【Netskope】Netskope Private AccessでパブリッシャーをAWSに作成してみた(NPA②)

Netskopeとは

Netskopeとは、クラウドサービス使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです

手順

Netskope Private Access用のパブリッシャーの設置手順についてはNetskopeの公式ドキュメント通りに進めれば問題なく簡単に実施できます

大まかな手順としては下記の通りです

1. VPCの作成（AWS）
2. パブリッシャー用のEC2作成（AWS）
3. パブリッシャー登録用トークン発行（Netskope）
4. EC2上で登録作業（AWS）

やってみた

VPCの作成

今回はPublicサブネット、Privateサブネットを、将来的にパブリッシャーを冗長化することも見据えてそれぞれ２つ用意しました

作成当初はPublicサブネットにNATGatewayを配置し、Privateサブネットにパブリッシャーを作成しようと考えていましたが、最終的にPublicサブネットにパブリッシャーを作成しました

理由としてはパブリッシャーはインバウンド通信が必要ないため、Publicサブネットに配置してもセキュリティグループを正しく設定しておけば問題ないということと、インターネットへNPA経由で接続するケースにおいてNATGatewayを利用するとNATGatewayのコストがかかってしまうためです

パブリッシャー用のEC2作成

次にパブリッシャー用のEC2を作成します

パブリッシャーはAWS Marketplaceから利用することができ、パブリッシャー自体にはEC2の費用以外にはお金がかかりません

※Netskope Private Accessのライセンス費用がかかります

2CPU, 4メモリ、8GBのHDDというインスタンス要件が公式ドキュメントに記載があったので、t3.mediumで作ってみました

パブリッシャーはインバウンド通信を必要としないためセキュリティグループでインバウンドルールを切ってしまって大丈夫です

インスタンスのメンテナンス時には一次的にインバウンドルールを開けるなりSSMで接続することで対応しましょう

パブリッシャー登録用トークン発行

パブリッシャー用のEC2を作成したら、Netskopeにパブリッシャーの情報を連携するためにNetskope管理画面で登録用トークンを発行します

Netskope管理画面から Settings -> Security Cloud Platform -> Publishersに移動し、NEW PUBLISHERをクリックします

GENERATE TOKENで発行した登録用トークンはEC2上での登録作業で利用するためコピーしておきます

この登録用トークンは24時間の期限があるので、期限内に登録作業ができない場合は再発行しましょう

パブリッシャーの作成が完了するとステータスが Not registered のパブリッシャーが作成されます

EC2上で登録作業

最後にEC2にログインし、先程Netskope管理画面で取得した登録用トークンを入力します

まずはEC2にログインします

AWS Marketplaceで作成するEC2のログインユーザー名はubuntuなので注意しましょう

SSHログインすると下記の画面が表示されます

Registration informationは Not registered となっています

次に先程取得した 1. Register を選択して登録用トークンを入力して、再起動して完了です

トークンの入力が完了してNetskope側への登録が完了するとNetskope管理画面上でステータスが Connected に変わります

以上でAWS上へのパブリッシャーの設定は完了です

さいごに 

Netskope Private Access用のパブリッシャーの作成方法をご紹介しました。AWS上で作成する場合はAWS MarketplaceでAMIが公開されているため、作成がとても簡単です

次回はNPA経由でアプリへのアクセス制御についてご紹介できればと思います。是非NPAを活用した脱VPNを検討してみてはいかがでしょうか