Wat is Netskope Private Access

Deze gids geeft een korte beschrijving van de functies en kenmerken van Netskope Private Access.

Betreffende producten:

• Netskope

Betreffende versies:

• Release 70+

Netskope Private Access is een moderne externe toegangsservice die:

• Ventilatoren maken toegang tot applicaties in meerdere netwerken mogelijk, zowel in de public cloud (zoals Amazon Web Services, Azure, Google Cloud Platform) als in het datacenter
• Biedt zero trust-toegang op applicatieniveau in plaats van netwerktoegang met laterale verplaatsing
• Wordt geleverd als een cloudservice met een wereldwijde voetafdruk die schaalbaar is

Netskope Private Access biedt deze voordelen door middel van een mogelijkheid genaamd Service Publishing. Service Publishing maakt bedrijfsapplicaties beschikbaar op en via het Netskope-cloudplatform in plaats aan de netwerkrand van de onderneming.

Het Netskope-cloudplatform wordt de locatie op internet waar toegang wordt verkregen tot bedrijfsapplicaties. In zekere zin worden hierdoor de toegangsonderdelen van de gedemilitariseerde-zone (DMZ) extern geplaatst. Het op deze manier extern maken van externe toegang heeft verschillende voordelen ten opzichte van traditionele VPN (virtual private network) en op proxy gebaseerde benaderingen voor externe toegang. De algehele architectuur en het delivery-as-a-service-model van Service Publishing sluiten aan bij IT-trends. Deze omvatten Infrastructure-as-a-Service, hybride IT en de gedecentraliseerde levering van bedrijfsapplicaties vanuit het datacenter, de public cloud en Software as a Service (SaaS).

Netskope Private Access breidt het Netskope-platform uit voor beveiligde toegang tot SaaS en web. Dit omvat beveiligde toegang tot privé-applicaties die zich in het datacenter en de public cloud bevinden achter de firewall van een onderneming.

Hieronder vindt u aantal algemene vragen over Netskope Private Access:

Wat zijn de vereisten voor het implementeren van een publisher in een VMware-omgeving?

De systeemvereisten voor Netskope Private Access verschillen per implementatieomgeving. Raadpleeg voor meer informatie de systeemvereisten voor een Netskope Private Access Publisher.

Welke poorten zijn vereist om Netskope Private Access goed te laten functioneren?

Ik weet niet zeker welke TCP- en UDP-poorten mijn applicatie nodig heeft om te werken. Wat kan ik doen?

Om gebruikers aan te sluiten op applicaties and services moet een Netskope Private Access-beheerder op enkele locaties het beleid voor privé-apps in de Netskope-gebruikersinterface configureren. Hier volgen de configuratieopties en -gegevens voor bekende applicatie- en servicetypen.

Applicatie	Protocol en poort	Factoren
Webverkeer	TCP: 80, 443 (aangepaste poorten: 8080, enzovoort) UDP: 80, 443	Google Chrome gebruikt voor sommige webapplicaties het QUIC-Protocol (HTTP/S via UDP). Het dupliceren van de webbrowserpoorten voor zowel TCP als UDP kunnen prestatieverbetering opleveren.
SSH	TCP: 22	Niet van toepassing
Remote Desktop (RDP)	TCP: 3389 UDP: 3389	Sommige Windows RDP-client-apps (Remote Desktop Protocol) (zoals nieuwere Windows 10-versies) geven de voorkeur aan UDP:3389 om verbinding met extern bureaublad uit te voeren.
Windows SQL Server	TCP: 1433, 1434 UDP: 1434	De standaardpoort voor Windows SQL Server is 1433, hoewel dit in uw omgevingen kan worden aangepast. Zie De Windows Firewall configureren om SQL Server-toegang toe te staan voor meer informatie.
MySQL	TCP: 3300-3306, 33060 TCP: 33062 (voor specifieke admin-verbindingen)	Voor algemene MySQL-verbindingen is alleen poort 3306 vereist, maar sommige gebruikers kunnen profiteren van de extra MySQL-functiepoorten. Netskope beveelt het gebruik aan van een poortbereik voor MySQL database-privé-apps. MySQL blokkeert verbindingen van de Netskope Private Access-publisher, omdat het de bereikbaarheidstest als mogelijke aanval detecteert. Het gebruik van een bereik in de poortconfiguratie leidt ertoe dat de Netskope Private Access-publisher alleen een bereikbaarheidscontrole uitvoert op de eerste poort in het bereik. Hiermee wordt voorkomen dat MySQL dit verkeer ziet en de poortblokkade vermijdt. Raadpleeg de MySQL Port Reference Tables voor meer informatie.

Kan Netskope Private Access tunnels opzetten naar protocollen en poorten die buiten de hierboven genoemde gangbare opties vallen?

Ja. Netskope Private Access kan tunnels aanleggen naar apps die buiten die lijst vallen. Netskope Private Access ondersteunt zowel de TCP- als UDP-protocollen en alle bijbehorende poorten, met één opvallende uitzondering: Netskope biedt geen tunneling voor het meeste DNS-verkeer, maar we ondersteunen wel het tunnelen van DNS-service (SRV)-lookups via poort 53. Dit is nodig voor het detecteren van services, wat gebruikt wordt in verschillende Windows Active Directory-scenario's met betrekking tot LDAP, Kerberos en meer.

Welke services en polling-interval gebruikt een publisher om te controleren of er een privé-app of service beschikbaar is?

Het polling-interval is ongeveer een minuut.

Netskope Private Access Publisher probeert verbinding te maken met een geconfigureerde poort op een privé-app om te controleren of de privé-app bereikbaar is.

Belangrijke factoren om rekening mee te houden:

• De publisher werkt het beste wanneer u privé-apps definieert op hostnaam (bijvoorbeeld jira.globex.io) en poort (bijvoorbeeld 8080).
• Wanneer een app is opgegeven met meerdere poorten of een poortbereik, gebruikt de publisher de eerste poort uit de lijst of het bereik om de beschikbaarheid te controleren.
• De publisher kan de bereikbaarheid niet controleren voor privé-apps die zijn gedefinieerd met een jokerteken (*.globex.io) of CIDR-block (10.0.1.0/24). Het controleert ook niet de bereikbaarheid van apps met poortbereiken die zijn gedefinieerd (3305-3306).

Wat gebeurt er als het registratietoken van de publisher beschadigd is tijdens de initiële implementatie? Kan ik deze lokaal opnieuw instellen op de publisher?

Als de registratie mislukt (bijvoorbeeld omdat er een cijfer is gemist bij het invoeren van de registratiecode), SSH naar de uitgever en een nieuw registratietoken verstrekken.

Als de registratie is geslaagd, maar u hebt besloten om de publisher te registreren met een ander token, wordt dit niet ondersteund en niet aanbevolen. Installeer in dat geval de publisher opnieuw.

Is Netskope Private Access geschikt voor ICMP-tunneling?

Nee. Netskope Private Access biedt geen tunnel voor ICMP, alleen TCP en UDP. U kunt geen ping of traceroute uitvoeren over Netskope Private Access om netwerkverbindingen te testen.

Ondersteunt Netskope Private Access tunnelverbindingen die zijn gemaakt vanuit een privé-app naar een client?

Nee. Netskope Private Access biedt geen ondersteuning voor protocollen die verbindingen van een privé-app naar een client tot stand brengen. De actieve modus van FTP wordt bijvoorbeeld niet ondersteund.

Kunnen publisher-verbindingen worden voorzien van een proxy of TLS-terminationproxy?

Nee. De publisher voert SSL-pinning uit voor het registratieproces en certificaatauthenticatie op de server aan de hand van een specifiek certificaat.

Als er in dit geval een proxy is die de TLS-verbinding beëindigt, moet de bestemming op de lijst van toegestane doelen worden vermeld of worden omzeild (*.newedge.io).

Welk IP-adres wordt gezien op het niveau van de privé-app vanuit Netskope Private Access voor privé-app-allowlisting? Is er een bereik?

De privé-app-host ziet de verbinding als afkomstig van het IP-adres van de publisher waarmee verbinding wordt gemaakt. Er is geen bereik. Afhankelijk van het aantal uitgevers dat wordt gebruikt om verbinding te maken met de host van de privé-app, moet u elk van deze IP-adressen op de toelatingslijst zetten.

Hoe kan ik SSH opzetten naar de publisher van Amazon Web Services?

Indien geïmplementeerd in Amazon Web Services, wijst u de Amazon Machine Image (AMI) toe aan een KeyPair.pem die je al hebt (of een nieuwe KeyPair.pem) tijdens de bevoorrading van de uitgever.

Typ vanaf een SSH-client ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] en druk vervolgens op Enter.

Nadat u SSH hebt gebruikt om verbinding te maken met de uitgever, wordt u in een interactief opdrachtregelinterface (CLI)-menu geplaatst. U kunt optie 3 kiezen om in een normale UNIX-CLI terecht te komen voor verdere probleemoplossing. Raadpleeg voor meer informatie Wat is een goede methode voor het oplossen van toegankelijkheidsproblemen voor een privé-app/-service achter een uitgever?

Hoe kom ik met SSH naar de VMware Publisher?

1. Klik met de rechtermuisknop op het Windows-startmenu en vervolgens op Uitvoeren.
   
2. Typ in de UI-RUN cmd en druk vervolgens op OK.
   
3. Typ in de opdrachtprompt ssh centos@<PUBLISHER> en druk vervolgens op Enter.
   Opmerking:

   • <PUBLISHER> = Het externe IP-adres van de uitgever
   • De standaard referenties voor de publisher zijn:
     • Username: centos
     • Password: centos
   • Het wachtwoord moet worden gewijzigd na de eerste aanmelding.

Ondersteunen publishers actief/actief in het geval van meerdere publishers die toegang hebben tot dezelfde privé-app?

Uitgevers werken in een actieve/passieve modus. Al het verkeer gaat naar een eerste publisher als deze operationeel (verbonden) is. Als het uitvalt, schakelt het over naar een secundaire uitgever.

Wat is een goede methode voor het oplossen van toegankelijkheidsproblemen met een privé-app of service achter een publisher?

1. De eerste beste optie is om de Troubleshooter te gebruiken. Klik op Probleemoplosser op de pagina Privé-apps .
   
2. Kies de juiste privé-app en het juiste apparaat om toegang toe te krijgen en klik vervolgens op Problemen oplossen.
   
3. De Troubleshooter toont de lijst met uitgevoerde controles, problemen die van invloed kunnen zijn op uw configuratie en oplossingen.
   

Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.