解释了动态分割
动态分割利用了跨连接,无线和WAN基础架构的基于策略的访问控制,从而确保用户和设备只能与与其访问权限一致的目的地进行通信 - 零信任和SASE框架的基础。
什么是动态分割?
动态细分通过根据角色和关联的访问权限对流量进行分割,从而建立了对IT资源的最低特权访问权限。这是两者的基本概念零信任和Sase信任是基于身份和政策的框架,而不是用户或设备如何连接的框架。
角色是权限的逻辑分组。权限可以包括可以访问的应用程序和服务,可以达到的用户和设备,甚至可以连接到网络的一周中的几天。
由于角色和策略定义了访问和分割,因此动态分割消除了手动配置SSID,ACL,子网和基于端口的控件的需求。这减少了复杂的网络细分,庞大的VLAN和昂贵的管理功能。
动态细分如何工作?
Aruba ESP基于组织的整体网络体系结构和覆盖层的选择:集中式和分布式的两种动态细分模型。
通过动态分割的集中式模型,通过使用GRE隧道在接入点和阿鲁巴门户。云验证云本地网络访问控制(NAC),ClearPass, 和Aruba Central Netconductor政策经理提供角色和访问定义和管理功能。网关通过Aruba ESP 7策略执法防火墙(PEF)作为入学策略执法点功能。
动态分割的分布式模型分别使用EVPN/VXLAN覆盖层,云原生NAC和中央NetConductor云本地服务,例如Fabric向导和网络配置和策略传播的策略经理。通过Aruba网关和具有织物能力的开关来实施策略,以解释基于标准的全球策略标识符(GPID)中携带的访问控制信息。
使用中央网络导体,可以通过云管理动态分割角色和策略,使组织能够自动配置网络基础架构,以达到最佳性能,并始终在全球规模上执行颗粒状访问控制安全策略。通过将业务与物理网络构建的意图解耦,组织可以大大减少操作网络所需的时间和资源以提高IT生产率。
为什么使用动态分段?
企业正在加快其数字化转型计划,以提供新的用户体验,支持混合工作,实施新的业务模型并实现更高的IT效率。这引起了越来越复杂的全球分布式网络,具有独特的可见性和安全挑战,这些挑战正在推动零信任和SASE网络安全框架的采用。组织需要更有效地细分流量,控制对敏感应用程序的访问并确保数据隐私。
此外,它需要更多的可见性和控制网络上的端点客户端的控制。现实情况是,大多数IT经理根本不了解与网络连接的所有设备,并且随着物联网和混合工作的越来越多,这个问题只会变得更糟。它需要可见性,以实时有效地分割流量和控制访问权限。
Aruba动态分割是一种解决方案,可以简化零信任和在全球尺度上的SASE体系结构的采用,而与网络的大小和复杂性无关。
动态细分的好处
增强的端点可见性
在网络上发现,分析和监视设备是动态分割的关键组成部分。AI驱动客户见解在Aruba Central上是无代理的,并且从接入点,开关和网关中利用本机基础架构遥测,以识别并准确地介绍具有基于ML的分类模型的各种客户。
基于云的管理和授权和访问控制的自动化
利用基于意图的,易于使用的工作流,用于使用中央NetConductor的策略定义和网络配置。简化安全操作,并通过按钮自动化,自动更新和持续执行策略来简化叠加层的创建。
全球政策执法没有绩效妥协
小组策略标识符(GPID)允许网络通过流量通过织物能力开关和网关进行内联策略执行,从而实现最佳安全性和性能。
收养的灵活性
当前使用集中策略执法方法进行动态细分的组织可以继续采用该方法,并随着时间的推移采用分布式方法,其中访问设备执行执法,而无需撕裂和替换现有基础架构。
相关资源
