Phân nhóm tự động (Dynamic Segmentation) sử dụng cơ chế kiểm soát truy cập dựa trên chính sách (policy-based) cho hạ tầng có dây, không dây và WAN, đảm bảo rằng người dùng và thiết bị chỉ có thể giao tiếp với các điểm đến phù hợp với quyền truy cập của mình – một tính năng mang tính nền tảng dành cho các framework Zero Trust và SASE.
Dynamic Segmentation là gì?
Dynamic Segmentation thiết lập mức truy cập có ít quyền nhất vào tài nguyên IT bằng cách phân nhóm lưu lượng truy cập dựa trên vai trò và quyền truy cập liên quan. Đây là khái niệm cơ bản của cả các framework Zero Trust và SASE, trong đó độ tin cậy dựa trên sự xác thực và chính sách (policy), thay vì vị trí và cách thức người dùng hoặc thiết bị kết nối.
Vai trò (role) là một nhóm logic của các quyền truy cập (permission). Các quyền có thể bao gồm các ứng dụng và dịch vụ nào có thể được truy cập, người dùng và thiết bị nào có thể truy cập đến hoặc thậm chí các ngày trong tuần mà một người dùng cụ thể có thể kết nối với mạng.
Vì các role và policy xác định quyền truy cập và phân nhóm, nên Dynamic Segmentation loại bỏ nhu cầu cấu hình thủ công các SSID, ACL, subnet và các điều khiển dựa trên port. Điều này làm giảm sự phân nhóm mạng phức tạp, các VLAN trải rộng và các chức năng quản trị tốn kém.
Dynamic Segmentation hoạt động như thế nào?
Aruba ESP hỗ trợ hai mô hình Dynamic Segmentation dựa trên một kiến trúc mạng tổng thể của tổ chức và lựa chọn lớp phủ: tập trung và phân tán.
Với mô hình Dynamic Segmentation tập trung, lưu lượng được giữ an toàn và tách biệt với việc sử dụng các tunnel GRE giữa các access point và Aruba Gateway. Cloud Auth cloud-native network access control (NAC), ClearPass và trình quản lý chính sách Aruba Central NetConductor cung cấp khả năng quản lý và xác định vai trò cũng như quyền truy cập. Các gateway hoạt động như các điểm thực thi chính sách xâm nhập thông qua Aruba ESP Layer 7 Policy Enforcement Firewall (PEF).
Mô hình phân tán của Dynamic Segmentation sử dụng lớp phủ EVPN/VXLAN, cloud-native NAC và các dịch vụ cloud-native Central NetConductor, chẳng hạn như trình hướng dẫn kết cấu và trình quản lý chính sách cho cấu hình mạng và áp dụng chính sách tương ứng. Chính sách được thực thi nội tuyến thông qua các Aruba Gateway và các fabric-capable switch – giải nghĩa thông tin kiểm soát truy cập được mang trong các mã định danh chính sách toàn cầu dựa trên tiêu chuẩn (GPIDs).
Với Central NetConductor, các vai trò và chính sách Dynamic Segmentation có thể được quản lý qua cloud, cho phép các tổ chức tự động cấu hình hạ tầng mạng để có hiệu suất tối ưu và thực thi nhất quán các chính sách bảo mật kiểm soát truy cập chi tiết ở quy mô toàn cầu. Bằng cách tách mục đích kinh doanh khỏi việc xây dựng mạng vật lý, các tổ chức có thể giảm đáng kể thời gian và tài nguyên cần thiết để vận hành mạng nhằm nâng cao năng suất IT.
Tại sao nên sử dụng Dynamic Segmentation?
Các doanh nghiệp đang đẩy nhanh các sáng kiến chuyển đổi số của họ để mang lại các trải nghiệm mới cho người dùng, hỗ trợ hybrid work, triển khai các mô hình kinh doanh mới và đạt được hiệu quả IT cao hơn. Điều này làm phát sinh các mạng phân tán toàn cầu ngày càng phức tạp với các thách thức về khả năng giám sát và bảo mật độc đáo – đang thúc đẩy việc áp dụng các framework bảo mật mạng Zero Trust và SASE. Các tổ chức cần phân đoạn lưu lượng hiệu quả hơn, kiểm soát quyền truy cập vào các ứng dụng nhạy cảm và đảm bảo quyền riêng tư của dữ liệu.
Ngoài ra, bộ phận IT cần có nhiều khả năng quan sát và kiểm soát hơn đối với các endpoint client trên mạng của họ. Thực tế là hầu hết các nhà quản lý IT đơn giản là không biết về tất cả các thiết bị được kết nối với mạng – và với việc áp dụng IoT và hybrid work ngày càng nhiều, vấn đề này sẽ chỉ trở nên tồi tệ hơn. IT cần biết rõ những client nào đang ở trên mạng của họ để phân đoạn hiệu quả lưu lượng và kiểm soát quyền truy cập trong thời gian thực.
Aruba Dynamic Segmentation là một giải pháp giúp đơn giản hóa việc áp dụng các kiến trúc Zero Trust và SASE ở quy mô toàn cầu, bất kể kích cỡ và độ phức tạp của mạng.
Những lợi ích của Dynamic Segmentation
-
Quan sát endpoint nâng cao
Khám phá, lập hồ sơ và giám sát các thiết bị trên mạng là một thành phần quan trọng của DS. Client Insights do AI hỗ trợ trên Aruba Central là agentless và tận dụng hạ tầng gốc từ xa từ các AP, switch và gateway để xác định và lập hồ sơ chính xác nhiều loại khách hàng bằng các mô hình phân loại dựa trên Học máy (ML).
-
Quản lý dựa trên đám mây, tự động hóa ủy quyền và kiểm soát truy cập
Tận dụng các quy trình công việc dễ sử dụng, dựa trên mục đích để xác định chính sách và cấu hình mạng với Central NetConductor. Dễ dàng vận hành bảo mật và đơn giản hóa việc tạo các lớp phủ với tính năng tự động hóa bằng nút nhấn, cập nhật tự động và chính sách được thực thi liên tục.
-
Thực thi chính sách toàn cầu mà không ảnh hưởng đến hiệu suất
Group policy identifiers (GPIDs) cho phép mạng mang thông tin kiểm soát truy cập qua lưu lượng để thực thi chính sách nội tuyến bằng các fabric-capable switch và gateway, cung cấp bảo mật và hiệu suất tối ưu.
-
Tính linh hoạt của việc áp dụng
Các tổ chức hiện đang sử dụng các phương pháp thực thi chính sách tập trung cho Dynamic Segmentation có thể tiếp tục với phương pháp đó và dần dần áp dụng phương pháp phân tán, trong đó việc thực thi được thực hiện bởi các thiết bị truy cập mà không cần tách và thay thế hạ tầng hiện có.
Bài viết liên quan