Netskope SSEを通してトラフィックを制御する方法 - 専用固定Egress IP(DEI)編

この記事はNetskopeが公開している"Steering Traffic through Netskope Security Service Edge"の翻訳となります。

本記事ではNetskope クライアント接続要件編についての翻訳を記載します。

専用固定Egress IP(DEI)

Netskopeはオプションとして、お客様のテナント毎に専⽤IPアドレスを提供することができます。本機能はアドオンライセンスとしご提供しており、全てのNewEdgeデータプレーンで利⽤可能です。このソリューションでは、1テナントにつき1データプレーンにつき最低2つのIPアドレスがNetskope所有のIPレンジから割り当てられ、これらのIPレンジは共有プールレンジとは完全に分離されています。

顧客テナントからのすべてのトラフィック（SWG、クラウドファイアウォール）は、これらのIPアドレスを使⽤します。Netskopeはまた、専⽤Egress IPを経由して特定のトラフィックのみを誘導するポリシーを設定する機能も備えています。

顧客のトラフィック要件に応じて、データプレーンごとに最⼤8つのIPアドレスを利⽤でき、ポートの枯渇は積極的に監視されます。

このオプションには以下のメリットがあります。
• Netskope SSEプラットフォームを経由しない場合、ユーザーがパブリックWebやクラウドア
プリケーションにアクセスできないようにするための広範なセキュリティコントロールとして使⽤できます。
• これは、Microsoft Azure AD（Entra AD）の条件付きアクセスポリシーのようなアクセス制御ポリシーで、クラウドアプリや特定のリスクの⾼い操作へのアクセスに対する追加の信頼基準として使⽤できます。
• ローミング時にアプリケーションにアクセスするには、Netskope クライアントを有効化/インストールする必要があります。
• 許可されたエグレスIPを活⽤するために、アプリケーション・アクセスをプライベート・データセンターにバックホールする必要がなくなります。
• トラフィックはNetskope SSEプラットフォームを通過するため、マルウェア/脅威、DLP、RBIなどのセキュリティ制御が適⽤されます。
• Netskope Cloud Firewallは、⾮Web（TCP/UDP）アプリケーションやポートへのアクセスに同じ専⽤IPアドレスを使⽤します。
• IPアドレスは契約期間中、顧客テナント専⽤となります。

図9:Netskope 専用IP範囲