Co je služba Netskope Private Access

Tato příručka obsahuje stručný popis funkcí a prvků služby Netskope Private Access.

Dotčené produkty:

• Netskope

Dotčené verze:

• Release 70+

Netskope Private Access je moderní služba pro vzdálený přístup, která:

• Zajišťuje přístup k aplikacím ve více sítích, a to jak ve veřejném cloudu (například Amazon Web Services, Azure, Google Cloud Platform), tak v datovém centru.
• Poskytuje nulová důvěra (Zero Trust) přístup na úrovni aplikace namísto přístupu k síti s laterálním pohybem.
• Dodává se jako cloudová služba s celosvětovou působností, která se škáluje.

Služba Netskope Private Access tyto výhody poskytuje prostřednictvím funkce nazvané Service Publishing. Díky funkci Service Publishing jsou podnikové aplikace dostupné na cloudové platformě Netskope a nikoli na okraji podnikové sítě.

Cloudová platforma Netskope se stává místem na internetu, přes které je možné získat přístup k podnikovým aplikacím. V jistém smyslu externalizuje přístupové složky demilitarizované zóny (DMZ). Externalizace vzdáleného přístupu tímto způsobem má několik výhod oproti tradičním sítím VPN (Virtual Private Networks) a přístupům vzdáleného přístupu založeným na serveru proxy. Celková architektura a model poskytování funkce Service Publishing je v souladu s trendy IT. Patří mezi ně infrastruktury jako služby (IaaS), hybridní IT a decentralizované dodávání podnikových aplikací z datového centra, veřejného cloudu a softwaru jako služby (SaaS).

Služba Netskope Private Access rozšiřuje platformu Netskope pro zabezpečený přístup k službám SaaS a webu. To zahrnuje zabezpečený přístup k soukromým aplikacím, které se nacházejí za branami firewall podniku v datovém centru a veřejném cloudu.

Následují časté dotazy ohledně služby Netskope Private Access:

Jaké jsou požadavky pro nasazení vydavatele do prostředí VMware?

Požadavky systému služby Netskope Private Access se v jednotlivých prostředích nasazení liší. Další informace najdete v části Systémové požadavky na vydavatele Netskope Private Access.

Jaké porty jsou potřebné, aby služba Netskope Private Access fungovala správně?

Nejsem si jistý, jaké porty TCP a UDP moje aplikace potřebuje, aby fungovala. Co s tím?

Chcete-li připojit uživatele k aplikacím a službám, je nutné, aby správce služby Netskope Private Access na několika místech v rozhraní Netskope nakonfiguroval zásady soukromých aplikací. Zde uvádíme možnosti konfigurace a podrobnosti o známých typech aplikací a služeb.

Aplikace	Protokol a port	Faktory
Webový provoz	TCP: 80, 443 (vlastní porty: 8080 atd.) UDP: 80, 443	Google Chrome používá pro některé webové aplikace protokol QUIC (HTTP/S přes port UDP). Duplikování portů pro procházení webu v případě protokolu TCP i UDP může zlepšit výkon.
SSH	TCP: 22	Není k dispozici
Remote Desktop (RDP)	TCP: 3389 UDP: 3389	Některé klientské aplikace RDP (Remote Desktop Protocol) systému Windows (například novější verze systému Windows 10) upřednostňují protokol UDP:3389 pro připojení ke vzdálené ploše.
Windows SQL Server	TCP: 1433, 1434 UDP: 1434	Výchozí port pro systém Windows SQL Server je 1433, ale ve vašem prostředí jej lze přizpůsobit. Další informace najdete v tématu Konfigurace brány Windows Firewall tak, aby umožňovala přístup k SQL Server.
MySQL	TCP: 3300-3306, 33060 TCP: 33062 (připojení specifická pro správce)	Pro obecné případy použití připojení MySQL je vyžadován pouze port 3306, ale někteří uživatelé mohou využívat jiné porty s funkcí MySQL. Společnost Netskope doporučuje používat rozsah portů pro soukromé aplikace databáze MySQL. Software MySQL blokuje připojení vydavatele Netskope Private Access, protože považuje test dostupnosti za potenciální útok. Použití rozsahu v konfiguraci portu způsobí, že vydavatel Netskope Private Access provede kontrolu dostupnosti pouze na prvním portu v rozsahu. Tak se zabrání tomu, aby software MySQL odhalil tento provoz a zablokoval port. Další informace najdete v referenčních tabulkách portů MySQL.

Může služba Netskope Private Access tunelově propojit protokoly a porty kromě těch běžných uvedených výše?

Ano. Služba Netskope Private Access může tunelově propojit aplikace mimo tento seznam. Služba Netskope Private Access podporuje protokoly TCP a UDP a všechny přidružené porty s jedinou výjimkou: Platforma Netskope sice nedokáže tunelově propojit většinu provozu DNS, ale podporujeme vyhledávání tunelových propojení služby DNS (SRV) přes port 53. To je nutné pro zjišťování služeb, které se používá v různých scénářích služby Windows Active Directory zahrnujících LDAP, Kerberos a další.

Jaké služby a interval dotazování používá vydavatel ke kontrole, pokud je k dispozici soukromá aplikace či služba?

Interval dotazování je přibližně jedna minuta.

Netskope Private Access Publisher se pokusí připojit k nakonfigurovanému portu v soukromé aplikaci, aby zkontroloval, zda je soukromá aplikace dostupná.

Důležité faktory, které je třeba zvážit:

• Vydavatel funguje nejlépe, když definujete soukromé aplikace podle názvu hostitele (např. jira.globex.io) a portu (např. 8080).
• Pokud je aplikace určena pomocí více portů nebo rozsahem portů, vydavatel použije ke kontrole dostupnosti první port ze seznamu nebo rozsahu.
• Vydavatel nemůže zkontrolovat dostupnost soukromých aplikací, které jsou definovány pomocí zástupného znaku (*.globex.io) nebo blokem CIDR (10.0.1.0/24). Nezkontroluje ani dostupnost aplikací s definovanými rozsahy portů (3305-3306).

Co se stane, pokud během počátečního nasazení dojde k poškození registračního tokenu vydavatele? Mohu ho obnovit lokálně pomocí vydavatele?

Pokud se registrace nezdaří (například proto, že při zadávání registračního kódu chyběla číslice), přihlaste se přes SSH k vydavateli a zadejte nový registrační token.

Pokud registrace proběhla úspěšně, ale rozhodli jste se zaregistrovat vydavatele pomocí jiného tokenu, tato akce není podporována a ani ji nedoporučujeme. V tomto scénáři znovu přeinstalujte vydavatele.

Může služba Netskope Private Access tunelově propojit protokol ICMP?

Ne. Služba Netskope Private Access nedokáže tunelově propojit protokol ICMP, pouze protokol TCP a UDP. Přes službu Netskope Private Access nelze spustit příkaz ping nebo traceroute a otestovat síťová připojení.

Podporuje služba Netskope Private Access tunelové propojení, která byla navázána mezi soukromou aplikací a klientem?

Ne. Služba Netskope Private Access nepodporuje protokoly, které navazují spojení mezi soukromou aplikací a klientem. Podporován není například režim FTP Active.

Může být připojení vydavatelů zpracováno serverem proxy nebo ukončeno protokolem TLS?

Ne. Vydavatel provede připnutí SSL pro účely registrace a ověření certifikátu na straně serveru vůči konkrétnímu certifikátu.

Pokud v takovém případě existuje nějaký proxy server, který ukončuje připojení TLS, musí být cíl uveden na seznam povolených nebo vynechán (*.newedge.io).

Jaká adresa IP je v případě seznamu soukromých aplikací zobrazena na úrovni soukromé aplikace ve službě Netskope Private Access? Je k dispozici rozsah?

Hostitel soukromé aplikace uvidí, že připojení pochází z adresy IP vydavatele, který se k němu připojuje. K dispozici není žádný rozsah. V závislosti na počtu vydavatelů použitých k připojení k hostiteli soukromé aplikace přidejte každou z těchto IP adres na seznam povolených položek.

Jak se mohu přihlásit pomocí SSH do vydavatele služeb Amazon Web Services?

Pokud je nasazený do Amazon Web Services, přiřaďte Amazon Machine Image (AMI) KeyPair.pem které již máte (nebo vygenerujte nový KeyPair.pem) při zřizování vydavatele.

V klientovi SSH zadejte příkaz ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] a poté stiskněte Enter.

Po úspěšném připojení k vydavateli pomocí SSH budete umístěni do interaktivní nabídky rozhraní příkazového řádku (CLI). Pro další odstraňování problémů můžete zvolit možnost 3, která vás přesměruje do normálního rozhraní příkazového řádku UNIX. Další informace najdete v tématu Jaká je dobrá metoda pro řešení potíží s přístupností u soukromé aplikace nebo služby za vydavatelem?

Jak se mohu pomocí SSH přihlásit do vydavatele VMware?

1. Pravým tlačítkem klikněte na nabídku Start systému Windows a poté na možnost Spustit.
   
2. V uživatelském rozhraní Spustit zadejte příkaz cmd a stiskněte tlačítko OK.
   
3. Do pole Příkazový řádek zadejte příkaz ssh centos@<PUBLISHER> a poté stiskněte Enter.
   Poznámka:

   • <PUBLISHER> = Externí IP adresa vydavatele
   • Výchozí přihlašovací údaje pro vydavatele jsou:
     • Username: centos
     • Password: centos
   • Heslo je po prvním přihlášení nutné změnit.

Podporují vydavatelé režim aktivní-aktivní v případě, že je k dispozici více vydavatelů, kteří mají přístup ke stejné soukromé aplikaci?

Vydavatelé pracují v aktivním/pasivním režimu. Veškerý provoz směřuje k prvnímu vydavateli, pokud je v provozu (připojen). Pokud dojde k výpadku, přepne se na sekundárního vydavatele.

Jaký je vhodný způsob odstraňování problémů s přístupem k soukromé aplikaci nebo službě za vydavatelem?

1. První nejlepší možností je použít funkci Troubleshooter. Na stránce Private Apps klikněte na možnost Poradce při potížích.
   
2. Vyberte příslušnou soukromou aplikaci a zařízení, ke kterým chcete přistupovat, a poté klikněte na možnost Odstranit potíže.
   
3. Funkce Troubleshooter vygeneruje seznam provedených kontrol, problémů, které mohou ovlivnit konfiguraci, a řešení.
   

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.