こんにちは、こやしぃです。
Netskopeの運用において基本的でありながら、後々の運用負荷を左右するのが、ポリシーの整理整頓です。
今回は、ポリシーが増えても混乱を招かないためのフォルダ分けの方法と、Netskope特有の通信制御ルールについてご紹介します。
ではNew Group機能を使って、用途ごとにポリシーをグループ化してみましょう。
ステップ 1:作成画面を開く
1. Netskope管理画面の左メニューから Policies→ Real-time Protection をクリックします。
2. 画面右上にある 「New Group」をクリックします。
ステップ 2:作成画面では以下の項目を設定します。
| 項目 | 意味・内容 |
| Name | ポリシーグループの名前です。「Threat Protection」や「DLP」など、組み込むポリシーの役割を一目でわかる名前にするのがコツです。 |
| Policy Group Position |
グループを配置する位置、つまり優先順位の指定です。既存のグループに対して「上(Before)」に置くか「下(After)」に置くかを、選択します。 |
| Before policy group |
ドロップダウンから選択したグループよりも前に配置されるため、選択したグループよりも優先度は高くなります。 |
| After policy group |
ドロップダウンから選択したグループよりも後に配置されるため、選択したグループよりも優先度は低くなります。 ※権限に基づいたグループのみが表示されます。 |
ステップ 3: 各項目を設定し終えたら、Apply Changeを押して設定を確定します。
ポリシーグループを活用することで、管理画面のメンテナンス性は大幅に向上します。
推奨するグループ構成は、以下のようにポリシーの優先順位に沿って決めていただくことです。
ポリシーの配置順序のベストプラクティス(実行優先順位が高い順):
1. Threat Protection(脅威防御)
2. Utility Policies(ユーティリティポリシー)
3. Remote Browser Isolation(リモートブラウザ隔離)
4. CASB(ユーザー操作ベース)
5. Web(カテゴリーベース)
6. Netskope Private Access(NPA)
7. Cloud Firewall(CFW)
このようにグループを用いて「ポリシーの置き場所」をあらかじめ定義しておくと、設定担当者が変わった際や、新しいルールを追加する際も、迷うことなく適切な場所へ配置できるようになります。
Netskopeのいわゆる“暗黙のAllow All” という仕組みは、通常のネットワークに触れられてきたエンジニアの方にとっては、新鮮に感じられる機能かもしれません。
ネットワーク: どのルールにも合致しなければ、最終的にすべて拒否(Deny)されるのが基本。
Netskope: どのルールにも合致しなければ、最終的にすべて許可(Allow)されるのが基本。