Netskope Private Accessの可用性を高めてみた

Netskope Private Access(NPA)を本番環境で利用する場合を想定して可用性を高めるためにパブリッシャーの冗長化してみました。
2022.05.16

こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です。

はじめに

ネクストモードではSaaSやWebへのアクセスの際にNetskopeを経由する構成を取り、通信の可視化や制御を行っています。

今回はNetskope Private Access(NPA)でデータセンターや自社システムの本番環境へ接続するケースを想定し、NPA用の中継サーバーであるNetskope Private Access Publisher(パブリッシャー)の冗長化を試してみたいと思います。

Netskope Private Accessについては下記エントリーを御覧ください。

Netskopeとは

Netskopeとは、クラウドサービス使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです。

構成イメージ

パブリッシャー冗長化後の構成は下記となります。社内システムにパブリッシャーを中継しNPAで接続する構成を想定しています。

Publicサブネットに配置している理由はこちらをご参照ください。

手順

NPAの冗長化は以前のエントリーで作成したAWS上の構成にパブリッシャー②を追加する形で進めていきます。

  1. パブリッシャー①作成(以前のエントリーで作成済)
  2. パブリッシャー②作成

やってみた

パブリッシャー②作成

詳細な作成方法については以前ご紹介したので省略します。 AWS Marketplaceで公開されているパブリッシャー用のAMIから作成する場合はこちらのエントリーをご参考にしてください。

出来上がったのがこちらです。

  • パブリッシャー①:kusumi-NPA-Publisher-Primary
  • パブリッシャー②:kusumi-NPA-Publisher-Secondary
  • 接続先の社内システム:kusumi-NPA-Web

Netskope管理画面上では下記のように登録されています。

プライベートアプリへの紐付け

作成したパブリッシャー②をプライベートアプリ(kusumi-NPA-We)に紐付けします。前回作成し、パブリッシャー①経由でアクセスできるシステムに紐付けてみます。

Netskope管理画面のSettings -> App Definition -> PRIVATE APPSから作成済みのアプリ定義を選択します。

PUBLISHERに新しく作成したパブリッシャー②も追加します。

これで冗長化は完了です。

注意事項

パブリッシャーを冗長化した場合、パブリッシャーはActive-Active構成で動作します。またアプリ毎に最大16個のパブリッシャーがサポートされます。

パブリッシャーは約160Mbpsのスループットを処理でき、同時に約32,000のUDPまたはTCP接続を処理できます。

複数パブリッシャーが存在する場合、フェイルオーバー中のダウンタイムは5秒未満と予想されると記載されています。

パブリッシャーのAutoscalingは現時点(2022/5/16)ではサポートされていないため、事前に冗長化する数を決めて置く必要があります。

さいごに

冗長化したことで本番利用でも耐えられる構成になってきたかと思います。 システム毎にトラフィック量が違うところをパブリッシャーの数で調整することができるのもいいところですね。

色々ユースケースも考えつつ今後も検証をしていきたいと思います。

参考

パブリッシャーの設置

NPAでのアクセス制御

神々の遊び