动态网络分段 什么是动态网络分段?
动态网络分段将基于策略的访问控制应用到有线、无线和广域网基础设施中,确保用户和设备只能够与符合其访问权限的目的地通信,为零信任和 SASE 框架奠定基础。
- 动态网络分段释义
- 动态网络分段如何运作?
- 为什么要使用动态网络分段?
- 动态网络分段的优势
动态网络分段释义
动态网络分段会基于角色和相关访问权限对流量进行分段,建立对 IT 资源的最低权限访问。这是零信任和 SASE 框架的基本概念,即信任的建立基于身份和策略,而不是用户或设备的连接位置和方式。
角色就是权限逻辑分组。权限不仅涉及可访问的应用和服务,还包括可触及的用户和设备,甚至能够指定特定用户在星期几连接到网络。
由于角色和策略定义了访问和分段,动态网络分段就不必手动配置 SSID、ACL、子网和基于端口的控制。这样就减少了复杂的网络分段、杂乱无序的 VLAN 以及成本不菲的管理功能。
动态网络分段如何运作?
HPE Aruba Networking ESP 根据组织的整体网络架构和覆盖选择支持两种动态网络分段模型:集中式和分布式。
动态网络分段集中式模型可在无线接入点和 HPE Aruba Networking 网关之间使用 GRE 隧道,保障流量的安全和独立。Cloud Auth 云原生网络访问控制 (NAC)、ClearPass 和 HPE Aruba Networking Central NetConductor 策略管理器提供角色和访问定义和管理功能。网关可以充当通过 HPE Aruba Networking ESP 第 7 层策略实施防火墙 (PEF) 的入口策略实施点。
动态网络分段分布式模型将 EVPN/VXLAN 叠加、云原生 NAC 和 Central NetConductor 云原生服务(例如结构向导和策略管理器)分别用于网络配置和策略传播。可借助 HPE Aruba Networking 网关和支持架构功能的交换机以内联方式实施策略,这些交换机能够解析基于标准的全局策略标识符 (GPID) 中携带的访问控制信息。
有了 Central NetConductor 后,可以通过云管理动态网络分段角色和策略,让组织能够自动配置网络基础设施以保持最优性能,并在全球范围内一致地实施细粒度访问控制安全策略。将业务意图与物理网络建设分离之后,企业得以大幅减少运营网络所需的时间和资源,进而提高 IT 生产效率。
为什么要使用动态网络分段?
各企业都在加速推进数字化转型计划,从而提供新的用户体验、支持混合工作、实施新的商业模式、提高 IT 效率。这样就催生了愈发复杂的全球分布式网络,这类网络又带来不同以往的可见性和安全性挑战,促使人们加速采用零信任和 SASE 网络安全框架。组织需要更高效地对流量进行分段,控制对敏感应用的访问权限,确保数据隐私。
此外,IT 需要更清晰地了解并强力控制其网络上的端点客户端。现实情况是,大多数 IT 管理员根本不清楚连接到网络的所有设备,而随着物联网和混合工作方式的日益普及,这个问题只会变得越来越严重。IT 需要了解自己的网络上有哪些客户端,才能够有效地进行流量分段以及实时控制访问。
HPE Aruba Networking 动态网络分段作为这类解决方案,能够简化全球范围内零信任和 SASE 架构的采用过程,不受网络规模和复杂程度的影响。
动态网络分段优势
- 提高端点可见性:发现、分析和监控网络上的设备是动态网络分段的关键环节。采用 AI 技术的 HPE Aruba Networking Central Client Insights 无需代理,可利用从无线接入点、交换机和网关提取的原生基础设施遥测数据,搭配使用基于机器学习的分类模型来识别及准确分析各类客户端。
- 基于云的管理以及自动授权和自动执行访问控制:Central NetConductor 可让用户利用基于意图、简单易用的工作流程来完成策略定义和网络配置。按钮自动化、自动更新和持续执行的策略,都能够简化安全操作和叠加的创建。
- 不影响性能的全局策略实施:群组策略标识符 (GPID) 允许网络借由流量传输访问控制信息,以便通过具有架构功能的交换机和网关进行内联策略实施,从而达到最优安全性和性能。
- 灵活采用:当前将集中式策略实施方法用于动态网络分段的组织可以继续采用该方法,并在之后采用分布式方法,由访问设备推进执行,而无需淘汰更换现有基础设施。