什么是动态网络隔离?

讲解过的动态网络隔离

动态网络隔离可以在有线、无线和 WAN 基础设施之间利用基于策略的访问控制,确保用户和设备只能与具有一致访问权限的目标地址通信,这是零信任和 SASE 框架的基础。

Busy office as seen from above

什么是动态网络隔离?

动态网络隔离可以通过基于角色以及角色关联的访问权限对流量进行隔离,进而建立对 IT 资源的最小权限访问。这是零信任SASE 框架的基本概念,在这一概念中,信任基于身份和策略,而不是用户或设备的连接位置和方式。

角色是权限的逻辑分组。权限可以包括可以访问的应用程序和服务,可以访问的用户和设备,甚至一周之内特定用户可以在哪天连接到网络。

由于角色和策略可以定义访问和隔离,因此动态网络隔离不再需要手动配置 SSID、ACL、子网和基于端口的控制方法。这样做就可以杜绝复杂的网络隔离、不断扩展且杂乱无章的 VLAN 和代价高昂的管理功能。

动态网络隔离的工作方式如何?

根据组织的整体网络架构和叠加方式的选择,Aruba ESP 支持两种形式的动态网络隔离模式:集中式和分布式。

采用集中式动态网络隔离模式时,可以通过在接入点和 Aruba 网关之间使用 GRE 隧道来保证流量的安全和相互隔离。Cloud Auth 云原生网络访问控制 (NAC)、ClearPassAruba Central NetConductor 策略管理器可提供角色和访问定义和管理功能。网关可通过 Aruba ESP 第 7 层策略实施防火墙 (PEF) 充当入口策略实施点。

采用分布式动态网络隔离模式时,可使用 VPN/VXLAN 叠加网络、云原生 NAC 和结构向导和策略管理器等 Central NetConductor 云原生服务分别用于网络配置和策略传播。策略通过 Aruba 网关和支持结构的交换机内联实施,这些交换机可以对基于标准的全局策略标识符 (GPID) 中携带的访问控制信息进行解释。

通过 Central NetConductor,可以通过云对动态网络隔离的角色和策略进行管理,进而使组织能够自动配置网络基础设施,以获得最佳性能,并在全局范围内一致地实施精细的访问控制安全策略。通过将业务意图与物理网络构建分离,组织可以极大地减少网络运维所需的时间和资源,从而提高 IT 人员的工作效率。

为什么要使用动态网络隔离?

企业正在加速数字化转型计划,以提供新的用户体验,支持混合工作模式,实施新的业务模式,并实现更高的 IT 工作效率。这种情况会让日益复杂的全球分布式网络面临特有的可见性和安全挑战,而这些挑战又会推动零信任和 SASE 网络安全框架的采用。企业需要更加有效地对流量进行隔离,控制对敏感应用程序的访问,并确保数据隐私。

此外,IT 人员需要对其网络上的端点客户端获得更大的可见性和管理能力。而实际的情况是,大多数 IT 经理根本无法了解网络上连接的所有设备,而且随着 IoT 和混合工作模式的采用不断增加,这个问题只会变得更糟。IT 人员需要可以查看网络上的客户端,以便实时有效地隔离流量并控制访问。

Aruba 动态网络隔离是一种无论网络的规模和复杂性如何均可在全局范围内简化零信任和 SASE 架构采用的解决方案。

设备隔离

动态网络隔离的好处

  • 增强的端点可见性

    发现、分析和监控网络上的设备是动态网络隔离的关键功能。Aruba Central 上采用 AI 技术的 Client Insights 无代理,可利用来自接入点、交换机和网关的本地基础设施遥测,通过基于机器学习的分类模型来识别和准确分析各种各样的客户端。

  • 基于云的管理以及授权和访问控制自动化

    通过 Central NetConductor 利用基于意图的易用型工作流程进行策略定义和网络配置。通过按钮自动化、自动更新和持续实施的策略简化安全操作并简化叠加网络的创建。

  • 在不影响性能的情况下实施全局策略

    组策略标识符 (GPID) 允许网络通过具有支持结构的交换机和网关的内联策略实施流量传输访问控制信息,进而实现最优的安全性和性能。

  • 灵活采用

    目前使用集中策略实施方法实现动态网络隔离的组织可以继续使用这种方法,并逐渐采用分布式方法,这种方法通过访问设备来实施,无需拆除和更换现有的基础设施。

准备好开始了吗?