Zenn
📘

NPA Publisherを登録する

2024/01/10に公開
Security
#
VPN
#
ランサムウェア
#
netskope
#
ztna
tech

本記事では、NetskopeのZTNAソリューションであるNPAを利用し、AWS環境にNPA Publisherを登録する手順を解説します。なお、NPAの概要について知りたい方は「VPNより安全なZTNAをNetskopeで実現するNPAとは?」をご参照ください。

■NPA Publisherを登録する

NPA Publisherとはお客様のアプリケーションとNetskopeを接続するためにお客様環境に設置するコンポーネントです。従来のVPNゲートウェイに相当します。VM等を利用しアクセス対象のリソースに近い部分に構築することが可能です。本記事は下図の①Publisherの登録について解説します。

■Publisher構成要件などの確認

Publisherの必要スペック等が記載されているページを紹介します。本番環境等で構築する場合には必ず内容を確認し、最適な環境となるように考慮してください。

・Publisherサポートポリシー

推奨されるPublisherのバージョンアップ周期等が記載されています。
 -Publisherサポートポリシー

・Publisherサイジング関連

Publisher単体での必要ハードスペックや、Netskope全体でのPublisher上限数、1台のPublisherでの処理能力等が記載されています。
 -Publisher必要スペック
 -Publisherのキャパシティとスケーリング
 -アプリまたはワイルドカード ネットワーク/ドメインのパブリッシャーのサイジング

・Publisherネットワーク要件

Publisherを設置する際に必要となるネットワーク要件となります。周辺設備にFirewall等がある場合等の参考情報となります。
 -Publisherが利用するネットワークサービス
 -ファイアウォールのポート開放要件
 -ネットワークアクセス要件
 -DNS および IP 情報

■AWS構成例

AWS上にPublisherを配置する一般的な構成概要を以下に示します。PublisherはVPNゲートウェイとは異なりインバウンド通信を許可する必要はありません。
そのため、NATゲートウェイ等を経由してインターネットへの接続性を確保することが出来るのであれば、プライベートサブネットに配置することが可能です。


AWSのPrivate SubnetにPublisherを配置する構成例

■Step1.NPA PublisherをNetskopeに登録する

お客様のNetskopeテナントにPublisherを登録します。

  1. Netskopeにログインします
  2. Settings -> Security Cloud Platformをクリックします
  3. TRAFFIC STEERING -> Publishersをクリックします
  4. "NEW PUBLISHER"をクリックします

  1. "NAME"部分にPublisherの名称を登録します
  2. "SAVE AND CONTINUE"をクリックします
  1. "GENERATE TOKEN"をクリックします
  2. "COPY"をクリックし、TOKENをコピーします
  3. コピーしたTOKENをメモ帳等に貼り付けて保存します
  4. "DONE"をクリックします。これで登録完了です。
  5. NetskopeへのPublisher登録が完了すると以下のように表示されます。

     ※この時点ではSTATUSがNot registeredになっているのは問題ありません。これはまだAWSへの登録が完了していないためです。

■Step2.NPA PublisherをAWS上に構築する

次にAWS上にPublisherを構築します。

  1. AWSにログインします

  2. サービス -> コンピューティング -> ECをクリックします

  3. "インスタンスを起動"をクリックします。

  4. "その他のAMI"をクリックします

  5. "Selected AMI"の部分に"Netskope"と入力し、"AWS Marketplace AMI"をクリックします。

  6. "Netskope Private Access Publisher"の"選択"をクリックします。

  7. "続行"をクリックします。

  8. その他のインスタンスのパラメータを設定します。
     名前 : Publisherリソースの名称を入力します。
    インスタンスタイプ : t3-mediumが推奨です。
    ※キーペア、ネットワーク設定等はお客様の環境に基づき設定してください。

  9. "高度な詳細"をクリックし、展開します。

  10. "ユーザーデータ - optional"の部分にStep1でコピーしたTOKENを貼り付けます。

  11. "インスタンスを起動"をクリックします。

  12. 正常にインスタンスが起動すると"実行中"の表示になります。

■Step3.Publisherのステータスを確認する

最後にNetskopeテナントにログインしPublisherのステータスを確認します。

  1. Netskopeにログインします。
  2. Settings -> Security Cloud Platformをクリックします
  3. TRAFFIC STEERING -> Publishersをクリックします
  4. Step1で作成したPublisherのSTATUSが"Connected"になり、緑色になっていれば正常に接続されています。

オプション:外部からのPublisherへの偵察通信の確認

Publisherは従来のVPNゲートウェイに相当するため、インターネットからの偵察活動を仕掛けられるリスクがあります。

Publisherに割り当てられたIPアドレス等に対して、インターネット側からアクセスを試み、偵察活動が成功しないことをご確認ください。

オプション:AWS環境以外へのPublisher構築手順

本記事はAWS上にPublisherを構築する例を記載しましたが、Publisherは主要なパブリッククラウドや、仮想基盤上に構築することが可能です。ご利用の環境に合わせて以下の記事を参考にして構築してください。

・Ubuntu
・VMWare ESXi
・Hyper-V
・Azure
・GCP

Discussion