Dynamic Segmentation

Cos'è Dynamic Segmentation?

Dynamic Segmentation stabilisce l'accesso con privilegio minimo alle risorse IT, segmentando il traffico in base ai ruoli e alle rispettive autorizzazioni di accesso. Questo concetto è fondamentale sia per i framework Zero Trust sia per quelli SASE, in cui la fiducia è basata sull'identità e sulle policy, anziché sul luogo o sulla modalità di connessione dell’utente o del dispositivo.

Un ruolo è un raggruppamento logico di autorizzazioni. Le autorizzazioni possono includere le applicazioni e i servizi accessibili, gli utenti e i dispositivi raggiungibili o persino i giorni della settimana in cui un determinato utente può connettersi alla rete.

Poiché i ruoli e le policy definiscono l'accesso e la segmentazione, Dynamic Segmentation elimina la necessità di configurazione manuale per SSID, ACL, subnet e controlli basati sulle porte. In questo modo, si riduce la complessa segmentazione della rete, le VLAN estese e le costose funzioni amministrative.

HPE Aruba Networking ESP supporta due modelli di Dynamic Segmentation basati sull'architettura di rete complessiva dell'organizzazione e sulla scelta dell'overlay: centralizzato e distribuito.

Con il modello centralizzato, il traffico viene protetto e separato costantemente tramite tunnel GRE tra gli access point e i gateway HPE Aruba Networking. Il controllo accesso di rete (NAC) cloud-native Cloud Auth, ClearPass e la gestione delle policy di HPE Aruba Networking Central NetConductor forniscono funzionalità di definizione e gestione dei ruoli e degli accessi. I gateway fungono da punti di applicazione delle policy di ingresso tramite il firewall di applicazione delle policy (PEF) di livello 7 di HPE Aruba Networking ESP.

Il modello distribuito di Dynamic Segmentation utilizza un overlay EVPN/VXLAN, NAC cloud-native e servizi cloud-native Central NetConductor, tra cui una procedura guidata del fabric e la gestione delle policy, rispettivamente per la configurazione di rete e la propagazione delle policy. La policy viene applicata in linea tramite switch con i gatway e gli switch compatibili con il fabric di HPE Aruba Networking, che interpretano le informazioni di controllo degli accessi contenute negli GPID (global policy identifiers) basati su standard.

Con Central NetConductor, i ruoli e le policy di Dynamic Segmentation possono essere gestiti tramite il cloud, il che consente alle aziende di configurare automaticamente l’infrastruttura di rete per garantire prestazioni ottimali e applicare in modo coerente le policy di sicurezza granulari a fini di controllo degli accessi, su scala globale. Svincolando gli obiettivi di business dalla struttura della rete fisica, le organizzazioni possono ridurre in modo sostanziale le risorse e il tempo necessari per gestire la rete, incrementando la produttività IT.

Le aziende stanno intensificando le iniziative di trasformazione digitale per offrire nuove esperienze utente, supportare il lavoro ibrido, implementare nuovi modelli di business e aumentare l'efficienza IT. Questa tendenza determina reti sempre più complesse e distribuite a livello globale, con visibilità e problematiche di sicurezza specifiche che incoraggiano l’adozione di framework di protezione della rete zero trust e SASE. Le organizzazioni avvertono l'esigenza di segmentare il traffico in modo più efficiente, controllare l'accesso alle applicazioni sensibili e garantire la privacy dei dati.

Inoltre, l’IT deve avere maggiore visibilità e controllo sui client endpoint presenti sulla rete. La realtà è che la maggior parte dei responsabili IT non è semplicemente consapevole di tutti i dispositivi connessi alla rete e, a seguito della crescente adozione dell'IoT e del lavoro ibrido, il problema è destinato a peggiorare. L'IT ha bisogno di visibilità sulle operazioni svolte dai client sulla rete per segmentare efficacemente il traffico e controllare l'accesso in tempo reale.

HPE Aruba Networking Dynamic Segmentation è l'unica soluzione che semplifica l'adozione di architetture Zero Trust e SASE su scala globale, indipendentemente dalle dimensioni e dalla complessità della rete.