ダイナミック・セグメンテーションとは

ダイナミック・セグメンテーションの説明

ダイナミック・セグメンテーションは有線、無線、WAN のインフラストラクチャにおいてポリシーベースのアクセス制御を使用し、ユーザーとデバイスがアクセス権限に基づいた宛先とのみ通信できるようにします。これは、ゼロトラストと SASE フレームワークの基盤となります。

Busy office as seen from above

ダイナミック・セグメンテーションとは

ダイナミック・セグメンテーションは、ロールと関連付けられたアクセス権限に基づいてトラフィックを分離することにより、IT リソースへの最小限のアクセス権限を確立します。これは、ユーザーまたはデバイスが接続する場所や方法にかかわらず、アイデンティティとポリシーに基づいて認証される、ゼロトラストSASE のフレームワークの基盤となるコンセプトです。

ロールは、権限の論理グループです。権限には、アクセスできるアプリケーションやサービス、アクセスできるユーザーやデバイス、特定のユーザーがネットワークに接続できる曜日も設定することができます。

ロールやポリシーがアクセスやセグメンテーションを定義するため、ダイナミック・セグメンテーションでは、SSID、ACL、サブネット、ポートベースの制御を手動で構成する必要がありません。これにより、複雑なネットワーク・セグメンテーション、広大な VLAN、コストのかかる管理機能が不要になります。

ダイナミック・セグメンテーションの使用方法は?

Aruba ESP は、組織の全体的なネットワーク・アーキテクチャと一元型または分散型のオーバーレイに基づいて 2 つのダイナミック・セグメンテーション モデルをサポートしています。

ダイナミック・セグメンテーションの一元管理型モデルにより、トラフィックは、アクセス・ポイントと Aruba ゲートウェイの間で GRE トンネルを使用して保護され、分離されます。クラウド認証のクラウドネイティブのネットワーク・アクセス制御 (NAC)、ClearPassAruba Central NetConductor ポリシー・マネージャーは、ロールやアクセスの定義と管理の機能を提供します。ゲートウェイは、Aruba ESP レイヤー 7 ポリシー・エンフォースメント・ファイアウォール (PEF) 経由で、イングレス・ポリシー適用ポイントとして機能します。

ダイナミック・セグメンテーションの分散型モデルは、EVPN/VXLAN オーバーレイ、クラウドネイティブの NAC、Aruba Central NetConductor による、ネットワーク構成やポリシー適用を行う、ファブリック・ウィザードやポリシー・マネージャーといった、クラウドネイティブのサービスを使用します。ポリシーは、標準ベースのグローバル・ポリシー識別子 (GPID) で伝送されるアクセス制御情報を変換する Aruba ゲートウェイやファブリック対応スイッチ経由でインラインで適用されます。

Aruba Central NetConductor により、ダイナミック・セグメンテーションのロールとポリシーは、クラウド経由で管理でき、組織は、パフォーマンス最適化のためにネットワーク・インフラストラクチャを自動的に構成し、細分性の高いアクセス制御セキュリティ・ポリシーを全体規模で一貫して適用することができます。物理ネットワーク設計からビジネス目的を切り離すことにより、組織の IT チームはネットワーク運用に必要な時間とリソースを大幅に軽減できるため、生産性を向上させることができます。

ダイナミック・セグメンテーションを使用する理由

企業は、新しいユーザー・エクスペリエンスの提供、ハイブリッド・ワークのサポート、新しいビジネス・モデルの実装、IT 効率の向上を実現する、デジタル変革イニシアチブを推進しています。これにより、ネットワークはより複雑で分散型になり、可視性とセキュリティにおいて独自の課題が生まれていることから、ゼロトラストと SASE のネットワーク・セキュリティ・フレームワークの導入が推進されています。組織は、トラフィックのより効率的な分離、重要なアプリケーションへのアクセス制御、データ・プライバシーの確保を必要としています。

さらに、IT チームは、ネットワーク上のエンドポイント・クライアントの可視性と制御性を高める必要があります。実際のところ、ほとんどの IT 管理者は、ネットワークに接続されているすべてのデバイスを把握していません。また、IoT やハイブリッド・ワークの増加に伴い、この問題はますます悪化しています。IT チームは、効果的にトラフィックを分離し、リアルタイムでアクセスを制御するために、ネットワーク上にどのようなクライアントがあるかを可視化する方法を必要としています。

Aruba ダイナミック・セグメンテーションは、ネットワークのサイズや複雑さにかかわらず、全体規模でゼロトラストと SASE アーキテクチャの導入を簡素化するソリューションです。

デバイス・セグメンテーション

ダイナミック・セグメンテーションのメリット

  • エンドポイント可視化の向上

    ネットワーク上のデバイスの検出、プロファイリング、監視は、ダイナミック・セグメンテーションの重要なコンポーネントです。Aruba Central の AI 応用クライアント・インサイトはエージェントレスで、アクセス・ポイント、スイッチ、ゲートウェイからネイティブ・インフラストラクチャ・テレメトリを活用し、ML ベースの分類モデルにより、広範なクライアントを識別し、正確にプロファイルを作成します。

  • クラウドベースの管理と、認証とアクセス制御の自動化

    Aruba Central NetConductor によりポリシー定義とネットワーク構成を行うインテントベースの使いやすいワークフローを活用します。プッシュボタンの自動化、自動アップデート、継続的なポリシー適用により、セキュリティ・オペレーションとオーバーレイの作成を簡素化します。

  • パフォーマンスを損なうことなく全体的にポリシーを適用

    グループ・ポリシー識別子 (GPID) により、ネットワークは、ファブリック対応スイッチやゲートウェイによってアクセス制御情報をトラフィック経由でインライン・ポリシー適用に伝送することができるため、最適なセキュリティとパフォーマンスを維持できます。

  • 導入の柔軟性

    ダイナミック・セグメンテーションにおいて一元管理型ポリシー適用を使用している組織は、引き続きこのアプローチを採用しながら、将来的に、既存のインフラストラクチャを入れ替える必要なく、エンフォースメントがアクセス・デバイスにより実行されるといった分散型アプローチを導入することができます。

さあ、始めましょう