPNの代替となりうるNetskope Private Access(NPA)をAWSに接続するための第一歩として、AWS上にNPA用の中継サーバーであるNetskope Private Access Publisher（パブリッシャー）を作成してみます。 先日ネクストモードのメンバーが大変ユニークな記事を書いたので、今回は続編の続編として記事を書こうと思います。

Netskopeとは

Netskopeとは、クラウドサービス使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです。

手順

Netskope Private Access用のパブリッシャーの設置手順についてはNetskopeの公式ドキュメント通りに進めれば問題なく簡単に実施できます。

大まかな手順としては下記の通りです。

1. VPCの作成（AWS）
2. パブリッシャー用のEC2作成（AWS）
3. パブリッシャー登録用トークン発行（Netskope）
4. EC2上で登録作業（AWS）

やってみた

VPCの作成

今回はPublicサブネット、Privateサブネットを、将来的にパブリッシャーを冗長化することも見据えてそれぞれ２つ用意しました。作成当初はPublicサブネットにNATGatewayを配置し、Privateサブネットにパブリッシャーを作成しようと考えていましたが、最終的にPublicサブネットにパブリッシャーを作成しました。

理由としてはパブリッシャーはインバウンド通信が必要ないため、Publicサブネットに配置してもセキュリティグループを正しく設定しておけば問題ないということと、インターネットへNPA経由で接続するケースにおいてNATGatewayを利用するとNATGatewayのコストがかかってしまうためです。

パブリッシャー用のEC2作成

次にパブリッシャー用のEC2を作成します。 パブリッシャーはAWS Marketplaceから利用することができ、パブリッシャー自体にはEC2の費用以外にはお金がかかりません。

※Netskope Private Accessのライセンス費用がかかります。

2CPU, 4メモリ、8GBのHDDというインスタンス要件が公式ドキュメントに記載があったので、t3.mediumで作ってみました。

パブリッシャーはインバウンド通信を必要としないためセキュリティグループでインバウンドルールを切ってしまって大丈夫です。インスタンスのメンテナンス時には一次的にインバウンドルールを開けるなりSSMで接続することで対応しましょう。

パブリッシャー登録用トークン発行

パブリッシャー用のEC2を作成したら、Netskopeにパブリッシャーの情報を連携するためにNetskope管理画面で登録用トークンを発行します。

Netskope管理画面からSettings -> Security Cloud Platform -> Publishersに移動し、NEW PUBLISHERをクリックします。

GENERATE TOKENで発行した登録用トークンはEC2上での登録作業で利用するためコピーしておきます。

パブリッシャーの作成が完了するとステータスがNot registeredのパブリッシャーが作成されます。

EC2上で登録作業

最後にEC2にログインし、先程Netskope管理画面で取得した登録用トークンを入力します。

まずはEC2にログインします。AWS Marketplaceで作成するEC2のログインユーザー名はcentosなので注意しましょう。 SSHログインすると下記の画面が表示されます。Registration informationはNot registeredとなっています。

 _       __     __                             __       
| |     / /__  / /________  ____ ___  ___     / /_____  
| | /| / / _ \/ / ___/ __ \/ __ `__ \/ _ \   / __/ __ \ 
| |/ |/ /  __/ / /__/ /_/ / / / / / /  __/  / /_/ /_/ / 
|__/|__/\___/_/\___/\____/_/ /_/ /_/\___/   \__/\____/  
        _   __     __       __                          
       / | / /__  / /______/ /______  ____  ___         
      /  |/ / _ \/ __/ ___/ //_/ __ \/ __ \/ _ \        
     / /|  /  __/ /_(__  ) ,< / /_/ / /_/ /  __/        
    /_/ |_/\___/\__/____/_/|_|\____/ .___/\___/         
                                  /_/                   

Publisher information:
    Version: 1.4.6431

Registration information:
    Not registered.

Network settings:
    Local IP address: 10.0.0.24
    Gateway: 10.0.0.1
    DNS: 10.0.0.2
    EDNS: Enabled for Stitcher connectivity
    Default search domain: ap-northeast-1.compute.internal
    Stitcher IP: Unknown

Syslog settings:
    Disabled

Update status:
    No system updates currently available.
    Publisher update available.

次に先程取得した1. Registerを選択して登録用トークンを入力して、再起動して完了です。

Configuration menu:
1. Register
2. Upgrade
3. Network settings
4. Syslog settings
5. Troubleshooter
6. Log settings
7. Exit
1
Please enter the Netskope Private Access Publisher registration token:
xxxxxxxx

Registering with your Netskope address: xxxxxxx.xxxxxx.npa.goskope.com
Publisher certificate CN: xxxxx
Attempt 1 to register publisher.
Publisher registered successfully.

Verifying connectivity to the Netskope Dataplane...
Connectivity to the Netskope Dataplane was successfully verified.

トークンの入力が完了してNetskope側への登録が完了するとNetskope管理画面上でステータスがConnectedに変わります。

以上でAWS上へのパブリッシャーの設定は完了です。

さいごに

Netskope Private Access用のパブリッシャーの作成方法をご紹介しました。AWS上で作成する場合はAWS MarketplaceでAMIが公開されているため、作成がとても簡単です。

次回はNPA経由でアプリへのアクセス制御についてご紹介できればと思います。是非NPAを活用した脱VPNを検討してみてはいかがでしょうか。