ダイナミック・セグメンテーションとは

ダイナミック・セグメンテーションとは

阿鲁巴岛のデバイス・セグメンテーションでは,有線,無線,VPNのインフラス全体でポリシー適用を一元化することで,ネットワークをシンプルにし,セキュリティを確保します。阿鲁巴岛の統一ポリシー・エンフォースメント・ファイアウォールでは,ポリシー・エンフォースメント・ファイアウォール(PEF),レイヤー7アプリケーションの可視化,および自動化されたプロファイリングに基づく充実した役割ベースのアクセス制御を適用して,トラフィックの動作を自動的に形成できます。

ポリシーがアクセスやセグメンテーションを定義するため,VLAN, ACL,サブネット,ポートベースの制御を構成する必要がありません。これにより,複雑なネットワーク・セグメンテーション,広大なVLAN,コストのかかる管理機能が不要になります。

下の図は,ユーザーやデバイスが使用するアプリケーションに基づいてネットワーク上でトラフィックがセグメント化される流れを,左から右に向かって示したものです。デバイス・セグメンテーションでは,トラフィック・フローは,割り当てられたユーザーとデバイスの役割に従うだけのシンプルなものです。

阿鲁巴岛ClearPassとモビリティ・コントローラーは,デバイス・セグメンテーションにとって重要です。有線/無線トラフィックはすべてGREトンネルでカプセル化されてモビリティ・コントローラーに戻され,内蔵のポリシー・エンフォースメント・ファイアウォール(PEF)で検査されます。ここには,ユーザー・ファイアウォールとレイヤー7アプリケーション確認機能があります。阿鲁巴岛ClearPass では、ID、デバイス・タイプ、および場所に基づいて、ユーザーやデバイスの異なるグループに対するコンテキスト・ポリシーが作成されます。Aruba ClearPass では、ポリシー定義が一元化されます。また、デバイス・プロファイリング機能が内蔵されています。

ダイナミック・セグメンテーションを使用する理由

ポリシーセントリック・ネットワーキングの必要性が高まっています。組織では,複数のシステムを同じインフラに統合するケースが増えており,トラフィックをより効率的かつセキュアにセグメント化する必要があります。また,機密性の高いアプリケーションを保護したり,データのプライバシーをより高度にコントロールしなければならない場合もあります。さらに,ビデオ監視,ビルの入退室管理,スマート照明などの物联网システムを導入し,物联网デバイスの脆弱性が組織全体に広がらないような仕組みを検討している場合もあります。

さらに,チームは,ネットワーク上のデバイスの可視性と制御性を高める必要があります。実際のところ,ほとんどの它管理者は,接続されているすべてのデバイスを把握していません。また,物联网やスマート・ワークプレイスの増加に伴い,この問題はますます悪化しています。那部門は,ネットワーク上にどのようなデバイスがあるかを可視化するだけでなく,それらのデバイスのネットワーク・アクセスとエクスペリエンスの質をリアルタイムに制御する方法を必要としています。