Что такое Netskope Private Access

В этой статье приведено краткое описание функций и характеристик программы Netskope Private Access.

Затронутые продукты:

• Netskope

Затронутые версии:

• Версия 70+

Netskope Private Access — это современная служба удаленного доступа, которая:

• Разветвление для обеспечения доступа к приложениям в нескольких сетях, как в общедоступном облаке (например, Amazon Web Services, Azure, Google Cloud Platform), так и в центре обработки данных
• Обеспечивает доступ на уровне приложений по модели нулевого доверия вместо сетевого доступа с горизонтальным перемещением
• Предоставляется в виде облачного сервиса с масштабируемым охватом по всему миру

Netskope Private Access предоставляет эти преимущества благодаря специальной возможности под названием Service Publishing. Service Publishing предоставляет доступ к корпоративным приложениям на облачной платформе Netskope и через нее, а не на периферии корпоративной сети.

Облачная платформа Netskope становится местоположением в Интернете, через которое осуществляется доступ к корпоративным приложениям. В некотором смысле это делает компоненты доступа демилитаризованной зоны (ДМЗ) внешними. Внешний удаленный доступ таким образом имеет несколько преимуществ по сравнению с традиционными виртуальными частными сетями (VPN) и подходами удаленного доступа на основе прокси-серверов. Общая архитектура и модель предоставления услуг в рамках системы Service Publishing соответствуют тенденциям в области ИТ-инфраструктуры. К ним относятся инфраструктура как услуга, гибридная ИТ-инфраструктура и децентрализованная доставка корпоративных приложений из центра обработки данных, общедоступного облака и ПО как услуги (SaaS).

Netskope Private Access расширяет платформу Netskope для безопасного доступа к SaaS и Интернету. Система включает безопасный доступ к частным приложениям, которые находятся за брандмауэрами предприятия в центре обработки данных и общедоступном облаке.

Ниже приведены распространенные вопросы о Netskope Private Access:

Каковы требования к развертыванию издателя в среде VMware?

Требования к системе частного доступа Netskope различаются в зависимости от среды развертывания. Дополнительные сведения см. в разделе Системные требования для издателя Netskope Private Access.

Какие порты необходимы для корректной работы Netskope Private Access?

Я не знаю, какие порты TCP и UDP нужны моему приложению для работы. Что делать?

Для подключения пользователей к приложениям и службам администратор закрытого доступа Netskope должен настроить политики частных приложений в пользовательском интерфейсе Netskope в нескольких местах. Здесь приведены параметры конфигурации и сведения об известных типах приложений и служб.

Приложение	Протокол и порт	Факторы
Веб-трафик	TCP: 80, 443 (пользовательские порты: 8080 и т.д.) UDP: 80, 443	Google Chrome использует протокол QUIC (HTTP/S через UDP) для некоторых веб-приложений. Дублирование портов браузера для TCP и UDP может повысить производительность.
SSH	TCP: 22	Неприменимо
Удаленный рабочий стол (RDP)	TCP: 3389 УДП: 3389	Некоторые клиентские приложения RDP Windows (например, более новые версии Windows 10) используют порт UDP:3389 для подключения к удаленному рабочему столу.
Windows SQL Server	TCP: 1433, 1434 UDP: 1434	Порт по умолчанию для Windows SQL Server — 1433, хотя вы можете изменить его в своих средах. Дополнительные сведения см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.
MySQL	TCP: 3300-3306, 33060 TCP: 33062 (для подключений, предназначенных для администратора)	Для общих сценариев использования подключения MySQL требуется только порт 3306, но некоторые пользователи могут воспользоваться дополнительными портами функций MySQL. Netskope рекомендует использовать диапазон портов для частных приложений базы данных MySQL. MySQL блокирует подключения от издателя Netskope Private Access, так как система расценивает проверку доступности как потенциальную атаку. Использование диапазона в конфигурации портов приводит к тому, что издатель Netskope Private Access выполняет проверку доступности только на первом порте диапазона. Это не позволяет MySQL видеть этот трафик и избегать блокировки портов. Дополнительные сведения см. в Справочниках портов MySQL.

Могут ли протоколы и порты туннеля Netskope Private Access выходить за пределы общих значений, перечисленных выше?

Да. Netskope Private Access может туннелировать приложения за пределами этого списка. Netskope Private Access поддерживает протоколы TCP и UDP, а также все связанные порты с одним важным исключением: Netskope не туннелирует большинство DNS-трафика, но поддерживает туннелирование поиска DNS-служб (SRV) через порт 53. Это необходимо для обнаружения служб, которое используется в различных сценариях Windows Active Directory, связанных с LDAP, Kerberos и др.

Какие службы и временные интервалы опроса использует издатель для проверки доступности частного приложения и службы?

Интервал опроса составляет около одной минуты.

Netskope Private Access Publisher пытается подключиться к настроенному порту частного приложения, чтобы проверить, доступно ли частное приложение.

Важные факторы, которые необходимо учитывать:

• Издатель лучше всего работает при определении личных приложений по имени хоста (например, jira.globex.io) и порту (например, 8080).
• Если приложение указано с несколькими портами или диапазоном портов, издатель будет использовать только первый порт из списка или диапазона для проверки доступности.
• Издатель не может проверить доступность для частных приложений, которые определены с помощью подстановочного знака (*.globex.io) или блока CIDR (10.0.1.0/24). Кроме того, он не проверяет доступность приложений с определенными диапазонами портов (3305–3306).

Что произойдет, если регистрационный токен издателя будет поврежден во время первоначального развертывания? Могу ли я сбросить его локально у издателя?

Если регистрация не удалась (например, из-за того, что при вводе регистрационного кода была пропущена цифра), подключитесь по SSH к вебмастеру и введите новый регистрационный токен.

Если регистрация прошла успешно, но вы решили зарегистрировать издателя с другим токеном, такой подход не поддерживается и не рекомендуется. В этом сценарии переустановите издателя.

Может ли Netskope Private Access туннелировать ICMP?

Нет. Netskope Private Access не туннелирует ICMP, только TCP и UDP. Для проверки сетевых подключений нельзя запустить команду ping или трассировку через Netskope Private Access.

Поддерживает ли Netskope Private Access туннелирование соединений, установленных от частного приложения к клиенту?

Нет. Netskope Private Access не поддерживает протоколы, которые устанавливают соединения между частным приложением и клиентом. Например, активный режим FTP не поддерживается.

Можно ли проксировать соединения издателя или прерывать его TLS-соединения?

Нет. Издатель выполняет привязку SSL для процесса регистрации и проверки подлинности сертификата на стороне сервера для конкретного сертификата.

В этом случае при наличии прокси-сервера, который прерывает TLS-соединение, целевой объект должен быть занесен в разрешенный список или обойден (*.newedge.io).

Говоря о списке разрешенных частных приложений, какой IP-адрес отображается на уровне частного приложения в Netskope Private Access? Есть ли диапазон?

Хост закрытого приложения видит соединение как исходящее от IP-адреса издателя, который к нему подключается. Диапазон отсутствует. В зависимости от количества издателей, используемых для подключения к хосту частных приложений, внесите в список разрешенных все подобные IP-адреса.

Как выполнить подключение по SSH к издателю Amazon Web Services?

При развертывании в Amazon Web Services назначьте Amazon Machine Image (AMI) KeyPair.pem которые у вас уже есть (или сгенерируйте новый KeyPair.pem) во время подготовки издателя.

В клиенте SSH введите ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] и затем нажмите клавишу Enter.

После успешного использования SSH для подключения к издателю вы попадете в интерактивное меню интерфейса командной строки (CLI). Можно выбрать вариант 3, после чего вы перейдете в обычный интерфейс командной строки UNIX для дополнительного поиска и устранения неисправностей. Дополнительные сведения см. в статье Каков хороший метод устранения проблем со специальными возможностями для частного приложения или службы за издателем?

Как выполнить подключение по SSH к издателю VMware?

1. Нажмите правой кнопкой мыши меню Windows «Пуск», затем нажмите Выполнить.
   
2. В интерфейсе «Выполнить » введите cmd и нажмите OK.
   
3. В командной строке введите ssh centos@<PUBLISHER> и затем нажмите клавишу Enter.
   Примечание.

   • <PUBLISHER> = внешний IP-адрес издателя
   • Учетные данные издателя по умолчанию:
     • Имя пользователя: centos
     • Пароль: centos
   • Пароль необходимо изменить после первого входа в систему.

Поддерживают ли издатели режим «активный-активный» в случае наличия нескольких издателей, имеющих доступ к одному и тому же частному приложению?

Издатели работают в режиме «активный-пассивный». Весь трафик направляется первому издателю, если он работает (подключен). Если он выходит из строя, он переключается на дополнительного издателя.

Какой способ устранения проблем с доступностью для частного приложения или службы издателя является предпочтительным?

1. Наиболее предпочтительным вариантом является использование средства устранения неполадок. Нажмите Средство устранения неполадок на странице «Частные приложения».
   
2. Выберите нужное частное приложение и устройство для доступа, а затем нажмите Устранение неполадок.
   
3. Средство устранения неполадок отображает список выполненных проверок и проблем, которые могут повлиять на конфигурацию, а также их решений.
   

Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.