こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です。
はじめに
ネクストモードではSaaSやWebへのアクセスの際にNetskopeを経由する構成を取り、通信の可視化や制御を行っています。
以前Netskope Private Access Publisher(パブリッシャー)をAWS Marketplaceで提供されているAMIを利用して作成する方法をご紹介しました。
今回はAWSに限らず、オンプレミスのデータセンターに接続する場合を想定し、CentOS上にパブリッシャーを作成する方法についてご紹介します。
Netskopeとは
Netskopeとは、クラウドサービス使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです。
構成イメージ
簡略化した構成図ですが、PCからインターネットに抜ける際にNetskopeでWeb/SaaSのアクセスを可視化・制御をしつつ、合わせてオンプレミスの既存社内システムへNPAで接続するイメージとなります。
手順
CentOS上へのパブリッシャーの設置手順についてはNetskopeの公式ドキュメント通りに進めれば問題なく簡単に実施できます。
大まかな手順としては下記の通りです。
- パブリッシャー用のCentOS作成(AWS)
- パブリッシャー登録用トークン発行(Netskope)(前回のエントリーで紹介しているので省略)
- 登録作業(AWS)(前回のエントリーで紹介しているので省略)
パブリッシャー用のCentOS作成
CentOSの作成以外は前回のエントリーと同様なので、パブリッシャー用のCentOSの作成・設定についてご紹介します。今回はAWS上にEC2をCentOSで立てますが、オンプレでも同様の手順となります。
まず、AWS MarketplaceからCentOS 7のAMIを選択し、作成します。
インスタンス要件に沿って2CPU、4メモリ、8GBのHDDのt3.mediumで作成しています。
起動したらSSHで接続し、下記コマンドを実行します。
curl https://s3-us-west-2.amazonaws.com/publisher.netskope.com/latest/generic/bootstrap.sh | sudo bash; sudo su - $USER; exit
インストールと更新に10分ほどかかるので気長に待ちましょう。 完了したら、自動的にNetskopeパブリッシャーの設定画面が有効化されるので画面の指示に従ってCentOSを再起動します。
_ __ __ __
| | / /__ / /________ ____ ___ ___ / /_____
| | /| / / _ \/ / ___/ __ \/ __ `__ \/ _ \ / __/ __ \
| |/ |/ / __/ / /__/ /_/ / / / / / / __/ / /_/ /_/ /
|__/|__/\___/_/\___/\____/_/ /_/ /_/\___/ \__/\____/
_ __ __ __
/ | / /__ / /______/ /______ ____ ___
/ |/ / _ \/ __/ ___/ //_/ __ \/ __ \/ _ \
/ /| / __/ /_(__ ) ,< / /_/ / /_/ / __/
/_/ |_/\___/\__/____/_/|_|\____/ .___/\___/
/_/
Publisher information:
Version: 1.4.6526
Registration information:
Not registered.
Network settings:
Local IP address: 10.0.0.6
Gateway: 10.0.0.1
DNS: 10.0.0.2
EDNS: Enabled for Stitcher connectivity
Default search domain: ap-northeast-1.compute.internal
Stitcher: Unknown
Syslog settings:
Disabled
Update status:
System updates applied - reboot required.
No publisher updates available.
Configuration menu:
1. Register
2. Upgrade
3. Network settings
4. Syslog settings
5. Troubleshooter
6. Log settings
7. Exit
そしてパブリッシャー登録用トークンの発行と、トークンのCentOSへの登録が完了した状態がこちらです。
Connectivity to the Netskope Dataplane was successfully verified.
Publisher information:
Version: 1.4.6526
Registration information:
Netskope address: ns-xxxxxx.us-xxxx.npa.goskope.com
Certificate CN: xxxxxxx
Network settings:
Local IP address: 10.0.0.6
Gateway: 10.0.0.1
DNS: 10.0.0.2
EDNS: Enabled for Stitcher connectivity
Default search domain: ap-northeast-1.compute.internal
Stitcher:
Syslog settings:
Disabled
Update status:
No system updates currently available.
No publisher updates available.
Configuration menu:
1. Upgrade
2. Network settings
3. Syslog settings
4. Troubleshooter
5. Log settings
6. Exit
Netskope管理画面上でもパブリッシャーのステータスがConnected
になっていることが確認できました。
プライベートアプリへ接続してみた
これで終わってしまっては味気ないので、AWS上にNginxでWebサーバーを構築して、パブリッシャー経由でNPAを試してみます。
まず、Webサーバー用のEC2を立ててNginxをインストールして起動しておきます。後ほどNetskope上でPrivateAppとして登録するためのプライベートIPv4アドレスも控えておきます。
WebサーバーのセキュリティグループはCentOSで立てたパブリッシャーからのHTTP通信を許可するルールを設定します。
次にNetskope管理画面でPrivate Appを作成して制御ポリシーを設定していきます。
Private Appは下記のように、WebサーバーのプライベートIPをホストとして指定し、作成したパブリッシャーを選択します。
作成したPrivate AppをDestinationに設定した許可ポリシーを作成します。
以上で設定完了です。アクセスしてみると下記の通り、プライベートIPでNginxのデフォルトページにアクセスできることが確認できました!
さいごに
CentOSでのNetskope Private Access用のパブリッシャーの作成方法とPrivateAppへの接続をご紹介しました。コマンド一発でインストールできてしまうほどすごく簡単で、ビビってた昔の自分を励ましてあげたくなりました。
オンプレミスからクラウドリフトが難しいシステムは是非Netskopeで可視化・制御を検討してはいかがでしょうか。