NetskopeのTenant Configについて

NetskopeのTenant Configについてまとめておこうと思います。

Tenant Configとは

Tenant ConfigはNetskopeの環境設定を行うことが出来ます。
構築当初はDefault Tenant Configのみですが、グループやOU単位で様々な設定を使い分けることが出来ます。
逆に言うとアカウント管理がしっかりできていないと使いこなせないので、こだわりがないのであればNetskopeを導入する前にアカウント周りを整備したほうがよいです。（IDaaSとかActive Directoryでグループ周りも含めて）

設定について

Tenant Configを作成する時、Traffic Steeringを選択できます。
Traffic Steeringは2通りあり、ざっくり以下の違いがあります。

• Web Traffic
  端末が通信するすべてのデータを可視化・制御する

• Cloud Apps Only
  特定のSaaSとの通信データのみ可視化・制御する

セキュリティ大事！な人はWeb Trafficに設定したくなると思いますが、導入・運用時にかかるコストが桁違いになります。
すべてのデータを可視化するため、一見問題のないページでも裏でfacebookのプラグインが入っていたために見られない、想定外の挙動をする、といった問題が発生しやすいです。
原因の切り分けがかなり難しいので、相応の覚悟と専任者を置くなどのチーム体制を用意出来ないのであればおすすめできません。

個人的には全社員にはCloud Apps Onlyで展開しつつ、セキュリティが重視されるプロダクト（セキュリティルームとか設けてやり取りするようなレベル）のメンバーのみWeb Trafficを展開するなど緩急つけるのが良いかなと思います。
Netskopeで何を把握したい、何を制御したいのかをちゃんと整理しておくのが大事ですね。

Steered Trafficについて

Tenant ConfigごとにどのSaaSを可視化する/しないを設定します。
CCIなどNetskopeでアクティビティを検知出来るものはデフォルトで可視化対象になっていますが、国産SaaSや社内システムなど未登録のものはここで適宜設定する必要があります。
CCIにあってもActivityがない場合もあるので、もし引っかかってないようであれば一度確認したほうがいいです。

独自にサービスを登録する方法はこちらを参照してください。

逆にNetskopeで検知しなくてよい/したくないサービスについてはExceptionsで除外設定を行います。

こちらも最低限はデフォルトで設定されていますが、AWSやGCPへのコマンドなど開発への影響があるため設定が必要なものもあるので、適宜設定していってください。
主要なものならベンダーに言えばやってくれるとは思いますが、仕組み自体は知っておいて損はないです。