Erklärung der dynamischen Segmentierung
Die dynamische Segmentierung nutzt über die gesamte LAN-, WLAN- und WAN-Infrastruktur hinweg eine richtlinienbasierte Zugriffskontrolle, um zu gewährleisten, dass Benutzer und Geräte nur mit Zielen kommunizieren können, die zu ihren Zugriffsberechtigungen passen. Dieser Ansatz ist essenziell für Zero-Trust- und SASE-Frameworks.
Was ist dynamische Segmentierung?
Die dynamische Segmentierung gewährt Zugriff auf IT-Ressourcen nach dem Prinzip der geringstmöglichen Berechtigungen, indem der Datenverkehr basierend auf Rollen und zugehörigen Zugriffsberechtigungen segmentiert wird. Dieses Konzept ist essenziell für Zero-Trust– und SASE-Frameworks, in denen Vertrauen auf Identitäten und Richtlinien basiert – und nicht darauf, an welchem Standort sich Benutzer oder Geräte verbinden.
Eine Rolle ist eine logische Gruppe von Berechtigungen. Berechtigungen können verfügbare Anwendungen und Services, erreichbare Benutzer und Geräte oder sogar die Wochentage umfassen, an denen eine Verbindung zum Netzwerk möglich ist.
Da Zugriff und Segmentierung über Rollen und Richtlinien definiert werden, müssen mit der dynamischen Segmentierung SSIDs, ACLs, Subnetze oder portbasierte Kontrollen mehr konfiguriert werden. So werden komplexe Netzwerksegmentierung, VLAN-Ausbreitung und kostspielige Verwaltungsfunktionen reduziert.
Wie funktioniert die dynamische Segmentierung?
Aruba ESP unterstützt zwei Modelle der dynamischen Segmentierung: zentralisiert und verteilt. Sie basieren auf der allgemeinen Netzwerkarchitektur sowie dem gewählten Overlay des jeweiligen Unternehmens.
Mit dem zentralisierten Modell der dynamischen Segmentierung wird der Datenverkehr über GRE-Tunnel zwischen Access Points und Aruba-Gateways geschützt und segmentiert. Die cloudnative Cloud Auth-Netzwerkzugriffskontrolle (NAC), ClearPass, und der Richtlinien-Manager Aruba Central NetConductor bieten Funktionen für Rollen- und Zugriffsdefinition und -verwaltung. Die Gateways fungieren als Einspeisepunkte für die Richtliniendurchsetzung über die Aruba ESP Layer 7 Policy Enforcement Firewall (PEF).
Das verteilte Modell der dynamischen Segmentierung nutzt ein EVPN-/VXLAN-Overlay, eine cloudnative NAC sowie cloudnative Central NetConductor-Services, wie z. B. den Strukturassistenten und den Richtlinien-Manager für Netzwerkkonfiguration bzw. Richtlinienverbreitung. Richtlinien werden inline über Aruba-Gateways und strukturfähige Switches durchgesetzt, die Zugriffskontrollinformationen in standardbasierten globalen Richtlinien-IDs (GPIDs) interpretieren.
Mit Central NetConductor können die Rollen und Richtlinien der dynamischen Segmentierung über die Cloud verwaltet werden. So können Unternehmen die Netzwerkinfrastruktur automatisch für optimale Leistung konfigurieren und global präzise Sicherheitsrichtlinien für die Zugriffskontrolle durchsetzen. Da Business Intent und physischer Netzwerkaufbau voneinander getrennt werden, können Unternehmen den Bedarf an Zeit und Ressourcen für den Betrieb des Netzwerks drastisch reduzieren und so die IT-Produktivät steigern.
Warum dynamische Segmentierung verwenden?
Unternehmen beschleunigen ihre Initiativen zur digitalen Transformation, um neue Benutzererlebnisse bereitzustellen, hybride Arbeitsmodelle zu unterstützen, neue Geschäftsmodelle zu implementieren und insgesamt die IT-Effizienz zu steigern. So entstehen immer komplexere, global verteiltere Netzwerke mit individuellen Transparenz- und Sicherheitsproblemen, die die Verbreitung von Zero-Trust- und SASE-Sicherheitsframeworks vorantreiben. Unternehmen müssen den Datenverkehr effizienter segmentieren, den Zugriff auf empfindliche Anwendungen kontrollieren und den Datenschutz gewährleisten.
Darüber hinaus benötigt die IT mehr Transparenz und Kontrolle über die Endpunkt-Clients, die sich in ihrem Netzwerk befinden. Die Realität ist, dass die meisten IT-Manager einfach nicht alle vernetzten Geräte kennen – und mit der zunehmenden Verbreitung von IoT-Geräten und hybriden Arbeitsmodellen wird dieses Problem nur noch verstärkt. Die IT benötigt einen Einblick in die Clients, die sich in ihrem Netzwerk befinden, um den Datenverkehr effektiv zu segmentieren und den Zugriff in Echtzeit zu kontrollieren.
Die Lösung „Aruba Dynamic Segmentation“ vereinfacht die globale Einführung von Zero-Trust- und SASE-Architekturen, unabhängig von der Größe und Komplexität des Netzwerks.
Vorteile der dynamischen Segmentierung
Gesteigerte Endpunkt-Transparenz
Die Erkennung, Profilerstellung und Überwachung von Geräten im Netzwerk sind kritische Komponenten der dynamischen Segmentierung. Das KI-basierte Client Insights in Aruba Central arbeitet agentenlos und nutzt native Infrastruktur-Telemetriedaten von Access Points, Switches und Gateways, um verschiedenste Clients mithilfe ML-basierter Klassifizierungsmodelle zu identifizieren und ihnen präzise Profile zuzuweisen.
Cloudbasierte Verwaltung und Automatisierung von Autorisierung und Zugriffskontrolle
Nutzen Sie mit Central NetConductor Intent-basierte und intuitive Workflows für die Richtliniendefinition und Netzwerkkonfiguration. Vereinfachen Sie den Sicherheitsbetrieb und die Erstellung von Overlays – mit Automatisierung auf Knopfdruck, automatischen Updates und kontinuierlich durchgesetzten Richtlinien.
Globale Richtliniendurchsetzung ohne Kompromisse bei der Leistung
Mit Gruppenrichtlinien-IDs (GPIDs) kann das Netzwerk Zugriffskontrollinformationen über den Datenverkehr übertragen und so Richtlinien inline über strukturfähige Switches und Gateways durchsetzen. So werden optimale Sicherheit und Leistung garantiert.
Flexible Implementierung
Unternehmen, die derzeit eine zentralisierte Richtliniendurchsetzung für die dynamische Segmentierung nutzen, können diesen Ansatz auch weiterhin verfolgen und ihr System mit der Zeit an einen verteilten Ansatz anpassen. In diesem Modell erfolgt die Durchsetzung über Zugriffsgeräte, ohne dass hierfür bestehende Infrastrukturkomponenten aufwändig ausgetauscht werden müssen.