こんにちは、こやしぃです。
Netskopeの運用において基本的でありながら、後々の運用負荷を左右するのが、ポリシーの整理整頓です。
今回は、ポリシーが増えても混乱を招かないためのフォルダ分けの方法と、Netskope特有の通信制御ルールについてご紹介します。
はじめに
Netskopeのポリシーは、「上から順番に評価される」 という鉄則があります。Netskopeを導入書記は数件だったポリシーも、運用が進むにつれて増えていき、無秩序に並べてしまいがちです。
これは、担当者変更やトラブル対応時の大きなリスクです。
Policy Groupsの活用
ではNew Group機能を使って、用途ごとにポリシーをグループ化してみましょう。
ポリシーグループの作成手順
ステップ 1:作成画面を開く
1. Netskope管理画面の左メニューから Policies→ Real-time Protection をクリックします。
2. 画面右上にある 「New Group」をクリックします。
ステップ 2:作成画面では以下の項目を設定します。
| 項目 | 意味・内容 |
| Name | ポリシーグループの名前です。「Threat Protection」や「DLP」など、組み込むポリシーの役割を一目でわかる名前にするのがコツです。 |
| Policy Group Position |
グループを配置する位置、つまり優先順位の指定です。既存のグループに対して「上(Before)」に置くか「下(After)」に置くかを、選択します。 |
| Before policy group |
ドロップダウンから選択したグループよりも前に配置されるため、選択したグループよりも優先度は高くなります。 |
| After policy group |
ドロップダウンから選択したグループよりも後に配置されるため、選択したグループよりも優先度は低くなります。 ※権限に基づいたグループのみが表示されます。 |
ステップ 3: 各項目を設定し終えたら、Apply Changeを押して設定を確定します。
推奨されるポリシーグループ構成
ポリシーグループを活用することで、管理画面のメンテナンス性は大幅に向上します。
推奨するグループ構成は、以下のようにポリシーの優先順位に沿って決めていただくことです。
ポリシーの配置順序のベストプラクティス(実行優先順位が高い順):
1. Threat Protection(脅威防御)
2. Utility Policies(ユーティリティポリシー)
3. Remote Browser Isolation(リモートブラウザ隔離)
4. CASB(ユーザー操作ベース)
5. Web(カテゴリーベース)
6. Netskope Private Access(NPA)
7. Cloud Firewall(CFW)
このようにグループを用いて「ポリシーの置き場所」をあらかじめ定義しておくと、設定担当者が変わった際や、新しいルールを追加する際も、迷うことなく適切な場所へ配置できるようになります。
何もしないと通る?Netskope独自の「暗黙のAllow All」
Netskopeのいわゆる“暗黙のAllow All” という仕組みは、通常のネットワークに触れられてきたエンジニアの方にとっては、新鮮に感じられる機能かもしれません。
-
ネットワーク: どのルールにも合致しなければ、最終的にすべて拒否(Deny)されるのが基本。
-
Netskope: どのルールにも合致しなければ、最終的にすべて許可(Allow)されるのが基本。
そのため、ポリシーの最下部に『Allow All』ルールを作成することは、必須事項ではございません。
明示的なルールとしてAllow Allを配置することで、それが「設計通りの通過」 であることを、誰が見ても一目で判別できるようになります。
