Netskope Private Accessでのデータセンター接続を考えてみた

Netskope Private Access(NPA)に必要なPublisherをCentOS上に構築して、社内システムに見立てたWebサーバーにPrivateIPでアクセスも試してみました。
2022.01.17

こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です。

はじめに

ネクストモードではSaaSやWebへのアクセスの際にNetskopeを経由する構成を取り、通信の可視化や制御を行っています。

以前Netskope Private Access Publisher(パブリッシャー)をAWS Marketplaceで提供されているAMIを利用して作成する方法をご紹介しました。

今回はAWSに限らず、オンプレミスのデータセンターに接続する場合を想定し、CentOS上にパブリッシャーを作成する方法についてご紹介します。

Netskopeとは

Netskopeとは、クラウドサービス使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです。

構成イメージ

簡略化した構成図ですが、PCからインターネットに抜ける際にNetskopeでWeb/SaaSのアクセスを可視化・制御をしつつ、合わせてオンプレミスの既存社内システムへNPAで接続するイメージとなります。

手順

CentOS上へのパブリッシャーの設置手順についてはNetskopeの公式ドキュメント通りに進めれば問題なく簡単に実施できます。

大まかな手順としては下記の通りです。

  1. パブリッシャー用のCentOS作成(AWS)
  2. パブリッシャー登録用トークン発行(Netskope)(前回のエントリーで紹介しているので省略)
  3. 登録作業(AWS)(前回のエントリーで紹介しているので省略)

パブリッシャー用のCentOS作成

CentOSの作成以外は前回のエントリーと同様なので、パブリッシャー用のCentOSの作成・設定についてご紹介します。今回はAWS上にEC2をCentOSで立てますが、オンプレでも同様の手順となります。

まず、AWS MarketplaceからCentOS 7のAMIを選択し、作成します。

インスタンス要件に沿って2CPU、4メモリ、8GBのHDDのt3.mediumで作成しています。

起動したらSSHで接続し、下記コマンドを実行します。

curl https://s3-us-west-2.amazonaws.com/publisher.netskope.com/latest/generic/bootstrap.sh | sudo bash; sudo su - $USER; exit

インストールと更新に10分ほどかかるので気長に待ちましょう。 完了したら、自動的にNetskopeパブリッシャーの設定画面が有効化されるので画面の指示に従ってCentOSを再起動します。

 _       __     __                             __       
| |     / /__  / /________  ____ ___  ___     / /_____  
| | /| / / _ \/ / ___/ __ \/ __ `__ \/ _ \   / __/ __ \ 
| |/ |/ /  __/ / /__/ /_/ / / / / / /  __/  / /_/ /_/ / 
|__/|__/\___/_/\___/\____/_/ /_/ /_/\___/   \__/\____/  
        _   __     __       __                          
       / | / /__  / /______/ /______  ____  ___         
      /  |/ / _ \/ __/ ___/ //_/ __ \/ __ \/ _ \        
     / /|  /  __/ /_(__  ) ,< / /_/ / /_/ /  __/        
    /_/ |_/\___/\__/____/_/|_|\____/ .___/\___/         
                                  /_/                   

Publisher information:
    Version: 1.4.6526

Registration information:
    Not registered.

Network settings:
    Local IP address: 10.0.0.6
    Gateway: 10.0.0.1
    DNS: 10.0.0.2
    EDNS: Enabled for Stitcher connectivity
    Default search domain: ap-northeast-1.compute.internal
    Stitcher: Unknown

Syslog settings:
    Disabled

Update status:

    System updates applied - reboot required.

    No publisher updates available.

Configuration menu:
1. Register
2. Upgrade
3. Network settings
4. Syslog settings
5. Troubleshooter
6. Log settings
7. Exit

そしてパブリッシャー登録用トークンの発行と、トークンのCentOSへの登録が完了した状態がこちらです。

Connectivity to the Netskope Dataplane was successfully verified.

Publisher information:
    Version: 1.4.6526

Registration information:
    Netskope address: ns-xxxxxx.us-xxxx.npa.goskope.com
    Certificate CN: xxxxxxx

Network settings:
    Local IP address: 10.0.0.6
    Gateway: 10.0.0.1
    DNS: 10.0.0.2
    EDNS: Enabled for Stitcher connectivity
    Default search domain: ap-northeast-1.compute.internal
    Stitcher: 

Syslog settings:
    Disabled

Update status:
    No system updates currently available.
    No publisher updates available.

Configuration menu:
1. Upgrade
2. Network settings
3. Syslog settings
4. Troubleshooter
5. Log settings
6. Exit

Netskope管理画面上でもパブリッシャーのステータスがConnectedになっていることが確認できました。

プライベートアプリへ接続してみた

これで終わってしまっては味気ないので、AWS上にNginxでWebサーバーを構築して、パブリッシャー経由でNPAを試してみます。

まず、Webサーバー用のEC2を立ててNginxをインストールして起動しておきます。後ほどNetskope上でPrivateAppとして登録するためのプライベートIPv4アドレスも控えておきます。

WebサーバーのセキュリティグループはCentOSで立てたパブリッシャーからのHTTP通信を許可するルールを設定します。

次にNetskope管理画面でPrivate Appを作成して制御ポリシーを設定していきます。

Private Appは下記のように、WebサーバーのプライベートIPをホストとして指定し、作成したパブリッシャーを選択します。

作成したPrivate AppをDestinationに設定した許可ポリシーを作成します。

以上で設定完了です。アクセスしてみると下記の通り、プライベートIPでNginxのデフォルトページにアクセスできることが確認できました!

さいごに

CentOSでのNetskope Private Access用のパブリッシャーの作成方法とPrivateAppへの接続をご紹介しました。コマンド一発でインストールできてしまうほどすごく簡単で、ビビってた昔の自分を励ましてあげたくなりました。

オンプレミスからクラウドリフトが難しいシステムは是非Netskopeで可視化・制御を検討してはいかがでしょうか。