はじめに こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです...
【Netskope】Netskope Private AccessでパブリッシャーをAWSに作成してみた(NPA②)
はじめに
こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです
ネクストモードではSaaSやWebへのアクセスの際にNetskopeを経由する構成を取り、通信の可視化や制御を行っています
今回はVPNの代替となりうるNetskope Private Access(NPA)をAWSに接続するための第一歩として、AWS上にNPA用の中継サーバーであるNetskope Private Access Publisher(パブリッシャー)を作成してみます
Netskopeとは
Netskopeとは、クラウドサービス使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです
手順
Netskope Private Access用のパブリッシャーの設置手順についてはNetskopeの公式ドキュメント通りに進めれば問題なく簡単に実施できます
大まかな手順としては下記の通りです
- VPCの作成(AWS)
- パブリッシャー用のEC2作成(AWS)
- パブリッシャー登録用トークン発行(Netskope)
- EC2上で登録作業(AWS)
やってみた
VPCの作成
今回はPublicサブネット、Privateサブネットを、将来的にパブリッシャーを冗長化することも見据えてそれぞれ2つ用意しました
作成当初はPublicサブネットにNATGatewayを配置し、Privateサブネットにパブリッシャーを作成しようと考えていましたが、最終的にPublicサブネットにパブリッシャーを作成しました
理由としてはパブリッシャーはインバウンド通信が必要ないため、Publicサブネットに配置してもセキュリティグループを正しく設定しておけば問題ないということと、インターネットへNPA経由で接続するケースにおいてNATGatewayを利用するとNATGatewayのコストがかかってしまうためです
パブリッシャー用のEC2作成
次にパブリッシャー用のEC2を作成します
パブリッシャーはAWS Marketplaceから利用することができ、パブリッシャー自体にはEC2の費用以外にはお金がかかりません
※Netskope Private Accessのライセンス費用がかかります
2CPU, 4メモリ、8GBのHDDというインスタンス要件が公式ドキュメントに記載があったので、t3.mediumで作ってみました
パブリッシャーはインバウンド通信を必要としないためセキュリティグループでインバウンドルールを切ってしまって大丈夫です
インスタンスのメンテナンス時には一次的にインバウンドルールを開けるなりSSMで接続することで対応しましょう
パブリッシャー登録用トークン発行
パブリッシャー用のEC2を作成したら、Netskopeにパブリッシャーの情報を連携するためにNetskope管理画面で登録用トークンを発行します
Netskope管理画面から Settings
-> Security Cloud Platform
-> Publishers
に移動し、NEW PUBLISHER
をクリックします
GENERATE TOKEN
で発行した登録用トークンはEC2上での登録作業で利用するためコピーしておきます
この登録用トークンは24時間の期限があるので、期限内に登録作業ができない場合は再発行しましょう
パブリッシャーの作成が完了するとステータスが Not registered
のパブリッシャーが作成されます
EC2上で登録作業
最後にEC2にログインし、先程Netskope管理画面で取得した登録用トークンを入力します
まずはEC2にログインします
AWS Marketplaceで作成するEC2のログインユーザー名はubuntuなので注意しましょう
SSHログインすると下記の画面が表示されます
Registration informationは Not registered
となっています
次に先程取得した 1. Register
を選択して登録用トークンを入力して、再起動して完了です
トークンの入力が完了してNetskope側への登録が完了するとNetskope管理画面上でステータスが Connected
に変わります
以上でAWS上へのパブリッシャーの設定は完了です
さいごに
Netskope Private Access用のパブリッシャーの作成方法をご紹介しました。AWS上で作成する場合はAWS MarketplaceでAMIが公開されているため、作成がとても簡単です
次回はNPA経由でアプリへのアクセス制御についてご紹介できればと思います。是非NPAを活用した脱VPNを検討してみてはいかがでしょうか