ダイナミックセグメンテーション ダイナミックセグメンテーションとは
ダイナミックセグメンテーションとは、有線、無線、WANインフラストラクチャ全体にポリシーベースのアクセス制御を有効に使って、ユーザーとデバイスがアクセス権限に一致する宛先とのみ通信するよう徹底することです。これは、ゼロトラストとSASEフレームワークの基礎を成すものです。
- ダイナミックセグメンテーションの説明
- ダイナミックセグメンテーションの仕組み
- ダイナミックセグメンテーションを採用すべき理由
- ダイナミックセグメンテーションのメリット
ダイナミックセグメンテーションの説明
ダイナミックセグメンテーションは、ロールとそれに対応するアクセス権限に基づいてトラフィックを区分けすることで、ITリソースに対する最小権限アクセスを確立します。これは、ユーザーやデバイスが接続する場所や方法ではなく、IDとポリシーに基づいて信頼するという、ゼロトラストおよびSASEフレームワークの基本的な考え方です。
ロールとは、権限の論理的なグループ化です。各権限には、アクセス可能なアプリケーションやサービス、コンタクト可能なユーザーやデバイス、さらには特定ユーザーがネットワークに接続できる曜日なども含まれます。
ダイナミックセグメンテーションでは、ロールとポリシーがアクセスとセグメンテーションを定義するため、SSID、ACL、サブネット、ポートベースの制御を手動で設定する必要がなくなります。これにより複雑なネットワークセグメンテーション、仮想LANの拡張、コストのかかる管理機能を低減することができます。
ダイナミックセグメンテーションの仕組み
HPE Aruba Networking ESPは、組織の全体的なネットワークアーキテクチャーと選択したオーバーレイに基づいて、統合型および分散型の2つのダイナミックセグメンテーションモデルをサポートします。
統合型モデルのダイナミックセグメンテーションにおけるトラフィックは、アクセスポイントとHPE Aruba Networkingゲートウェイ間を結ぶGREトンネルを使用して個別に保護されます。Cloud Authのクラウドネイティブ ネットワークアクセス制御 (NAC)、ClearPass、HPE Aruba Networking Central NetConductor Policy Managerは、ロールとアクセスの定義、および管理機能を提供します。ゲートウェイは、HPE Aruba Networking ESPのレイヤー7ポリシー適用ファイアウォール (PEF) を介してイングレスポリシー適用ポイントとして機能します。
分散型モデルのダイナミックセグメンテーションは、EVPN/VXLANオーバーレイ、クラウドネイティブNAC、Central NetConductorのクラウドネイティブサービス (ネットワークを構成するファブリックウィザードやポリシーを適用するPolicy Managerなど) を使用します。ポリシーは、標準ベースのグローバルポリシー識別子 (GPID) で伝送されるアクセス制御情報を解釈する、HPE Aruba Networking Gatewayおよびファブリック対応スイッチを経由してインラインで適用されます。
Central NetConductorでは、ダイナミックセグメンテーションのロールとポリシーをクラウド経由で管理できるため、組織は最適なパフォーマンスが得られるようネットワークインフラストラクチャを自動的に構成して、グローバルな規模できめ細かなアクセス制御セキュリティポリシーを適用することが可能になります。物理ネットワークの構築からビジネス目的を分離することで、組織はネットワーク運用にかかる時間とリソースを劇的に削減し、ITの生産性を強化することができます。
ダイナミックセグメンテーションを採用すべき理由
企業は、これまでにないユーザーエクスペリエンスの実現、ハイブリッドワークの支援、新しいビジネスモデルの実装、IT効率化の推進を目指して、デジタルトランスフォーメーションの取り組みに拍車をかけています。こうしてネットワークがグローバルに分散されて複雑化していく中、可視性とセキュリティに関する独自課題が発生し、ゼロトラストおよびSASEネットワークセキュリティフレームワークの採用を迫られています。組織に求められるのは、トラフィックの効率的なセグメント化、センシティブなアプリケーションに対するアクセス制御、データプライバシーの確保です。
同時に、IT部門は自社ネットワーク上のエンドポイントクライアントに対する可視性と制御を強化しなければなりません。ほとんどのIT管理者はネットワークに接続されているデバイスを完全に把握できていないのが現状です。この事実は、IoTやハイブリッドワークの導入が進むにつれて悪化していきます。そこでIT部門は、自社ネットワーク上のクライアントの可視化、トラフィックの効率的なセグメント化、リアルタイムのアクセス制御を行う必要があります。
HPE Aruba Networkingのダイナミックセグメンテーションは、ネットワークの規模や複雑さに関係なく、ゼロトラストおよびSASEアーキテクチャーの導入をグローバルに簡素化するソリューションです。
ダイナミックセグメンテーションのメリット
- エンドポイントの可視性を強化: ネットワーク上のデバイスの検出、プロファイリング、監視は、ダイナミックセグメンテーションの重要なコンポーネントです。HPE Aruba Networking CentralのエージェントレスなAI搭載Client Insightsは、アクセスポイント、スイッチ、ゲートウェイのネイティブなインフラストラクチャテレメトリを活用して、多岐にわたるクライアントをMLベースの分類モデルで識別し、正確にプロファイリングします。
- 認証とアクセス制御のクラウドベース管理と自動化 - Central NetConductorにより、ポリシー定義とネットワーク構成を実施するためにインテントベースの使いやすいワークフローを活用します。プッシュボタンの自動化、自動更新、ポリシーの継続的適用により、セキュリティ業務が容易になり、オーバーレイの作成が簡素化されます。
- パフォーマンスを妥協せずにグローバルポリシーを適用: グループポリシー識別子 (GPID) により、ネットワークはトラフィックを介してアクセス制御情報を伝送できるようになります。そのためファブリック対応スイッチとゲートウェイ経由でのインラインポリシーの適用が可能になり、セキュリティとパフォーマンスを最適化します。
- 導入の柔軟性: 現在、ダイナミックセグメンテーションに統合型のポリシー適用アプローチを使用している組織は、そのアプローチを継続しながら、アクセスデバイスによって実施される分散型アプローチを経時的に導入できます。既存のインフラストラクチャの完全な置き換えは不要です。