Netskope SSEを通してトラフィックを制御する方法 - Cloud Explicit Proxy編

この記事はNetskopeが公開している"Steering Traffic through Netskope Security Service Edge"の翻訳となります。

本記事ではNetskope クライアントパケットフロー編についての翻訳を記載します

■Cloud Explicit Proxy

Netskope SSEにインラインでトラフィックを誘導するもう⼀つの⽅法は、Cloud Explicit Proxy（CEP）です。
この⽅法は、Netskopeクライアントがインストールできない場合や、ネットワークがデフォルトゲートウェイを持たない⾼度にセキュアな環境の場合など、明⽰プロキシアーキテクチャを好む場合に活⽤できます。さらに、Cloud Explicit ProxyはIPSecやGREトンネルを必要とせず、インターネットからアクセスすることができます。

■前提条件

・オペレーションシステムまたはブラウザの明⽰プロキシ設定は、PACファイルを使⽤するか、
Netskopeの明⽰プロキシFQDNを直接指すように変更する必要があります。
・SSL復号⽤の認証局は⼿動でインストールする必要があります。
　- このアーキテクチャを利⽤するローミング・ユーザーの場合、キャプティブ・ポータル
⽤に追加のCAをインストールする必要があります。
　（CN:eproxy.caadmin.Netskope.com）
・ローカルネットワークのファイアウォールは、指定された明⽰プロキシFQDNのポート8081への接続を許可する必要があります。例えば、eproxy-<テナント名>.goskope.comなどです。
・ユーザーは、シングルサインオンでIDプロバイダー（IdP）によって識別されるか、ソースIPを許可リストに追加して認証からバイパスすることができる。
・シングルサインオンにIdPを使⽤する場合、ページが正常にロードされることを保証するために、IdPポータルドメインを認証からバイパスする必要があります。

以下のアーキテクチャは、Netskope SSE Platform 上でユーザーがローミングしているときに CEP がどのように機能するかを⽰しています。

図8:初回認証後のCEP

■ChromeOSデバイスのサポート

管理されたChromebookを使⽤し、これらのデバイスにもNetskope NG-SWGを活⽤させたい企業のために、NetskopeはCloud Explicit Proxyへの接続の有効化と管理を容易にするChrome拡張機能を提供しています。

この⽅法では、明⽰プロキシを利⽤しますが、拡張機能を利⽤することで、通常ユーザーが新規セッションごとに⼊⼒しなければならないテナント情報が抑制され、ユーザーにとって中断のないスムーズなエクスペリエンスが実現されます。Netskopeの公式ドキュメントには、Google Admin Consoleを使⽤した拡張機能とSSL証明書のインストールと管理⽅法に関する詳細な情報が記載されています。

この拡張機能は、Chromeウェブストアからダウンロードできます。
・Netskope Chrome Extensionダウンロードサイトへ移動