NetskopeのVPN代替ソリューションを持て余したので神々の遊びしてみた

Netskope Private Accessのユースケースについて記載しています。
2021.11.17

こんにちは!ネクストモード株式会社のSaaS部で何かおもしろいものが落ちていないか下を向いて歩いているhagiです。

最近見つけたのはナスまるごと1本(新鮮)です。

はじめに

こんな夢を見たことはありますでしょうか。

  • データセンター終端のVDIセッションが過負荷で詰まっていて従業員からクレームを受けている夢
  • 第三者から不正アクセスを受けていないか不安で毎日サーバーのアクセスログを抽出するスクリプトを仕込んだらサーバーが落ちた
  • オンプレミスの社内インフラに向かってくる全アクセスを把握していなくて適当にFW切ったらリモートセッションが切れた


ありますよね。ゾッとしますね!
これから話すことは、良い意味でその夢と全く関係ないです。そう、NPAさえあれば…。

テレワークの課題

テレワーク下における、情シス的立ち回りが必要な環境で、まだまだまだまだクラウドの恩恵にあずかれていない組織体があった場合、事務所に小さなNASを置いたりすることはありますね。

これを素直に事務所に置いてあるとしましょうか。すると情シスの方を事務所に設置できませんので、メンテナンスは自宅からの遠隔になりますね。 でもハードウェアが逝ってしまったら、流石に出勤を余儀なくされます。

なんなら自宅にすべての機材があったら、出勤する手間が減るのになあと。そんなうまい話になったらいいなぁと。

あるんです

NPAの特徴は下記です。何より冒頭の悪夢からも救われるんです。

【ユーザー利便性】利用者は事前に専用アプリいらない、接続前処理いらない、とにかく意識しなくていい
【可用性】複数インスタンスを束ねて解釈できます。冗長化のための難しい設定が要らない
【セッション数】エンドポイントは世界中でスケール
【不正アクセス対策】データセンター内に設置したインスタンス発通信によってセッションが維持されるため外部ポートの穴あけが不要

NPA

我慢していただいてありがとうございます。
ここで一旦NPA(Netskope Private Access)について軽く触れさせていただきます。
NPAは、Secure Access Service Edge(サッシー)のキーワードで飛ぶ鳥を落とす勢いのNetskope, Inc.が提供しているVPN代替ソリューションです。

SaaS管理者によってあらかじめ定義されたNetskope Clientユーザーだけが限定的にNPAの先にあるホストへアクセスできます。
NPAは、複数のクライアントが社内インフラにアクセスしてくるようなクライアントサーバーモデルにはピッタリです。

※ちなみに本記事は、下記(案4:Netskope Private Access(NPA)を使う)の続編を模しています。

Netskope環境下でのテレワークにおけるIP制限の方法を考えてみた


上記記事にもある通り、予算をクリアしてNPAを買ってしまいさえすれば台数無制限なので、あとはNPAを建てれば建てるほどSaaSのコスパが良くなっていくため実質0円です(カロリーゼロ理論)と先方に言ってしまってあとで怒られる日が来るかもしれません。

※チームで続編が書けるのもPsychological Safety(心理的安全性)の恩恵ですよね。違いますか。そうですか。(あと本人に無断で続編を書いています)

検証しよう!

インストールは簡単ですが、最も難易度が高いのは余剰機の手配でしょう。
私の手元にはたまたまこれから検証に有効活用されようとアップを始めているWindowsPro機が手元にありましたので、こちらを今回は使います。

ASUSのVivoStick ご家庭の設置例

NPAの要件スペックは下記の通りですが、今回はあそb、じゃなくて検証のため、入るか分からない状態で見切り発車しています。
https://docs.netskope.com/en/netskope-private-access.html

NPAセットアップ

セットアップは大したことないのでサクサクいっちゃいます。
こちらからVHDXをダウンロードしたら、Hyper-Vを用意して起動するだけです。

接続できたら間髪入れずに"1"と入力してRegistしましょう。

"Prease enter the Netskope Private Access Publisher registration token: と出たら、Netskope管理画面から払い出した536文字におよぶトークンを貼り付けます。
もし説明が雑だと思われた方がいらっしゃってもご安心ください。公式ページに分かりやすく説明してあります。
ステータスグリーンを管理側で見届けたら完了です。

リソースの喰いはこんなもんです。案外大丈夫でしたね。

テスト通信

人に頼むやつ

どうやらうまくいったようです。
プロトコルはTCPとUDPが対応します。

試しに445(Windowsファイル共有等で使うポート)も通してみます。

いけるやん。うちの家庭LAN丸裸!
(実際はドメイン or IPとポート指定ができるので裸ではなく下半身露出くらい)

いらんことしてみた(本題)

これ、パブリッシャーの冗長化もできるんですよね。とても簡単に。
もし別拠点のパブリッシャーをグルーピングしたら、おもしろいことが起こるんじゃなかろうかニヤリ。

懇願してみた

お宅にパブリッシャーたてておくんなまし!!

だめだった

SaaS部長は忙しいのだった。

AWS使ってセルフニヤニヤするしかなかろう

もう、それしかない。
仕事感が増して、モチベが下がるけど致し方ない。
ちなみにAWSでは公式にNPA実装済みのAMIが無料で利用できます。
が無視してAlmaLinuxで立ててみます。AlmaかRockyで迷いますよね!

設定完了。そして、得られたもの

見ての通りパブリッシャーをグルーピングしてみました。

2台並行稼働させてみた結果、

  • 片側による、ラウンドや分散などはしない
  • 直近のAct側にトラフィックが寄る
  • ポートごとに迂回するわけでもない
  • 登録したhostにリーチさえすればヘルスがグリーンになる
  • 登録しているhostのうちいずれかがうまくリーチできないとクエスチョンマークなステータスになる

というところまで分かりました。(実用前に実地試験は必ずしてください!)

そこから始まる世界線

時は令和…

「インターネットでもダークウェブでもアクセスできない、弊社からだけアクセスできる秘密のサイトが稀に登場するらしいぞ!」

「普段は社内サイトに偽装してるらしい」

「つまり正規のサイトをダウンさせられれば裏サイトが出現する!?」

「よし、、、、、、、、Done!」

「裏サイトキターー!」

「ポートスキャンしたら裏モードの時だけ445が叩けるっぽい」

「認証聞かれた」

「秘密サイトのソースhtmlに書いてあるユーザー名ってこれのこと?」

「やったー!お宝ファイルがたくさんだー!」というダンジョン構成を作ってもいいわけです!(よくない)

他にも、

  • 一家に1台クライアントPCにNPA入れてみんなで毎朝突撃隣のアクセスガチャ引いてもいいんです!(誰得)
  • SIのリフト案件で事前に客先にNPA設置させていただいてユーザー絞ってアクセス許可をいれることで環境ヒアリングの効率化を図るとか(ワイルドな施策)
  • 大容量ファイル転送に使うとか(カプセル化するわけじゃないからFedExより速いかも)
  • 距離ベースの課金体系などないのでサーバーバックアップの機構と組み合わせてDRに使ったり(そうだ自宅をDCにしよう)

まとめ

今日はいい夢見られそうですね!