Netskope Private Access 란 무엇입니까?

이 가이드에서는 Netskope Private Access의 특징과 기능을 간략하게 설명합니다.

영향을 받는 제품:

• Netskope

영향을 받는 버전:

• 릴리스 70+

Netskope Private Access는 다음을 수행하는 최신 원격 액세스 서비스입니다.

• 팬 아웃을 통해 퍼블릭 클라우드(예: Amazon Web Services, Azure, Google Cloud Platform)와 데이터 센터 모두에서 여러 네트워크의 애플리케이션에 액세스할 수 있습니다.
• 네트워크 액세스 대신 수평 이동을 통한 제로 트러스트 애플리케이션 수준 액세스 제공
• 전 세계적으로 확장 가능한 클라우드 서비스로 제공됨

Netskope Private Access는 Service Publishing이라고 하는 기능을 통해 이러한 이점을 제공합니다. Service Publishing은 엔터프라이즈의 네트워크 엣지 대신 Netskope 클라우드 플랫폼에서 그리고 Netskope 클라우드 플랫폼을 통해 엔터프라이즈 애플리케이션을 사용할 수 있도록 합니다.

Netskope 클라우드 플랫폼은 엔터프라이즈 애플리케이션에 액세스하는 인터넷상의 위치입니다. 어떤 의미에서는 DMZ(Demilitarized Zone)의 액세스 구성 요소를 표면화합니다. 이러한 방식으로 원격 액세스를 표면화하는 것은 기존 VPN(Virtual Private Network)과 프록시 기반 원격 액세스 방식에 비해 몇 가지 이점이 있습니다. Service Publishing의 전반적인 아키텍처와 Delivery-as-a-Service 모델은 IT 트렌드와 일치합니다. 여기에는 IaaS(Infrastructure as a Service), 하이브리드 IT 및 데이터 센터, 퍼블릭 클라우드, SaaS(Software as a Service)에서 엔터프라이즈 애플리케이션을 분산적으로 제공하는 기능이 포함됩니다.

Netskope Private Access는 SaaS 및 웹에 안전하게 액세스하기 위해 Netskope의 플랫폼을 확장합니다. 여기에는 데이터 센터와 퍼블릭 클라우드 내에서 엔터프라이즈의 방화벽 뒤에 있는 전용 애플리케이션에 대한 안전한 액세스가 포함됩니다.

다음은 Netskope Private Access에 대한 일반적인 질문입니다.

VMware 환경에 게시자를 배포하기 위한 요구 사항은 무엇입니까?

Netskope Private Access 시스템 요구 사항은 배포 환경에 따라 다릅니다. 자세한 내용은 Netskope Private Access 게시자를 위한 시스템 요구 사항을 참조하십시오.

Netskope Private Access가 올바르게 작동하려면 어떤 포트가 필요합니까?

내 응용 프로그램이 작동하려면 어떤 TCP 및 UDP 포트가 필요한지 확실하지 않습니다. 어떻게 해야 합니까?

애플리케이션 및 서비스에 사용자를 연결하려면 일부 위치의 Netskope UI 내에서 Netskope Private Access 관리자가 전용 앱 정책을 구성해야 합니다. 다음은 알려진 애플리케이션 및 서비스 유형에 대한 구성 옵션 및 세부 정보입니다.

애플리케이션	프로토콜 및 포트	요소
웹 트래픽	TCP: 80, 443(맞춤형 포트: 8080 등) UDP: 80, 443	Google Chrome은 일부 웹 애플리케이션에 QUIC 프로토콜(UDP 기반 HTTP/S)을 사용합니다. TCP와 UDP 모두에 대해 웹 검색 포트를 복제하면 성능이 향상될 수 있습니다.
SSH	TCP: 22	해당 사항 없음
원격 데스크탑(RDP)	TCP: 3389 업데이트 3389	일부 Windows RDP(Remote Desktop Protocol) 클라이언트 앱(예: 최신 Windows 10 버전)은 UDP: 3389를 사용하여 원격 데스크탑을 연결하는 것을 선호합니다.
Windows SQL Server	TCP: 1433년, 1434 년 UDP: 1434	Windows SQL Server의 기본 포트는 1433이지만 사용자 환경에서 맞춤 구성할 수 있습니다. 자세한 내용은 SQL Server 액세스를 허용하도록 Windows 방화벽 구성을 참조하십시오.
MySQL	TCP: 3300-3306, 33060 TCP: 33062(관리자 특정 접속의 경우)	일반적인 MySQL 연결을 사용하는 경우 포트 3306만 필요하지만 일부 사용자는 추가 MySQL 기능 포트를 사용할 수 있습니다. Netskope는 MySQL 데이터베이스 전용 앱 포트 범위를 사용할 것을 권장합니다. MySQL은 연결 테스트를 잠재적인 공격으로 탐지하므로 Netskope Private Access 게시자의 연결을 차단합니다. 포트 구성의 범위를 사용하면 Netskope Private Access 게시자가 범위의 첫 번째 포트에서만 연결성 검사를 수행합니다. 이렇게 하면 MySQL에서 이 트래픽을 볼 수 없으며 포트 블록이 발생하지 않습니다. 자세한 내용은 MySQL 포트 참조 테이블을 참조하십시오.

Netskope Private Access에서 위에 나열된 일반적인 프로토콜 및 포트가 아닌 프로토콜 및 포트를 터널링할 수 있습니까?

예. Netskope Private Access에서는 해당 목록에 없는 앱을 터널링할 수 있습니다. Netskope Private Access는 TCP 및 UDP 프로토콜과 모든 관련 포트를 지원합니다. 단, 한가지 눈에 띄는 예외가 있습니다. Netskope는 대부분의 DNS 트래픽을 터널링하지 않지만, 포트 53을 통한 DNS 서비스(SRV) 조회를 터널링하는 기능을 지원합니다. 이는 LDAP, Kerberos 등과 관련된 다양한 Windows Active Directory 환경에서 사용되는 서비스 검색에 필요합니다.

전용 앱 및 서비스를 사용할 수 있는지 여부를 확인하기 위해 게시자가 사용하는 서비스 및 폴링 간격은 무엇입니까?

폴링 간격은 약 1분입니다.

Netskope Private Access Publisher는 비공개 앱에 연결할 수 있는지 여부를 확인하기 위해 비공개 앱의 구성된 포트에 연결을 시도합니다.

고려해야 할 중요한 요소:

• 게시자는 호스트 이름(예: jira.globex.io)과 포트(예: 8080)를 통해 전용 앱을 정의하는 경우 가장 효과적으로 작동합니다.
• 여러 개의 포트 또는 포트 범위를 사용하여 앱을 지정하는 경우 게시자는 목록 또는 범위의 첫 번째 포트를 사용하여 가용성을 확인합니다.
• 게시자는 와일드카드(*.globex.io) 또는 CIDR 블록(10.0.1.0/24)을 사용하여 정의된 전용 앱에 대한 연결을 확인할 수 없습니다. 포트 범위가 정의된 앱(3305-3306)의 연결도 확인하지 않습니다.

초기 배포 중에 게시자 등록 토큰이 손상되면 어떻게 됩니까? 게시자에서 로컬로 다시 설정할 수 있습니까?

등록에 실패하는 경우(예: 등록 코드를 입력하는 동안 숫자가 누락되었기 때문에) 게시자에 SSH로 연결하고 새 등록 토큰을 제공합니다.

등록에 성공했지만 다른 토큰을 사용하여 게시자를 등록하기로 결정한 경우 이 작업은 지원되지 않으며 권장되지 않습니다. 이 시나리오에서는 게시자를 다시 설치합니다.

Netskope Private Access에서 ICMP를 터널링할 수 있습니까?

아니요. Netskope Private Access에서는 ICMP가 아니라 TCP와 UDP만 터널링합니다. Netskope Private Access에 대해 ping 또는 traceroute 명령을 실행하여 네트워크 연결을 테스트할 수 없습니다.

Netskope Private Access는 전용 앱에서 클라이언트로 설정된 연결 터널링을 지원합니까?

아니요. Netskope Private Access에서는 전용 앱에서 클라이언트까지 연결을 설정하는 프로토콜을 지원하지 않습니다. 예를 들어, FTP 활성 모드는 지원되지 않습니다.

게시자 연결을 프록시 설정 또는 TLS 종료할 수 있습니까?

아니요. 게시자는 특정 인증서에 대한 등록 프로세스와 서버측 인증서 인증을 위해 SSL을 고정합니다.

이 경우 TLS 연결을 종료하는 프록시가 있는 경우 대상을 허용 목록에 추가하거나 우회해야 합니다(*.newedge.io).

전용 앱 허용 목록의 경우 Netskope Private Access에서 전용 앱 수준에 표시되는 IP 주소는 무엇입니까? 범위가 있습니까?

전용 앱 호스트에 연결되는 게시자의 IP 주소에서 시작되는 연결이 표시됩니다. 범위는 없습니다. 전용 앱 호스트에 연결하는 데 사용되는 게시자 수에 따라 각 IP 주소를 허용 목록에 등록해야 합니다.

Amazon Web Services 게시자에 SSH를 실행하려면 어떻게 해야 합니까?

Amazon Web Services에 배포된 경우 AMI(Amazon Machine Image)에 KeyPair.pem 이미 가지고 있는(또는 새 KeyPair.pem) 게시자를 프로비저닝하는 동안 사용할 수 있습니다.

SSH 클라이언트에서 다음을 입력합니다. ssh -i [KEYPAIR.PEM] centos@[PUBLISHER] 를 입력하고 키를 누릅니다.

SSH를 사용하여 게시자에 연결하면 대화형 CLI(명령줄 인터페이스) 메뉴로 이동합니다. 추가 문제 해결을 위해 옵션 3을 선택하여 정상 UNIX CLI로 이동할 수 있습니다. 자세한 내용은 게시자 뒤에 있는 개인 앱/서비스에 대한 접근성 문제를 해결하는 좋은 방법은 무엇입니까?를 참조하세요.

VMware 게시자에 SSH를 실행하려면 어떻게 해야 합니까?

1. Windows 시작 메뉴를 마우스 오른쪽 버튼으로 클릭한 다음 Run을 클릭합니다.
   
2. Run UI에서 다음을 입력합니다. cmd 입력한 다음 OK를 누릅니다.
   
3. 명령 프롬프트에 다음을 입력합니다. ssh centos@<PUBLISHER> 를 입력하고 키를 누릅니다.
   참고:

   • <PUBLISHER> = 게시자의 외부 IP 주소
   • 게시자의 기본 자격 증명은 다음과 같습니다.
     • 사용자 이름: centos
     • 비밀번호: centos
   • 암호는 처음 로그인한 후에 변경해야 합니다.

여러 게시자에게 동일한 전용 앱에 대한 액세스 권한이 있는 경우 게시자가 액티브/액티브를 지원합니까?

게시자는 액티브/패시브 모드로 작동합니다. 모든 트래픽은 작동되는(연결된) 경우 첫 번째 게시자로 이동합니다. 다운되면 보조 게시자로 전환됩니다.

게시자 뒤에 있는 전용 앱 또는 서비스에 대한 접근성 문제를 해결하는 좋은 방법은 무엇입니까?

1. 가장 좋은 옵션은 문제 해결사를 사용하는 것입니다. Private Apps 페이지에서 Troubleshooter를 클릭합니다.
   
2. 액세스할 적절한 개인 앱 및 디바이스를 선택한 다음 Troubleshoot를 클릭합니다.
   
3. 문제 해결사는 수행된 검사 목록, 구성에 영향을 미칠 수 있는 문제 및 솔루션을 렌더링합니다.
   

지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.