什麼是動態分割?
動態分割說明
動態分割可在有線、無線和 WAN 基礎架構中,運用原則式存取控制來確保使用者和裝置的通訊目的地與其存取權限一致,這種做法是零信任和 SASE 架構的基礎。
什麼是動態分割?
動態分割會根據角色和相關存取權限將流量加以分割,藉此建立存取 IT 資源的最低權限。零信任和 SASE 架構都是以此概念為基礎,將身分和原則視為存取依據,而非使用者和裝置的連線地點及連線方式。
角色是一種邏輯上的權限分組方式。權限可包含可供存取的應用程式和服務、可連線的使用者和裝置,甚或特定使用者在當週可連線網路的某幾天。
由於角色和原則定義了存取及分割方式,動態分割消除了手動設定 SSID、ACL、子網路或連接埠型控制項的必要,因此省卻了複雜的網路分割、VLAN 蔓延問題,以及成本高昂的管理功能。
動態分割的運作原理是什麼?
Aruba ESP 根據組織的整體網路架構和覆疊選項支援兩種動態分割模型:集中式與分散式。
集中式動態分割模型在 AP 和 Aruba 閘道之間使用 GRE 通道來保護與區隔流量。Cloud Auth 雲端原生網路存取控制 (NAC)、ClearPass 和 Aruba Central NetConductor 原則管理員可提供角色和存取定義及管理功能。閘道在此的作用,是透過 Aruba ESP Layer 7 Policy Enforcement Firewall (PEF) 執行輸入原則。
分散式的動態分割模型則會運用 EVPN/VXLAN 覆疊、雲端原生 NAC,以及分別可進行網路設定和原則傳播的網狀架構精靈和原則管理員等 Central NetConductor 雲端原生服務。由於具備網狀架構功能的交換器能夠解譯標準全域原則識別碼 (GPID) 所傳送的存取控制資訊,使原則得以透過內嵌方式經由 Aruba 閘道和上述交換器執行。
藉由 Central NetConductor,動態分割的角色和原則可透過雲端管理,讓組織能夠自動設定網路基礎架構,達成最佳效能,並以全域規模持續執行精細的存取控制安全性原則。在將業務意圖與實體網路結構脫鉤後,組織就能大幅減少網路運作所需的時間和資源,進而提升 IT 生產力。
為什麼要使用動態分割?
企業都在加速實現數位轉型計劃,以便提供全新的使用者體驗、支援混合型辦公、實作新業務模型,並且取得更高的 IT 效率。這樣的趨勢也帶來越趨複雜的全球分散式網路,造成前所未見的可見度與安全性挑戰,因此帶動了零信任和 SASE 網路安全性架構的採用。組織必須更有效率地區隔流量,控制敏感應用程式的存取,並且確保資料隱私才行。
此外,IT 也需要對自家網路中的端點用戶端取得更高的可見度和控制。現實情況是,多數 IT 管理員無從得知所有連線至網路的裝置,再加上 IoT 和混合型辦公的採用率增長,這個問題只會逐漸加劇。IT 需要掌握網路上有哪些用戶端,才能有效地即時區隔流量並控制存取。
Aruba 動態分割這套解決方案能夠在全域規模簡化零信任和 SASE 架構的採用,不受網路的規模和複雜性所限制。
動態分割的優勢
強化端點可見度
探索、剖析與監控網路上的裝置,是動態分割的一大重要功能。Aruba Central 透過採用 AI 技術的用戶端深入分析這項無代理程式功能,可從 AP、交換器和閘道中運用原生基礎架構遙測,以機器學習式分類模型來識別並精準剖析各式各樣的用戶端。
雲端型管理與授權和存取控制自動化
運用 Central NetConductor 以意圖為依據且易於使用的工作流程來執行原則定義和網路設定。透過按鈕式自動化功能、自動更新,以及持續執行的原則,使得安全性作業更輕鬆,也能簡化覆疊的建立。
執行全域原則,效能不打折扣
群組原則識別碼 (GPID) 使網路得以透過流量傳送存取控制資訊,藉由具備網狀架構功能的交換器與閘道執行內嵌原則,進而實現最佳安全性與效能。
採用的彈性
組織如果正在使用集中式原則執行方法進行動態分割,仍可持續使用此做法,並隨著時間逐步採用分散式方法,改以存取裝置來執行原則,無須淘汰現有基礎架構。