【Netskope】Netskope Private Accessでのオンプレからデータセンター接続を考えてみた(NPA④)

Netskopeとは

Netskopeとは、クラウドサービス使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです

通信を必要としないというセキュリティ面のメリットがあります

構成イメージ

簡略化した構成図ですが、PCからインターネットに抜ける際にNetskopeでWeb/SaaSのアクセスを可視化・制御をしつつ、合わせてオンプレミスの既存社内システムへNPAで接続するイメージとなります

手順

Ubuntuへのパブリッシャーの設置手順についてはNetskopeの公式ドキュメント通りに進めれば問題なく簡単に実施できます。今回はAWSに仮想オンプレ環境を構築し、仮想データセンターに接続までしていきたいと思います

大まかな手順としては下記の通りです

1. パブリッシャー用のUbuntu作成（AWSの仮想オンプレ環境）
2. パブリッシャー登録用トークン発行（Netskope）（前々回のエントリーで紹介しているので省略）
3. 登録作業（AWSの仮想オンプレ環境）（前々回のエントリーで紹介しているので省略）
4. 仮想データセンター用のプライベートアプリ作成、接続

パブリッシャー用のUbuntu作成

Ubuntuの作成以外は前回/前々回のエントリーと同様なので、パブリッシャー用Ubuntuの作成・設定についてご紹介します。今回はAWS上にEC2をUbuntuで立てますが、オンプレでも同様の手順になります

執筆時点では、Ubuntu 20.04のバージョンが推奨されておりますので、今回はそちらで作成していきます

まず、AWS MarketplaceからUbuntuのAMIを選択します

インスタンス要件に沿って２CPU 、４メモリ、８GBのHDDが必要なため、最適なt3.mediumで作成しています

起動したらSSHで接続し、下記コマンドを実行します

curl https://s3-us-west-2.amazonaws.com/publisher.netskope.com/latest/generic/bootstrap.sh | sudo bash; sudo su - $USER; exit

インストールと更新に5～10分ほどかかります。コーヒーを用意するのにちょうどいい時間ですね。インストールと更新＋コーヒーの用意が完了したら、自動的にNetskope Publisherの設定画面が有効化されるので画面の指示に従ってUbuntuを再起動します

パブリッシャー登録用のトークンを発行し、Ubuntuへの登録作業が完了した状態がこちらです

プライベートアプリへ接続してみた

AWS上にNginxでWebサーバーを構築して、パブリッシャー経由でNPAを試してみます

まず、Webサーバー用のEC2を立ててNginxをインストールして起動しておきます

後ほどNetskope上でPrivateAppとして登録するためのプライベートIPv4アドレスも控えておきます

WebサーバーのセキュリティグループはUbuntuで立てたパブリッシャーからのHTTP通信を許可するルールを設定します

次にNetskope管理画面でPrivate Appを作成して制御ポリシーを設定していきます

Private Appは下記のように、WebサーバーのプライベートIPをホストとして指定し、作成したパブリッシャーを選択します

作成したPrivate AppをDestinationに設定した許可ポリシーを作成します

以上で設定完了です。アクセスしてみると下記の通り、プライベートIPでNginxのデフォルトページにアクセスできることが確認できました！

Netskope管理画面からの見え方

Netskope管理画面では Skope IT  -> Network Events で通信イベントを確認できます

前回のエントリーでもご紹介しましたが、NPAのログもSaaS、Webのアクセスと同様に「いつ」「だれが」「どこに」アクセスしたのか可視化できています

さいごに

UbuntuでのNetskope Private Access用のパブリッシャーの作成方法とPrivateAppへの接続をご紹介しました

コマンド一発でインストールできてしまうほどすごく簡単で、ビビってた昔の自分を励ましてあげたくなりました

オンプレミスからクラウドリフトが難しいシステムは是非Netskopeで可視化・制御を検討してはいかがでしょうか