Présentation de la segmentation dynamique
La segmentation dynamique utilise le contrôle d’accès basé sur les politiques pour les infrastructures filaires, sans fil et WAN, garantissant que les utilisateurs et les appareils peuvent communiquer uniquement avec des destinations conformes à leurs autorisations d’accès, ce qui est fondamental pour les plateformes Zero Trust et SASE.
Qu’est-ce que la segmentation dynamique ?
La segmentation dynamique octroie des privilèges d’accès minimum aux ressources informatiques en segmentant le trafic en fonction des rôles et des autorisations d’accès associées. Il s’agit d’un concept fondamental des plateformes Zero Trust et SASE, où la confiance est basée sur l’identité et les politiques, plutôt que sur le lieu et la manière utilisés un utilisateur ou un appareil pour se connecter.
Un rôle est un groupe logique d’autorisations. Les autorisations peuvent concerner les applications et les services auxquels il est possible d’accéder, les utilisateurs et les appareils qui peuvent être atteints, ou même les jours de la semaine où un utilisateur particulier peut se connecter au réseau.
Comme les rôles et les politiques définissent l’accès et la segmentation, la segmentation dynamique élimine la nécessité de configurer manuellement les SSID, les ACL, les sous-réseaux et les contrôles basés sur les ports. Cela élimine la segmentation complexe du réseau, la prolifération des VLAN et les fonctions administratives coûteuses.
Comment fonctionne la segmentation dynamique ?
Aruba ESP prend en charge deux modèles de segmentation dynamique basés sur l’architecture globale du réseau d’une entreprise et le choix de la superposition : centralisée et distribuée.
Dans le cadre du modèle centralisé de segmentation dynamique, le trafic est sécurisé et séparé grâce à des tunnels GRE entre les points d’accès et aux passerelles Aruba. Le contrôle d’accès réseau (NAC) cloud-native via Cloud Auth, ClearPass et le gestionnaire de politiques Aruba Central NetConductor offrent des capacités de définition et de gestion des rôles et des accès. Les passerelles font office de points d’application des politiques entrantes via le pare-feu d’application des politiques (PEF) de couche 7 d’Aruba ESP.
Le modèle distribué de la segmentation dynamique utilise une superposition EVPN/VXLAN, le NAC cloud-native et les services centraux cloud-native de NetConductor, comme l’assistant de fabric et le gestionnaire de politiques pour la configuration du réseau et la propagation des politiques. La politique est appliquée en ligne via les passerelles Aruba et les commutateurs compatibles avec la structure qui interprètent les informations de contrôle d’accès transportées dans les identificateurs de politique globale (GPID) basés sur des normes.
Avec Central NetConductor, les rôles et les politiques de segmentation dynamique peuvent être gérés via le cloud, ce qui permet aux organisations de configurer automatiquement l’infrastructure réseau pour des performances optimales et également d’appliquer de manière cohérente des politiques de sécurité de contrôle d’accès granulaire à l’échelle mondiale. En dissociant les objectifs commerciaux de la construction physique du réseau, les organisations peuvent réduire considérablement le temps et les ressources nécessaires à l’exploitation du réseau pour une meilleure productivité informatique.
Pourquoi utiliser la segmentation dynamique ?
Les entreprises accélèrent leurs initiatives de transformation numérique afin d’offrir de nouvelles expériences aux utilisateurs, de prendre en charge le travail hybride, de mettre en œuvre de nouveaux modèles commerciaux et d’obtenir une plus grande efficacité informatique. Cela donne lieu à des réseaux de plus en plus complexes, distribués à l’échelle mondiale, avec des défis uniques en matière de visibilité et de sécurité qui poussent à l’adoption des plateformes de sécurité réseau Zero Trust et SASE. Les organisations doivent segmenter le trafic plus efficacement, contrôler l’accès aux applications sensibles et garantir la confidentialité des données.
En outre, l’équipe informatique a besoin de plus de visibilité et de contrôle sur les appareils des clients qui se trouvent sur son réseau. En fait, la plupart des responsables informatiques ne connaissent tout simplement pas tous les appareils connectés au réseau. Face à l’adoption croissante de l’IoT et du travail hybride, ce problème ne peut qu’empirer. L’équipe informatique a besoin de visibilité sur les clients qui se trouvent sur le réseau pour segmenter efficacement le trafic et contrôler l’accès en temps réel.
La segmentation dynamique Aruba est la seule solution qui simplifie l’adoption des architectures Zero Trust et SASE à l’échelle mondiale, quelles que soient la taille et la complexité du réseau.
Avantages de la segmentation dynamique
Visibilité améliorée des appareils
La découverte, le profilage et la surveillance des appareils sur le réseau sont des éléments essentiels de la segmentation dynamique. La solution Client Insights sur Aruba Central, alimentée par l’IA, est sans agent et exploite la télémétrie native de l’infrastructure à partir des points d’accès, des commutateurs et des passerelles pour identifier et profiler avec précision une grande variété de clients grâce à des modèles de classification basés sur le ML.
Gestion et automatisation des autorisations et du contrôle d’accès basées dans le cloud
Exploitez des flux de travail faciles à utiliser, basés sur les objectifs, pour définir les politiques et configurer le réseau avec Central NetConductor. Facilitez les opérations de sécurité et simplifiez la création d’overlays de réseaux grâce à l’automatisation, aux mises à jour automatiques et à l’application continue des politiques.
Mise en application des politiques globales sans compromettre les performances
Les identificateurs de politique de groupe (GPID) permettent au réseau d’acheminer les informations de contrôle d’accès via le trafic pour l’application de la politique en ligne par les commutateurs et les passerelles compatibles avec la matrice, ce qui permet une sécurité et des performances optimales.
Flexibilité d’adoption
Les organisations qui utilisent actuellement des approches centralisées de mise en application des politiques pour la segmentation dynamique peuvent continuer avec cette approche pour adopter plus tard une approche distribuée dans laquelle la mise en application est effectuée par les appareils d’accès, sans devoir remplacer l’infrastructure existante.