Che cos’è la Dynamic Segmentation?

La Dynamic Segmentation spiegata

La Dynamic Segmentation utilizza il controllo degli accessi basato su politiche attraverso l'infrastruttura cablata, wireless e WAN, assicurando che gli utenti e i dispositivi possano comunicare solo con destinazioni coerenti con le loro autorizzazioni di accesso, fondamentale per i framework Zero Trust e SASE.

Busy office as seen from above

Che cos’è la Dynamic Segmentation?

La Dynamic Segmentation stabilisce il minimo privilegio di accesso alle risorse IT segmentando il traffico in base ai ruoli e ai permessi di accesso associati. Si tratta di un concetto fondamentale di entrambi i framework Zero Trust e SASE, dove la fiducia si basa sull’identità e sulle politiche, invece che su dove e come un utente o un dispositivo si connette.

Un ruolo è un raggruppamento logico di permessi. I permessi possono includere applicazioni e servizi a cui si può accedere, utenti e dispositivi che possono essere raggiunti, o anche i giorni della settimana in cui un particolare utente può connettersi alla rete.

Poiché i ruoli e le politiche definiscono l’accesso e la segmentazione, la Dynamic Segmentation elimina la necessità di configurare manualmente SSID, ACL, sottoreti e controlli basati sulle porte. Ciò riduce la complessa segmentazione della rete, la proliferazione delle VLAN e le costose funzioni amministrative.

Come funziona la Dynamic Segmentation?

Aruba ESP supporta due modelli di Dynamic Segmentation basati sull’architettura di rete complessiva di un’organizzazione e sulla scelta dell’overlay: centralizzato e distribuito.

Con il modello centralizzato di Dynamic Segmentation, il traffico viene mantenuto sicuro e separato con l’uso di tunnel GRE tra gli access point e gli Aruba Gateway. Cloud Auth, il controllo degli accessi alla rete (NAC) cloud-native, ClearPass, e il policy manager Aruba Central NetConductor forniscono funzionalità di definizione e gestione di ruoli e accessi. I gateway funzionano come punti di applicazione delle politiche in ingresso tramite Aruba ESP Layer 7 Policy Enforcement Firewall (PEF).

Il modello distribuito della Dynamic Segmentation utilizza un overlay EVPN/VXLAN, NAC cloud-native e i servizi cloud-native Central NetConductor come un fabric wizard e un policy manager rispettivamente per la configurazione della rete e la propagazione delle politiche. Le politiche vengono applicate in linea tramite i gateway Aruba e gli switch compatibili con la rete che interpretano le informazioni di controllo degli accessi trasportate negli identificativi di politiche globali basati su standard (GPID).

Con Central NetConductor, i ruoli e le politiche della Dynamic Segmentation possono essere gestiti tramite il cloud, consentendo alle organizzazioni di configurare automaticamente l’infrastruttura di rete per prestazioni ottimali e applicare in modo coerente le politiche di sicurezza di controllo degli accessi granulari su scala globale. Disaccoppiando l’intento aziendale dalla costruzione fisica della rete, le organizzazioni possono ridurre drasticamente il tempo e le risorse richieste per gestire la rete e migliorare la produttività IT.

Perché usare Dynamic Segmentation?

Le aziende stanno accelerando le proprie iniziative di trasformazione digitale per offrire nuove esperienze utente, supportare il lavoro ibrido, implementare nuovi modelli di business e raggiungere una maggiore efficienza IT. Ciò dà origine a reti sempre più complesse e distribuite a livello globale con visibilità unica e sfide in termini di sicurezza che stanno portando all’adozione di framework di sicurezza di rete Zero Trust e SASE. Le organizzazioni hanno bisogno di segmentare il traffico in modo più efficiente, controllare l’accesso alle applicazioni sensibili e garantire la privacy dei dati.

Inoltre, l’IT ha bisogno di maggiore visibilità e controllo dei client endpoint che sono sulla loro rete. La realtà è che la maggior parte dei manager IT semplicemente non è a conoscenza di tutti i dispositivi connessi alla rete e con la crescente adozione dell’IoT e del lavoro ibrido, questo problema è destinato a peggiorare. L’IT ha bisogno di visibilità rispetto a quali client sono sulla sua rete per segmentare in modo efficiente il traffico e controllare l’accesso in tempo reale.

Aruba Dynamic Segmentation è l’unica soluzione che semplifica l’adozione di architetture Zero Trust e SASE su scala globale, indipendentemente dalle dimensioni e dalla complessità della rete.

Segmentazione dei dispositivi

Benefici di Dynamic Segmentation

  • Visibilità endpoint migliorata

    Scoprire, profilare e monitorare i dispositivi sulla rete è una componente critica della Dynamic Segmentation. Gli insight sui client basati sull’intelligenza artificiale su Aruba Central sono agentless e sfruttano la telemetria nativa dell’infrastruttura da access point, switch e gateway per identificare e profilare accuratamente un’ampia varietà di client con modelli di classificazione basati su ML.

  • Gestione basata sul cloud e automazione dell’autorizzazione e del controllo degli accessi

    Sfrutta i flussi di lavoro basati sulle intenzioni e facili da usare per la definizione delle politiche e la configurazione della rete con Central NetConductor. Facilita le attività di sicurezza e semplifica la creazione di overlay con automazione push-button, aggiornamenti automatici e l’applicazione continua delle politiche.

  • Applicazione globale delle politiche senza compromettere le prestazioni

    Gli identificatori delle politiche di gruppo (GPID) consentono alla rete di trasportare le informazioni di controllo degli accessi attraverso il traffico per l’applicazione delle politiche in linea da parte dei gateway e degli switch compatibili con la rete, consentendo sicurezza e prestazioni ottimali.

  • Flessibilità di adozione

    Le organizzazioni che attualmente utilizzano approcci centralizzati per l’applicazione delle politiche per la Dynamic Segmentation possono continuare con tale approccio e adottare nel corso del tempo un approccio distribuito in cui l’applicazione viene effettuata dai dispositivi di accesso, senza eradicare e sostituire l’infrastruttura esistente.

Si comincia!