こんにちは、 ネクストモード株式会社 の sobar です。Netskope運用におけるTips(小ネタ)をご紹介します。
Netskope は、柔軟性とアジリティを兼ね備えた DevOps型のセキュリティ製品です。機能の一部であるNetskope Private Access(※以降NPA)は ZTNAと最適化された接続性により、どこからでも安全にアプリへアクセスできるサービスです。ご利用の際にはNPA用のライセンスが必要になります。ご検討の際は 弊社にお問い合わせください。
今回は NPA通信を行う際に設定するPrivate Apps の項目『Use Publisher DNS』について解説します。主に『Use Publisher DNS』の有効/無効 で通信内容がどのように変わるんだっけ?といった方向けの内容です。
※本ブログではNPAの詳しいご説明は割愛いたします。更にNPAがどういったものか気になる方は弊社 tommy がNPAの概要についての解説ブログを多数投稿していますのでそちらも併せてご確認ください。
今回お話しするNPA を使用するために設定するPrivate Apps の Use Publisher DNS の設定箇所は以下となります。
(Security Cloud Platform > Traffic Steering > App Definition > Private Apps)
Use Publisher DNS:無効の場合は名前解決の際、端末に仮想IPアドレス(スタブ IP アドレス)を返却し、プライベートアクセスは仮想IPアドレス(スタブ IP アドレス)宛てで通信を行います。一方で Use Publisher DNS:有効の場合は、仮想IPアドレス(スタブ IP アドレス)は使用せずPublisher が名前解決した実IPアドレスを端末に返却し、プライベートアクセスは実IPアドレス宛てで通信を行います。
ほとんどの場合はUse Publisher DNS は 無効で設定(デフォルトは無効)で問題ありませんが、以下のような通信を実施する場合に Use Publisher DNS を有効化(Enable)する必要があります。
Private Apps > HOSTにプライベートアクセス先リソースの名前解決用ドメインとIPアドレス(実IP)の2つを設定します。(※こちら参考。)
Private Apps > HOSTに宛先となるIPをすべて記載する必要があります。ただし、意図しない通信までNPA経由になることを避けるために設定アドレスの範囲はなるべく狭く設定する必要があります。Private Apps > HOSTのIPアドレスにマッチする通信の場合、その通信はすべて該当のNPAを利用したプライベートアクセス先へ転送されますのでご注意ください。(※HOSTの記載についてはこちら参考。)
以下 Use Publisher DNS 無効時、有効時それぞれの通信内容を少しご紹介いたします。
端末が名前解決を実施した際に仮想IPアドレス(100.64.0.0/16)が返されます。仮想IPアドレスはNetskope スタブ IP アドレスと呼ばれています。(※100.64.0.0/16は CGNAT アドレス空間です。)
そのため、実際のプライベートアクセスは仮想IPアドレス(100.64.0.1)宛の通信が行われます。(npatunnel.pcap)
端末が名前解決を実施した際に実IPアドレス(10.1.10.89)が返されます。
そのため、実際のプライベートアクセスは実IPアドレス(10.1.10.89)宛の通信が行われます。(npatunnel.pcap)
今回は NPA > Private Apps > Use Publisher DNS 有効時・無効時の実際の通信内容という非常に細かなポイントに焦点を当てて解説しました。上記でもご説明いたしましたが、ほとんどの場合は Use Publisher DNSは無効(デフォルト)で問題無いのですが、Private Apps を設置してみたが宛先サーバ宛てに通信できないといった場合は、通信内容の確認と合わせて本内容もご参考にいただければと思います。
この記事によってなにか新たな気づきがあり、皆さまの Netskope運用の一助となれば幸いです。