Zenn
📘

NPA Publisherのバージョンアップを自動化する

2024/01/15に公開
Security
VPN
ランサムウェア
netskope
ztna
tech

NPA Publisherは従来のVPNゲートウェイに相当するため、サイバー攻撃者の標的になりやすいポイントとなります。とはいえ、Publisherが適切に構成されている場合にはインターネットからのPublisherに対するインバウンド通信はブロックしていることが可能なため、VPNゲートウェイと比較すれば、外部から攻撃されるリスクは低くなります。

しかし、ソフトウェアですから脆弱性が今後永久に見つからない保証はありません。そのためPublisherも定期的にバージョンアップして頂く必要があります。

Publisherには自動アップデートの機能があるため、この機能を利用すると、指定した時間帯等に自動的にバージョンアップが行われます。

■Publisher 自動アップデートとは?

Publisherの自動アップデートは、OSとPublisherソフトウェアの両方を自動的に更新する機能です。自動アップデートの実行時間を指定することが可能なため、週末の深夜の時間等を指定することが可能です。アップデートのために休日や深夜に出勤する必要が無くなります。

・自動アップデートするバージョンを選択可能

自動アップデートは最新バージョンと、一世代古いバージョン、二世代古いバージョンの3つを指定することが可能です。常に最新のバージョンに保ちたいケースや、安定性を重視し1世代、もしくは2世代古いバージョンを利用するといった選択が可能です。

・高可用性を考慮したバージョンアップが可能

Private Appに2つ以上のPublisherが割り当てられているケースでは、Publisherの自動アップデートは、全てのPublisherが同じアップグレードプロファイルに割り当てられている場合でも、アップデートをずらすための暗黙のロジックを備えています。 これにより、自動アップグレード中もPrivate Appが利用可能な状態が保たれます。

■Step1 Publisher 自動アップデートプロファイルを構成する

まず最初に自動アップデート用のプロファイルを作成します。アップデートするバージョンや、バージョンアップ作業の時間帯等を指定します。

  1. Netskopeにログインします

  2. Settings -> Security Cloud Platform -> Publisherをクリック

  3. 画面右側にある"Configure Auto-Update"をクリックします

  4. "ADD NEW"をクリックします

  5. Auto-Update プロファイルを設定します

    2世代古いバージョンに毎月二回目の日曜日のAM3時にバージョンアップを行う例
    ・PROFILE NAME:Auto-Update プロファイルの名称を入力します。
    ・RELEASE TYPE:更新するバージョンを指定します。
     - Latest Release:最新バージョン
     - Latest-1 Release:最新バージョンから1世代古いバージョン
     - Latest-2 Release:最新バージョンから2世代古いバージョン
    ・FREQUENCY:バージョンアップ頻度を指定します。
     - Weekly:毎週指定した曜日にバージョンアップを行います。
     - Monthly:毎月指定した週の曜日にバージョンアップを行います。
    ・START TIME:バージョンアップを開始する時間を指定します。

・TIME ZONE:タイムゾーンを指定します。

・STATUS:このプロファィルを有効/無効を選択します。

  1. "SAVE"をクリックします

■Step2 Publisherに自動アップデートプロファイルを適用する

自動アップデートプロファイルの作成が完了したら、次はPublisherに作成した自動アップデートプロファイルを適用します。

  1. Netskopeにログインします
  2. Settings -> Security Cloud Platform -> Publisherをクリック
  3. 該当のPublisherの右端にあるエディットボタンをクリックします
  4. "UPDATE PROFILE"をクリックし、自動アップデートプロファイルを指定します
  5. "SAVE AND CONTINUE"をクリックします
  6. "DONE"をクリックします

■Step3 Publisher自動アップデートアラートの作成

Publisher自動アップデートアラートを作成しておくと、自動アップデート作業の通知を受け取ることが可能です。

  1. Netskopeにログインします
  2. Settings -> Security Cloud Platform -> Publisherをクリック
  3. "CONFIGURE AUTO-UPDATE ALEARTS"をクリックします
  4. 自動アップデートアラートを設定します

    Admin担当者宛に、バージョンアップ成功時、失敗時に通知を送信する設定例
     SEND ALEARTS TO:アラートを送信するユーザーアカウントを指定します。Adminsとその他ユーザーから指定することが可能です。
     SELECT ALEART EVENTS:どのタイミングでアラートを出すか指定可能です。
     - Version update will start in 24 hours
     - Version update started
     - Version update succeeded
     - Version update failed
     - Version update started but reconnection failed
  5. "NEXT"をクリックします

■Publisher自動更新のベストプラクティス

NPAの本番環境では、以下の自動アップデートポリシーを実施頂くことを推奨します。

・Publisherの自動アップデート開始時間を企業で定められているメンテナンス時間帯、またはその地域の非ピーク時間帯を指定します。異なるタイムゾーンを持つ複数のPublisherを対象とする複数のPublisher自動更新プロファイルを設定可能です。

・以下を含む、成功および失敗したPublisherの自動アップデートに関する自動アップデートアラートを有効にします。
 - Version update succeeded(バージョンアップに成功しました)
 - Version update failed(バージョンアップデートに失敗しました)
 - Version update started but reconnection failed(バージョンアップデートを開始しましたが、再接続に失敗しました。)

・すべてのPublisherがN-2リリースを少なくとも毎月一度チェックして、Publisherサポートポリシーの範囲内を維持出来るようにします。

・万が一アップグレードが失敗した場合に備えてSSHアクセス専用、または仮想化ソリューションのインターフェイス経由で管理機能を提供するための管理専用Publisherを検討してください。他のPublisherのアップグレード中に少なくとも1つの管理専用Publisherが利用可能になるように、自動アップデートプロファイルを構成してください。

Discussion