【Netskope】Netskope Private AccessでVPNを使わずにプライベートアプリへアクセスしてみた(NPA③)

ユースケース

Netskope Private Access(NPA)のユースケースとしては、今までVPNで接続していた社内システムへNetskope経由で接続することや、IP制限が必要な外部システムへアクセスすることが考えられます

外部システムへのIP制限に関する考察は以前ブログにまとめましたので、是非こちらもあわせて御覧ください

SaaSやWebと同一のNetskope管理画面で制御と可視化ができるという運用面のメリットだけでなく、パブリッシャーがインバウンド通信を必要としないというセキュリティ面のメリットがあります

手順

大まかな手順としては下記の通りです

パブリッシャーの作成も簡単ですがこちらも簡単です！

1. プライベートアプリの作成(Netskope)
2. アクセス制御用ポリシーの設定(Netskope)

やってみた

今回は外部システムへのアクセスにIP制限が必要なケースを想定して試してみました

プライベートアプリの作成

Netskope管理画面から Settings  -> Security Cloud Platform  -> App Definition -> PRIVATE APPS から NEW PRIVATE APP アプリを作成します

今回は自身のIPアドレスを確認するときに利用しているCMANへのアクセスを制御してみます

• APPLICATION NAME：任意
• HOST：ホストドメイン or IPアドレス
• PROTOCOL & PORT：特定のポート or ポート範囲
• PUBLISHER：作成したパブリッシャー(冗長化したい場合は複数選択)
  
  

アクセス制御用ポリシーの設定

次にNetskope管理画面の Policies  -> Real-time Protection から NEW POLICY をクリックしてNPA経由のプライベートアプリへのアクセス制御ポリシーを作成します

• Source：ユーザー or OU or グループ
• Destination：作成したプライベートアプリ
• Profile & Actions：Allow or Block
  
  

ユーザーやグループ単位での細かい制御ができるのがとても便利です

以上で設定は完了です

接続テスト

まずは制御ポリシーを有効化していない状態でCMANにアクセスしてグローバルIPアドレスを確認してみます

この場合はNetskopeを経由しているため、NetskopeのPoPのIPアドレスが表示されます

次に制御ポリシーを有効化した状態でCMANにアクセスしてグローバルIPアドレスを確認してみます

するとパブリッシャーに割り当てた固定IPアドレスでインターネットに抜けるため、パブリッシャーのグローバルIPアドレスが表示されます

※パブリッシャーからインターネットに抜ける設定はAWS上のルーティングテーブルで設定しており、パブリッシャーに割り当てた固定IPが接続元となります

Netskope管理画面からの見え方

Netskope管理画面では Skope IT  -> Network Events で通信イベントを確認できます

SaaS、Webのアクセスと同様に「いつ」「だれが」「どこに」アクセスしたのか可視化できています

トラブルシューティング

NPA経由での接続がうまくいかない場合はNetskope管理画面からトラブルシューティングが可能です

プライベートアプリを作成した画面上で TROUBLESHOOTER をクリックします

正しく接続できないプライベートアプリと接続できないユーザー/デバイスを選択して TROUBLESHOOT をクリックします

すると、どこでうまく行っていないのか確認することができます

今回は下記がトラブルシューティングで判明しました

• アクセス制御ポリシーが無い（ポリシーを無効化してる）
• パブリッシャーがつながっていない（パブリッシャー停止中）
  
  

さいごに

Netskope Private Accessにプライベートアプリを登録することでNPA経由で接続する方法をご紹介しました

ご紹介した社外システムへのIP制限だけでなく、AWSやデータセンタ上に構築している社内システムへのアクセスなど幅広く活用できるかと思います