セキュリティチームの ぐっちー です。「よくあるお問合せシリーズ」のNetskope編の記事です。超小ネタすぎて記事にするか迷いましたが、当社経由でNetskopeを購入いただくほとんどのお客様(私の体感値では95%ぐらい)から聞かれる質問なので記事化しました。
- 本ブログの内容は、2022年12月1日時点までの情報を元に作成しております。
お問合せの背景
Netskopeを利用している場合、基本的に通信はNetskope Cloud(Netskopeのデータセンター)経由となります。具体的にどの通信がNetskopeのデータセンター経由になるかは購入しているライセンスであったり、Steering Configurationの設定によって異なりますので、各社でご確認いただけたら幸いです。
そして、通信がNetskopeのデータセンター経由となることで、接続元のIPアドレスはNetskopeのデータセンターのIPアドレスに変わります。当然、接続元IPアドレス制限をしているサービスにアクセスする場合は、影響が出てしまうので注意が必要です。
ちなみに、Netskope Privete Acsses(NPA)の通信もNetskope Cloud(Netskopeのデータセンター)経由となりますが、接続元IPに関しては例外的に、オンプレ環境やAWS等に設置するPublicherのIPが接続元のIPとなります。NPA経由でIPアドレス制限をしているサービスにアクセスする際には、PublicherのIPを登録してください。
お問合せ内容
NetskopeデータセンターのIPアドレスを調べる方法と、接続元IPを固定化する方法を教えてほしいです?
NetskopeデータセンターのIPアドレスを調べる方法
最初に、NetskopeデータセンターのIPアドレスを調べる方法をご紹介します。まず、Netskope管理コンソールの画面を[Settings] に切り替えます。
そこから、[Security Cloud Platform] > [Netskope Client] > [Enforcement] に遷移し、[NETSKOPE IP RANGES]に遷移することで、確認ができます。
例えば、AWSのセキュリティグループでアクセスを許可するIPを制限している場合などは、Netskope導入後は上記のNetskopeのIPアドレスを登録する必要がございますので是非ご活用ください。
Netskope社のアップデートやデータセンター拡張によって、利用するIPアドレスが変わる場合がございますので、ご注意ください。
接続元IPを固定化するオプションについて
続いて、IPを固定化するオプションについて3つのパターンを解説します。
Netskope Private Access を用いたユーザー企業グローバルIPアドレスでの対応
Netskope Private Access(NPA)を利用すると、AWSやオンプレミスに設置したpublisher経由でシステムやWebサービスにアクセスする事ができます。その場合、接続元IPアドレスはpublisherのIPアドレスになるため、IPを固定化したいユースケースで利用する事ができます。利用にあたってはNetskope Private Accessライセンスを購入しておく必要があります。
Forward to Proxy機能を用いたユーザー企業グローバルIPアドレスでの対応
Forward to Proxyは、ユーザー企業にて転送先Webプロキシサーバーを準備し、Netskopeからの通信を転送先Webプロキシサーバーに経由させるという手段です。この場合、転送先WebプロキシサーバーのIPアドレスでシステムにアクセスする事ができます。
Webプロキシサーバーの運用が必要となったり、多段プロキシ構成による制約事項が生まれたりするため、実施する際には事前にNetskope購入先へ相談するようにしてください。ちなみに、NG-SWG Professionalライセンス以上のご契約が必要となります。
Netskope社にてユーザー企業専用グローバルIPアドレス提供での対応(Egress IPライセンス)
これは、Netskope社にて用意するユーザー企業専用グローバルIPアドレスを使ってIPを固定化するオプションです。ユーザーとしては一番楽ではあるのですが、最低ご契約可能数量が定められていたり、追加料金が必要になるなどするため、詳細はNetskope購入先までお問い合わせください。
終わり
今日のトピックはいつもの記事に比べて短く、ただの小ネタですが、以外と知らない人も多いのではと思います。今後も何かNetskope関連で聞きたいトピックがあればブログとして取り上げていくので、リクエストをいただけたら嬉しいです。
