コンテンツまでスキップ

【Netskope】Steering Configurationを解説しながら、Netskopeのおすすめ設定をご紹介します!

Picture of tommy

はじめに

こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです

ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています

今回はNetskopeの通信を制御するステアリング構成(Steering Configuration)の概要を解説し、導入時のおすすめをご紹介します

Netskopeとは

Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです

詳細は下記を御覧ください

 

 

 

概要

まずはSteering Configurationでできることをご紹介します

主な機能として、

  • どの通信をNetskopeに向けるかをグループ単位や、オンプレミス/リモートに分けて適用する
  • Netskopeをバイパスする通信をログとして記録するか選択
  • Webトラフィック、Private Access(ZTNA)の制御有無

が挙げられます

 

次に設定画面です

Steering ConfigurationはSettings > Security Cloud Platform > Traffic Steering > Steering Configurationで設定します

Steering Configuration設定内容

「Default tenant config」というものが最初はあり、全ユーザーが対象となっております。通信を分けたいときはNew Configurationから作成します

Default tenant configをクリックすると、Steered TrafficとExceptionsタブが出てきます

Steered Trafficに記載されているものがNetskopeを経由した通信になります。逆にExceptionsはNetskopeを介さずに直接アクセスする通信をする場合に設定が必要です。また、Exceptionsには既にいくつかの設定が入っています。これはNetskope社が通信エラーの多い宛先を事前に設定してくれています。特にCetificate Pinned Applicationsの事前設定が多いですが、これは通信で用いる証明書を固定しているというものになります

詳しくはこちらをご覧ください

Steering ConfigurationのDefault tenant config

Traffic SteeringとNon-Standard portsのタブがあります

Steering ConfigurationのEdit Configuration

Non-Standard portsは通常のNetskopeではHTTP(80)/HTTPS(443)を制御しますが、他のポートをNetskope経由にするかどうかというものです

Traffic SteeringはDynamic Steering(端末がオンプレミスかリモートかを判断)の有効、Webトラフィック、Private Access(ZTNA)の制御有無の設定が可能です

長くなりましたが、以上が概要です

導入時のおすすめ設定

Steering Configurationに関して、導入時のおすすめは下記3つになります

①Traffic SteeringのWebトラフィック、Private Accessを有効にする

→これは要件があればおすすめというよりも、必須作業になります。ネクストモードではPoCの際に初期セットアップ時の必須確認項目にもなっています

 

②Exceptionsにおいて、既に設定されているバイパス設定はすべてもしくは一部を除いて削除する

→既に設定されているバイパス設定は上記のように、「Netskope社が通信エラーの多い宛先を事前に設定」してくれています。ただ、これはすべての環境には当てはまらず、Netskope経由の通信を取るべき宛先に対してもバイパスされてしまう可能性があります。そのため、Exceptionsはゼロから数日~数週間で通信エラーが出る→宛先ドメインやアプリを特定し、Exceptionsに登録するという作業を地道ながらも実施することがオススメします

 

③バイパスされた通信のログを記録する

→これは意図していないバイパスを発見し、Exceptionsから削除することが主な目的になります。また、バイパスの設定の通信頻度等も確認できるため、なるべくバイパスせずNetskopeで管理できるセキュリティ環境が実現できます

 

後は、Configurationの分け方だったりその他設定もありますが、セキュリティポリシーや要件にもよるため気になる方は弊社までお問い合わせください!

さいごに

今回はSteering Configurationの概要とおすすめ設定をご紹介しました。Netskopeの通信を制御する設定になりますので、ぜひおすすめ設定は自社のNetskope設定を確認していただければと思います

設定のご不明点はぜひ弊社にお問い合わせください!
,