Global
Africa
South Africa
Albania
Australia
Austria
Belgium
Bosnia Herzegovina
Bulgaria
Canada
Canada FR
Croatia
Czech Republic
Denmark
Estonia
Finland 
Finland (English)
France
Germany
Hong Kong
Hungary
Iceland
India
Indonesia
Ireland
Israel
Italy
Kosovo
Latvia
Lithuania
Malaysia
Middle East
Montenegro
Netherlands
New Zealand
North Macedonia
Norway
Philippines
Portugal
Romania
Saudi Arabia
Serbia
Singapore
Slovakia
Slovenija
Spain
Sweden
Switzerland DE
Switzerland FR
Thailand
Turkey
USA
Ukraine
United Kingdom
Vietnam
Dynamiczna segmentacja sieci w wykonaniu Aruba Networks (HPE)
Przedsiębiorstwa przyspieszają transformację cyfrową, aby zapewnić nowe doświadczenia użytkownikom, wspierać pracę hybrydową, wdrażać nowe modele biznesowe i w efekcie osiągnąć większą wydajność IT. W ten sposób powstają złożone, globalnie rozproszone sieci, które muszą jednak sprostać wyzwaniom w zakresie widoczności i bezpieczeństwa.
Tradycyjne podejście do bezpieczeństwa, które skupia się głównie na brzegu sieci, staje się nieskuteczne jako samodzielna strategia bezpieczeństwa. Dzięki Zero Trust i SASE, Aruba ESP (Edge Services Platform) oferuje bezpieczeństwo edge-to-cloud poprzez zastosowanie najlepszych, rygorystycznych praktyk i kontroli bezpieczeństwa do wcześniej zdefiniowanych zasobów sieciowych.
Na czym polega segmentacja dynamiczna?
Rozwiązanie Dynamic Segmentation firmy Aruba Networks (a Hewlett Packard Enterprise company) jest krytycznym elementem zabezpieczeń edge-to-cloud, wbudowanych w Aruba ESP. Ustanawia najmniej uprzywilejowany dostęp do zasobów IT poprzez segmentację ruchu w oparciu o role i powiązane uprawnienia dostępu. Jest to podstawowa koncepcja zarówno ramowych rozwiązań Zero Trust, jak i SASE, gdzie zaufanie opiera się na tożsamości i zasadach, a nie na miejscu i sposobie połączenia użytkownika lub urządzenia.
Dynamiczna segmentacja ujednolica dostęp oparty na rolach i egzekwowanie zasad w sieciach przewodowych, bezprzewodowych i WAN, zapewniając, że użytkownicy i urządzenia mogą komunikować się tylko z docelowymi miejscami zgodnie z ich rolą – utrzymując bezpieczeństwo i separację ruchu.
Aruba Central NetConductor
Organizacje modernizują swoje sieci za pomocą nakładek i szeroko przyjętych protokołów, takich jak EVPN/VXLAN. Z jednej strony stwarza to możliwość wykorzystania architektury sieciowej do zwiększenia ochrony i skali, ale często prowadzi też do znacznej złożoności konfiguracji, a także kosztów ogólnych, związanych z zarządzaniem zespołami IT i bezpieczeństwa.
Aruba Central NetConductor ma na celu rozwiązanie powyższego problemu za pomocą chmurowych, natywnych usług bezpieczeństwa i wdrożenia opartego na nakładce, umożliwiając organizacjom automatyczne skonfigurowanie infrastruktury sieciowej i w ten sposób uzyskanie optymalnej wydajności. Jednocześnie stwarza szansę konsekwentnego egzekwowania polityk bezpieczeństwa kontroli dostępu w skali globalnej. Dzięki Central NetConductor dynamiczna segmentacja może być zarządzana poprzez chmurę z możliwością centralnego definiowania i egzekwowania polityk dostępu w sposób rozproszony lub scentralizowany, w zależności od wybranej nakładki.
Przypadki zastosowania segmentacji dynamicznej
PRZYPADEK ZASTOSOWANIA NR 1: IDENTYFIKOWANIE I ZABEZPIECZANIE PUNKTÓW KOŃCOWYCH SIECI
Problem:
Ponieważ zakres i złożoność urządzeń końcowych, takich jak urządzenia loT, rośnie w oszałamiającym tempie, organizacje zmagają się z problemem zwiększającej się powierzchni cyberataków. Tradycyjne techniki wykrywania i profilowania nie są już wystarczające do dokładnego wyszukiwania, identyfikacji i przypisywania uprawnień dostępu do tych urządzeń.
Rozwiązanie:
W przypadku wielu specjalnie skonstruowanych urządzeń loT, takich jak te znajdujące się w szpitalu lub zakładzie produkcyjnym, zrozumienie ich rzeczywistego zachowania jest jedynym sposobem, umożliwiającym dokładną identyfikację. Aruba jako pierwsza wprowadza atrybuty urządzeń, dane o przepływach sieciowych i logi systemowe do platformy cloud-native, aby profilować, klasyfikować i identyfikować klientów na podstawie ich zachowania w sieci.
Oparte na sztucznej inteligencji rozwiązanie Client Insights wykorzystuje natywną telemetrię infrastruktury z punktów dostępowych, przełączników i bram, a także klientów bez konieczności instalowania fizycznych kolektorów lub agentów. Modele klasyfikacji oparte na ML (Machine Learning) są wykorzystywane do identyfikacji i dokładnego profilowania szerokiej gamy klientów, w tym zróżnicowanego zestawu urządzeń loT w całej infrastrukturze przewodowej i bezprzewodowej. Client Insights pozwala na ciągłe monitorowanie klientów, co w połączeniu z Central NetConductor lub ClearPass zapewnia kontrolę dostępu w pętli zamkniętej end-to-end.
Widoczność i profilowanie są krytycznymi wyznacznikami sukcesu segmentacji ruchu użytkowników i klientów. Na przykład globalna sieć szpitalna musi mieć możliwość dokładnego identyfikowania i profilowania urządzeń loT na podstawie ich zachowania, umożliwiając dostęp do dokumentacji medycznej pacjenta tylko autoryzowanym użytkownikom i urządzeniom oraz zapewniając przestrzeganie wytycznych dotyczących prywatności danych.
Statyczne konfiguracje prowadzą do rozrostu sieci VLAN
Dzięki oddzieleniu intencji biznesowych od fizycznej budowy sieci, organizacje mogą radykalnie zredukować czas i zasoby niezbędne do jej obsługi i zwiększenia wydajności IT. Ciągłe monitorowanie podstawowych parametrów operacyjnych wraz z oceną stanu może pomóc zespołom IT w monitorowaniu nakładających się na siebie elementów, lokalizacji, urządzeń i rozwiązywaniu problemów sieciowych lub związanych z bezpieczeństwem, które w przeciwnym razie są trudne do zidentyfikowania. Ten wysoki stopień automatyzacji oznacza, że do konfiguracji, utrzymania i obsługi sieci potrzeba mniej zasobów, co pozwala działowi IT skupić się na prowadzeniu strategicznych działań biznesowych.
PRZYPADEK ZASTOSOWANIA NR 2: AUTOMATYZACJA KONFIGURACJI I ZARZĄDZANIA SIECIĄ
Problem:
W miarę jak organizacje starają się dostarczać nowe doświadczenia użytkownikom i zwiększać wydajność biznesową, liczba lokalizacji, topologii sieci i wymagań biznesowych jest przytłaczająca. Tradycyjne podejścia wykorzystujące ręczne i statyczne konfiguracje oparte na sieciach VLAN do zabezpieczania sieci są nie tylko podatne na błędy, ale również nieadekwatne do tych ciągle zmieniających się, nowoczesnych systemów. Nawet najprostsza zmiana konfiguracji lub przyjęcie klienta może wymagać długich cykli wdrażania i rozległych rekonfiguracji, co poważnie wpływa na produktywność działu IT.
Rozwiązanie:
Central NetConductor składa się z natywnych, chmurowych usług sieciowych i bezpieczeństwa, które automatyzują konfigurację, definiowanie i egzekwowanie polityk w skali globalnej. Menedżer zasad Central NetConductor może być użyty do centralnego definiowania grup użytkowników i związanych z nimi zasad egzekwowania. Z kolei Kreator Central NetConductor ułatwia tworzenie nakładek za pomocą intuicyjnego, graficznego interfejsu użytkownika i automatyzacji przycisków, eliminując potrzebę programowania opartego na CLI, arkuszach tabeli routingu lub ręcznej konfiguracji ACL.
PRZYPADEK ZASTOSOWANIA NR 3: BEZPIECZEŃSTWO I EGZEKWOWANIE POLITYKI W SKALI
Problem:
Ponieważ sieci są coraz bardziej złożone i rozproszone geograficznie, rośnie zapotrzebowanie na strategie segmentacji, które mogą skalować się globalnie w fizycznie rozbieżnych sieciach, zapewniając jednocześnie wydajność, niezawodność i efektywność. Większość podejść, które wymagają kierowania ruchu poza jego optymalną ścieżkę w celu inspekcji bezpieczeństwa, powoduje opóźnienia, generuje koszty ogólne i wpływa na wrażenia użytkownika.
Na przykład w zakładzie produkcyjnym z rozproszoną siecią setek urządzeń loT, pracowników, dostawców i wykonawców, opóźnienia w zapewnieniu bezpiecznego, autoryzowanego dostępu do zasobów i systemów mogą mieć bezpośredni wpływ na wyniki produkcji.
Rozwiązanie:
Central NetConductor wykorzystuje powszechnie przyjęte protokoły, takie jak EVPN/VXLAN, aby stworzyć inteligentną nakładkę sieciową, którą można szybko wdrożyć na masową skalę w heterogenicznych sieciach, od lokalizacji zdalnych i oddziałów po kampusy i przedsiębiorstwa globalne. Sieci nakładkowe (overlay) umożliwiają przeprowadzanie sprawnych wdrożeń elastycznych usług w oparciu o stale zmieniające się wymagania klientów i aplikacji w zakresie łączności oraz mobilności.
Polityki zdefiniowane przez menedżera zasad Central NetConductor są wyrażone w identyfikatorach polityki grupowej (GPID), co pozwala sieci przenosić informacje o kontroli dostępu poprzez sam ruch, odzwierciedlając rolę i uprawnienia dostępu użytkownika lub klienta. Identyfikatory są osadzone w nagłówku pakietu i interpretowane inline przez switch’e i bramy Aruba CX w celu egzekwowania polityki. Jednocześnie eliminują potrzebę wysyłania ruchu poza jego optymalną ścieżkę, by zapewnić inspekcję bezpieczeństwa. Jeśli stan bezpieczeństwa klienta ulegnie zmianie, jego rola jest automatycznie modyfikowana, by w ten sposób ograniczyć dostęp. Ta zmiana roli jest następnie propagowana w sieci.
Identyfikatory polityki grupowej [GPiD] wzbogacają ruch o informacje na temat kontroli dostępu.
PRZYPADEK ZASTOSOWANIA NR 4: ELASTYCZNOŚĆ WDRAŻANIA
Problem:
Przejście na nowe architektury i topologie, takie jak VXLAN w celu uzyskania większej skali lub przyjęcie zarządzania siecią w chmurze, często wywołuje obawy dotyczące zakłócenia bieżącej działalności i konieczności modernizacji infrastruktury. Organizacje wymagają ciągłości pracy, interoperacyjnego rozwiązania, które można przyjąć w tempie określonym przez ich specjalistów biznesowych.
Rozwiązanie:
Aruba obsługuje dwa sposoby wykonywania dynamicznej segmentacji w oparciu o ogólną architekturę sieci organizacji i wybór nakładki: scentralizowane i rozproszone.
W modelu scentralizowanym ruch jest utrzymywany w sposób bezpieczny i oddzielony za pomocą tuneli GRE pomiędzy punktami dostępowymi, a bramami Aruba. Scentralizowana definicja polityki jest osiągana poprzez ClearPass lub z wykorzystaniem menedżera polityki Central NetConductor, a bramy funkcjonują jako punkty egzekwowania polityki dostępu typu ingress z Layer 7 Policy Enforcement Firewall (PEF).
Model rozproszony wykorzystuje nakładkę EVPN/VXLAN oraz usługi natywne w chmurze Central NetConductor, takie jak policy manager i fabric wizard, odpowiednio do definiowania polityki i konfiguracji sieci. Wspiera egzekwowanie polityki inline poprzez informacje o kontroli dostępu, przenoszone w opartych na standardach globalnych identyfikatorach polityki (GPID).
Organizacje, które obecnie stosują scentralizowane podejście do egzekwowania polityk, mogą je kontynuować i z czasem przyjąć podejście rozproszone, w którym egzekwowanie odbywa się przez urządzenia dostępowe, bez konieczności rozpinania i wymiany istniejącej infrastruktury. Central NetConductor może współistnieć z obecnymi usługami zarządzania i bezpieczeństwa sieci, chroniąc inwestycje, a także umożliwiając organizacjom modernizację sieci w ich własnym tempie.
Kluczowe wnioski
Wiodące na rynku rozwiązanie Dynamic Segmentation firmy Aruba upraszcza operacje IT i zwiększa bezpieczeństwo poprzez ujednolicenie dostępu opartego na rolach i egzekwowanie polityki w sieciach przewodowych, bezprzewodowych i WAN. Rozszerzenie dynamicznej segmentacji z opartymi na standardach sieciami nakładkowymi i usługami w chmurze zapewnia, że polityki bazujące na tożsamości mogą być automatycznie aktualizowane i stale egzekwowane w złożonych, globalnie rozproszonych sieciach. Aruba Dynamic Segmentation to jedyne rozwiązanie, które upraszcza przyjęcie zabezpieczeń Zero Trust i SASE, niezależnie od wielkości i złożoności sieci w skali globalnej.
Źródło: Hewlett Packard Enterprise
Więcej informacji na temat oferty Aruba Networks znajdziesz na naszej stronie >>
Zachęcamy do kontaktu przez formularz na stronie lub bezpośrednio z PM-em Aruba Networks w Exclusive Networks Poland – Markiem Generowiczem (marek.generowicz@exclusive-networks.pl).
