Dynamische Segmentierung Was ist dynamische Segmentierung?
Die dynamische Segmentierung nutzt eine richtlinienbasierte Zugriffssteuerung für kabelgebundene, kabellose und WAN-Infrastrukturen und stellt sicher, dass Benutzer und Geräte nur mit Zielen kommunizieren können, auf die sie zugriffsberechtigt sind, was für Zero Trust- und SASE-Frameworks ein grundlegendes Prinzip ist.
- Dynamische Segmentierung erklärt
- Wie funktioniert die dynamische Segmentierung?
- Wozu dient dynamische Segmentierung?
- Vorteile der dynamischen Segmentierung
Dynamische Segmentierung erklärt
Sie ermöglicht den Zugriff mit den geringsten Rechten auf IT-Ressourcen, indem sie den Datenverkehr auf der Grundlage von Rollen und zugehörigen Zugriffsberechtigungen segmentiert. Bei diesem grundlegenden Konzept eines Zero Trust- und SASE-Frameworks basiert Vertrauen auf Rollen und Richtlinien, und nicht darauf, wo und wie sich Benutzer oder Geräte verbinden.
Eine Rolle ist eine logische Gruppierung von Berechtigungen. Zu den Berechtigungen können Anwendungen und Services gehören, auf die zugegriffen werden kann, Benutzer und Geräte, die erreicht werden können, oder sogar die Wochentage, an denen ein bestimmter Benutzer eine Verbindung zum Netzwerk herstellen kann.
Da Zugriff und Segmentierung durch Rollen und Richtlinien definiert werden, entfällt bei der dynamischen Segmentierung die Notwendigkeit, SSIDs, ACLs, Subnetze und anschlussbasierte Steuerelemente manuell zu konfigurieren. Dies reduziert die komplexe Netzwerksegmentierung, ausufernde VLANs und kostspielige Verwaltungsfunktionen.
Wie funktioniert die dynamische Segmentierung?
HPE Aruba Networking ESP unterstützt zwei Modelle der dynamischen Segmentierung basierend auf der gesamten Netzwerkarchitektur eines Unternehmens und der Wahl des Overlays: zentralisiert und verteilt.
Bei der zentralisierten dynamischen Segmentierung wird der Datenverkehr mithilfe von GRE-Tunneln zwischen Access Points und HPE Aruba Networking Gateways sicher und getrennt gehalten. Die Cloud-native Netzwerkzugriffssteuerung (NAC) von Cloud Auth, ClearPass und der HPE Aruba Networking Central NetConductor Richtlinienmanager bieten Funktionen zur Rollen- und Zugriffsdefinition sowie Verwaltung. Gateways fungieren über die HPE Aruba Networking ESP Layer 7 Policy Enforcement Firewall (PEF) als Eintrittspunkte zur Durchsetzung von Richtlinien.
Das verteilte Modell der dynamischen Segmentierung verwendet ein EVPN/VXLAN-Overlay, Cloud-native NAC und Cloud-native Services von Central NetConductor wie einen Fabric-Assistenten und einen Richtlinienmanager für die Netzwerkkonfiguration bzw. Richtlinienverbreitung. Die Richtlinie wird inline über HPE Aruba Networking Gateways und Fabric-fähige Switches durchgesetzt, die Zugriffssteuerungsinformationen interpretieren, die in standardbasierten Global Policy Identifiers (GPIDs) enthalten sind.
Mit Central NetConductor können dynamische Segmentierungsrollen und -richtlinien über die Cloud verwaltet werden. So können Unternehmen die Netzwerkinfrastruktur automatisch für optimale Leistung konfigurieren und konsistente Sicherheitsrichtlinien für granulare Zugriffssteuerung in globalem Maßstab umsetzen. Durch die Entkopplung der geschäftlichen Absichten vom physischen Aufbau des Netzwerks können Unternehmen den Zeit- und Ressourcenaufwand für den Betrieb des Netzwerks drastisch reduzieren und so die Produktivität der IT erhöhen.
Wozu dient dynamische Segmentierung?
Unternehmen beschleunigen ihre Initiativen zur digitalen Transformation, um neue Benutzererfahrungen zu bieten, hybrides Arbeiten zu unterstützen, neue Geschäftsmodelle zu implementieren und die IT-Effizienz zu steigern. Dies führt zu zunehmend komplexen, global verteilten Netzwerken mit einzigartigen Sichtbarkeits- und Sicherheitsherausforderungen, die die Einführung von Zero Trust- und SASE-Netzwerksicherheits-Frameworks vorantreiben. Unternehmen müssen den Datenverkehr effizienter segmentieren, den Zugriff auf sensible Anwendungen steuern und den Datenschutz sicherstellen.
Darüber hinaus benötigt die IT mehr transparente Einblicke in und Kontrolle über die Endpunkt-Clients, die sich in ihrem Netzwerk befinden. Tatsächlich ist den meisten IT-Managern nicht bewusst, welche Geräte mit dem Netzwerk verbunden sind. Und mit der zunehmenden Verbreitung des IoT und der hybriden Arbeit wird sich dieses Problem nur noch verschärfen. Die IT benötigt Transparenz über die mit dem Netzwerk verbundenen Clients, um den Datenverkehr effektiv segmentieren und den Zugriff in Echtzeit steuern zu können.
HPE Aruba Networking Dynamic Segmentation ist die einzige Lösung, die die Umsetzung von Zero Trust und SASE-Architekturen unabhängig von der Größe und Komplexität des Netzwerks im globalen Maßstab vereinfacht.
Vorteile der dynamischen Segmentierung
- Verbesserte Endpunktsichtbarkeit: Die Erkennung, Profilerstellung und Überwachung von Geräten im Netzwerk ist eine wichtige Komponente der dynamischen Segmentierung. KI-basierte Client Insights auf HPE Aruba Networking Central arbeiten agentenlos und nutzen native Infrastrukturtelemetrie von Access Points, Switches und Gateways, um mit ML-basierten Klassifizierungsmodellen eine Vielzahl von Clients zu identifizieren und genaue Profile davon zu erstellen.
- Cloud-basiertes Management und Automatisierung der Autorisierung und Zugriffssteuerung: Nutzen Sie absichtsorientierte, benutzerfreundliche Workflows zur Definition von Richtlinien und Netzwerkkonfiguration mit Central NetConductor. Erleichtern Sie Sicherheitsprozesse und vereinfachen Sie die Erstellung von Overlays mit Automatisierung auf Knopfdruck, automatischen Updates und kontinuierlich durchgesetzten Richtlinien.
- Globale Richtliniendurchsetzung ohne Leistungseinbußen: Global Policy Identifiers (GPIDs) ermöglichen dem Netzwerk, Zugriffssteuerungsinformationen über den Datenverkehr zu übertragen, um die Inline-Richtliniendurchsetzung durch Fabric-fähige Switches und Gateways zu ermöglichen und so eine optimale Sicherheit und Leistung zu gewährleisten.
- Flexibilität bei der Einführung: Unternehmen, die bei der dynamischen Segmentierung derzeit zentralisierte Ansätze zur Richtliniendurchsetzung verwenden, können diesen Ansatz beibehalten und im Laufe der Zeit einen verteilten Ansatz übernehmen, bei dem die Richtliniendurchsetzung über Zugriffsgeräte erfolgt, ohne dass die vorhandene Infrastruktur komplett ersetzt werden muss.
