Netskope SSEを通してトラフィックを制御する方法 - ネットワークトンネル編

この記事はNetskopeが公開している"Steering Traffic through Netskope Security Service Edge"の翻訳となります。

本記事ではNetskope クライアントパケットフロー編についての翻訳を記載します。

■ネットワークトンネル

Netskopeクライアントをインストール出来ない場合もあります。このような場合、ネットワークトンネルの使用が推奨されます。NetskopeはIPSecとGREトンネルをサポートしているので、これらを利用可能な機器とネットワークトンネルを介して接続することが可能です。

ネットワークトンネルを利用して接続するシステムの例として、ルーター、ファイアウォール、SD-WANアプライアンス、またはAWS、Azure、GCPなどのパブリッククラウドプラットフォーム等が挙げられます。

ネットワークトンネルを使用すべき/検討すべきシナリオ：
　・明示的なユーザーログイン不要で動作するサーバー
　・管理されたネットワーク上の非管理デバイス、例えばゲストWi-Fi
　・Netskopeクライアントをサポートしていないデバイス、例えばIoT/スマートデバイス

ネットワークトンネルは、以下のいずれかを使用して、インライントラフィックをNetskopeにステアするように設定できます：
　・透過的なポリシーベースドフォワーディング（PBF）
　・明示的プロキシ(トンネルと連携して使用される場合、Explicit Proxy over Tunnel（EPoT）としてよく知られています。)

また、NetskopeのBorderless SD-WANオファリングも使用できます。これにより、トンネルのオーケストレーションが提供され、HWベースまたは仮想エッジデバイスからSSEへのトンネルを自動的に設定できます。これにより、ネットワークトンネルを使用してトラフィックをNetskopeにステアするシームレスな方法が提供されます。他のSD-WANベンダーとの統合も利用可能であり、こちらで文書化されています：
https://docs.netskope.com/en/netskope-help/integrations-439794/ipsec-and-gre/

図4:トンネルステアリング例

■前提条件

・SSL復号が必要なすべてのデバイスにNetskope ルートCAおよび中間CA証明書をインストールします。
・顧客が所有するIdPでユーザ認証をするようにSAML Forward Proxyを設定します。
・アイデンティティとポリシーベースの決定に対して実際のエンドポイントデバイスのIPアドレスが使用されるように、Netskopeへトンネルを開始するネットワークデバイスでNATが有効になっていないことを確認します。
・トラフィックを送信する各Netskopeデータプレーンに少なくとも2つのトンネルが設定されていることを確認します。

■IPsec Tunnels

インターネットプロトコルセキュリティ (IPsec) は、データのパケットを認証および暗号化して、2つのエンドポイント間に安全な暗号化通信を提供する安全なネットワークプロトコルです。

サポート機能と制限：
　・IPsecトンネルごとに最大16,000ホスト
　・トンネルごとに500Mbpsのスループット制限。
　※Netskopeの承認があれば1Gbpsまで利用可能であり、追加のSKUとして購入可能です。
　・NAT-Tトラバーサルを有効にする必要があります
　・一回のIKE接続あたりの最大トンネル数(SA)は10です
　・IKEv2のみサポート
　・異なるソースIDを使用して、1つのソースピアIPごとに複数のトンネルを作成できます。
　・認証：事前共有キー(Pre-Shared-Key)
　・同じユーザーまたはエンドポイントからのトラフィックは、同じトンネルを通過する必要があります。ロードバランシングはソースIPパーシステンスがサポートされています。

サポートされるIKEv2パラメータ：
フェーズ1パラメーター
　・暗号化アルゴリズム: AES128-CBC, AES192-CBC, AES256-CBC
　・完全性アルゴリズム: SHA256, SHA384, SHA512
　・DH Group: 14, 15, 16, 18
　・SA lifetime: 24 hours
　・Dead Peer Detection (DPD)

フェーズ2パラメーター
　・暗号化アルゴリズム: AES128-CBC, AES256-CBC, AES128-GCM, AES192-GCM, AES256-GCM, Null
　・完全性アルゴリズム: SHA256, SHA384, SHA512
　・DH Group: 14, 15, 16, 18
　・PFS: Supported
　・SA lifetime: 2 hours

■GRE Tunnels

Generic Routing Encapsulation (GRE)は、仮想ポイントツーポイントリンク内にさまざまなネットワークレイヤープロトコルをカプセル化できるトンネリングプロトコルです。GREは、Netskope NewEdge DPで終端する論理トンネルインターフェースを使用します。NewEdge GREゲートウェイは、トンネルのソースピア（ルーター/ファイアウォール）IPを、Netskopeユーザーインターフェース（UI）で設定されたソースピアと照合します。

対応機能と制限：
　・GREトンネルごとに最大64,000ホスト。
　・トンネルごとに1 Gbpsのスループット制限。
　・各NetskopeデータプレーンごとにソースピアIPあたり最大1つのトンネル。
　・ICMPキープアライブはプローブIPにのみ送信する必要があります。

GREトンネルが暗号化されていないにもかかわらず、GREトンネルを通過するウェブトラフィックの大半はHTTPSを使用して暗号化されます。暗号化されていないHTTPトラフィックは通常トラフィックの5％未満ですが、クリアな状態で送信されます。

■Policy Based Forwarding(PBF)

PBFはエンドポイントに対して透過的であり、デフォルトでTCP/80(HTTP)およびTCP/443(HTTPS) を操作するように設定する必要があります。非標準のウェブポートもサポートされていますが、トラフィックが受け入れられるようにテナントのステアリング設定で設定する必要があります。 Cloud Firewallが有効になっている場合は、インターネットバウンドの全てのTCP、UDP、および ICMP トラフィックをトンネル経由で誘導できます。

PBFには、トラフィックをNetskopeに誘導するためにエンドポイントに特定の構成を必要としないという利点があります。従って、「プロキシ対応」ではないアプリケーションをサポートできます。 PBFはSAMLを使用した認証をサポートしており、ドメイン、ウェブカテゴリ、ユーザーソースIPアドレス、およびEgress（ISP）ソースIPアドレスに基づいて無効にすることもできます。

重要:ネットワークトンネル経由で受け入れられるように構成されているトラフィックのみを誘導します。 他のトラフィックはすべてドロップされます。

図5:IPSec / GRE - ポリシーベースのフォワーディング

図6:Netskope BWAN GW デバイスを使⽤した IPsec - ポリシーベースのフォワーディング

■Explicit Proxy over Tunnel（EPoT）

EPoTは他の明⽰プロキシ設定と似ていますが、明⽰プロキシのエンドポイントはIPsecまたはGREトンネルが確⽴されているときだけ利⽤可能となります。プロキシ⾃動設定(PAC)ファイルを使⽤するか、クライアント内で明⽰プロキシのIPとポートを⼿動で設定することで、明⽰プロキシを使⽤するようにクライアントを誘導できます。

EPoT は、Netskope NewEdge へのトンネルを確⽴するデバイスまたはクラウドが PBF をサポートしていない場合に便利です。トンネル上で明⽰なプロキシトラフィックを誘導するには、スタティックルートを定義する必要があります。EPoTはSAMLを使⽤した認証をサポートしています。
従来の明⽰プロキシ導⼊と⽐較したEPoTのもう1つの利点は、ユーザーのプライベートIPがSSEから⾒えるため、認証がオプションではない場合に⾼度なロギングとIPベースのアクセスポリシーが可能になることです。
重要︓専⽤明⽰プロキシIPは163.116.128.80 163.116.128.81、ポート80です。このIPアドレスはどのNetskope DPからもアクセス可能で、ローカルで終端します。これらのIPがネットワークトンネル上でルーティングされるように32ルートを追加してください。

図7:IPsec / GRE - トンネル上の明⽰プロキシ