Segmentation dynamique Qu’est-ce que la segmentation dynamique ?
La segmentation dynamique applique un contrôle d’accès fondé sur une politique à l’infrastructure filaire, sans fil et WAN afin de garantir que les utilisateurs et les appareils ne peuvent communiquer qu’avec des destinations correspondant à leurs autorisations d’accès – une exigence fondamentale des cadres zero trust et SASE.
- Comprendre la segmentation dynamique
- Comment fonctionne la segmentation dynamique ?
- Pourquoi utiliser la segmentation dynamique ?
- Avantages de la segmentation dynamique
Comprendre la segmentation dynamique
La segmentation dynamique établit un accès restreint selon le principe du moindre privilège aux ressources informatiques en segmentant le trafic en fonction des rôles et des autorisations d’accès associées. Ce concept est fondamental pour les cadres zero trust et SASE, dans lesquels la confiance repose sur l’identité et les politiques, et non sur le lieu ou le mode de connexion d’un utilisateur ou d’un appareil.
Un rôle est un regroupement logique d’autorisations. Ces autorisations peuvent spécifier les applications et les services accessibles, les utilisateurs et appareils joignables, ou même les jours de la semaine auxquels un utilisateur donné peut se connecter au réseau.
L’accès et la segmentation étant définis par les rôles et les politiques, la segmentation dynamique élimine le besoin de configurer manuellement les SSID, les ACL, les sous-réseaux et les contrôles basés sur les ports. Cela permet une réduction des opérations de segmentation réseau complexes, des VLAN tentaculaires et des fonctions administratives coûteuses.
Comment fonctionne la segmentation dynamique ?
HPE Aruba Networking ESP prend en charge deux modèles de segmentation dynamique s’appuyant sur l’architecture réseau globale d’une entreprise et le choix du type d’overlay réseau : centralisé ou distribué.
Avec la segmentation dynamique centralisée, le trafic est sécurisé et isolé grâce à l’utilisation de tunnels GRE entre les points d’accès et les passerelles HPE Aruba Networking. La fonctionnalité de contrôle d’accès réseau cloud-native Cloud Auth, la solution ClearPass et la gestion des politiques de HPE Aruba Networking Central NetConductor offrent des capacités de définition et de gestion des rôles et des accès. Les passerelles fonctionnent comme des points d’application des politiques d’entrée via le pare-feu d’application des politiques (PEF) de couche 7 de HPE Aruba Networking ESP.
Le modèle distribué de segmentation dynamique utilise un overlay EVPN/VXLAN, un contrôle d’accès réseau cloud-native et des services cloud-native de Central NetConductor tels qu’un assistant de fabric et un gestionnaire de politiques pour la configuration du réseau et la propagation des politiques, respectivement. La politique est appliquée en ligne au moyen de passerelles HPE Aruba Networking et de commutateurs compatibles fabric qui interprètent les informations de contrôle d’accès transportées dans des identifiants de politique globale (GPID) reposant sur des normes.
Avec Central NetConductor, les rôles et les politiques de segmentation dynamique peuvent être gérés en passant par le cloud, ce qui permet aux entreprises de configurer automatiquement l’infrastructure réseau pour des performances optimales et d’appliquer de manière cohérente des politiques de contrôle d’accès granulaires à l’échelle mondiale. En dissociant l’intention métier de la construction physique du réseau, les entreprises peuvent réduire considérablement le temps et les ressources nécessaires à l’exploitation du réseau, ce qui permet d’améliorer la productivité informatique.
Pourquoi utiliser la segmentation dynamique ?
Les entreprises accélèrent leurs initiatives de transformation digitale pour offrir de nouvelles expériences utilisateur, prendre en charge le travail hybride, mettre en œuvre de nouveaux modèles économiques et atteindre une plus grande efficacité informatique. Cela donne naissance à des réseaux de plus en plus complexes et distribués à l’échelle mondiale, avec des problématiques de visibilité et de sécurité spécifiques qui favorisent l’adoption des cadres de sécurité réseau zero trust et SASE. Les entreprises doivent segmenter le trafic plus efficacement, contrôler l’accès aux applications sensibles et garantir la confidentialité des données.
En outre, le département informatique a besoin d’une meilleure visibilité et d’un contrôle plus efficace sur les terminaux clients présents sur son réseau. La réalité est que la plupart des responsables informatiques n’ont tout simplement pas conscience du grand nombre d’appareils connectés au réseau. Et avec l’adoption croissante de l’IoT et du travail hybride, ce problème ne fera que s’aggraver. Le département informatique a besoin de visibilité sur les clients présents sur son réseau pour segmenter le trafic et contrôler l’accès en temps réel de manière efficace.
La segmentation dynamique de HPE Aruba Networking est la seule solution qui simplifie l’adoption des architectures zero trust et SASE à l’échelle mondiale, quelles que soient la taille et la complexité du réseau.
Avantages de la segmentation dynamique
- Visibilité améliorée des terminaux : la découverte, le profilage et la surveillance des appareils présents sur le réseau constituent un aspect crucial de la segmentation dynamique. Pilotée par l’IA, la fonctionnalité Client Insights de HPE Aruba Networking Central est sans agent, et exploite la télémétrie d’infrastructure native des points d’accès, des commutateurs et des passerelles afin d’identifier et de profiler avec précision une grande variété de clients avec des modèles de classification reposant sur le machine learning.
- Gestion et automatisation basées sur le cloud pour les autorisations et le contrôle d’accès : bénéficiez de workflows intent-based faciles à utiliser pour la définition des politiques et la configuration du réseau avec Central NetConductor. Facilitez les opérations de sécurité et simplifiez la création de réseaux overlay grâce à l’automatisation par simple pression sur un bouton, aux mises à jour automatiques et à une politique appliquée en continu.
- Application de la politique globale sans compromis sur les performances : les identifiants de stratégie de groupe (GPID) permettent au réseau de transporter des informations de contrôle d’accès via le trafic pour une mise en application en ligne de la politique par des commutateurs et passerelles compatibles fabric, d’où une sécurité et des performances optimales.
- Flexibilité d’adoption : les entreprises qui utilisent actuellement une approche centralisée pour l’application des politiques en vue de la segmentation dynamique peuvent poursuivre cette approche tout en évoluant au fil du temps vers une méthode distribuée, dans laquelle l’application des politiques est assurée par des dispositifs d’accès, sans avoir à supprimer ni à remplacer intégralement l’infrastructure existante.
