【Netskope】Netskope Private Accessの可用性を高めてみた(NPA⑤)

NPAについては下記エントリーをご覧ください

NPAの概要

NPAのやってみたエントリー

Netskopeとは

Netskopeとは、クラウドサービス使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです

構成イメージ

publisher冗長化後の構成は下記となります

社内システムにPublisherを中継しNPAで接続する構成を想定しています

Publicサブネットに配置している理由はこちらをご参照ください

手順

NPAの冗長化は以前のエントリーで作成したAWS上の構成にPublisher②を追加する形で進めていきます

やってみた

Publisher②作成

詳細な作成方法については以前ご紹介したので省略します

出来上がったものがこちらです

• Publisher①：AWS-Publisher-Primary
• Publisher②：AWS-Publisher-Secondary
• 接続先の社内システム：NPA-Nginx

プライベートアプリへの紐付け

作成したPublisher②をプライベートアプリ（NPA-Nginx）に紐付けします

前回作成し、Publisher①経由でアクセスできるシステムに紐付けてみます

Netskope管理画面の Settings -> App Definition -> PRIVATE APPSから作成済みのアプリ定義を選択します

 PUBLISHER に新しく作成したPublisher②も追加します

これで冗長化は完了です

注意事項

Publisherを冗長化した場合、PublisherはActive-Active構成で動作します

またアプリ毎に最大16個のPublisherがサポートされます

• 参考：Do Publishers support Active-Active in the event there are multiple Publishers that have access to the same Private App?

Publisherは約500Mbpsのスループットを処理でき、同時に約32,000のUDPまたはTCP接続を処理できます

• 参考：How much bandwidth can a Publisher handle?

複数Publisherが存在する場合、フェイルオーバー中のダウンタイムは5秒未満と予想されます

• 参考：How much downtime should I expect during Publisher upgrades and/or failover to secondary Publisher?

PublisherのAutoscalingは現時点(2023/3/20)ではサポートされていないため、事前に冗長化する数を決めて置く必要があります

• 参考：Can the Publisher utilize autoscaling functionality of the Cloud Service Provider if deployed in Azure, GCP, or AWS?

セカンダリーPublisher作成の際、古いPublisherからのAMIコピーでは接続済みとでてしまうことがあるため、AWS MarketplaceのAMIから構築してください

• 参考：My 2nd (or subsequent) Publisher shows as Connected to an older publisher record in the Netskope UI. Now what?

さいごに

冗長化したことで本番利用でも耐えられる構成になってきたかと思います。今回はPrimary-Secondaryの2つでしたが、システムによってのトラフィック量によってそれ以上のPublisherを用意することも必要になってきそうですね

色々ユースケースも考えつつ今後も検証をしていきたいと思います