ダイナミックセグメンテーション ダイナミックセグメンテーションとは何ですか?
ダイナミックセグメンテーションとは、ポリシーベースのアクセス制御を有線、無線、WANの各インフラストラクチャ全体で利用することで、ユーザーとデバイスがアクセス権限に一致する宛先とのみ通信するよう徹底する、ゼロトラストおよびSASEフレームワークの基本的機能です。
目次
ダイナミックセグメンテーションの説明
ダイナミックセグメンテーションは、役割とそれに対応するアクセス権限に基づいてトラフィックを区分けすることで、ITリソースへの最小権限アクセスを確立します。これは、ユーザーやデバイスが接続する場所や方法ではなく、IDとポリシーに基づいて信頼する、ゼロトラストおよびSASEの両フレームワークの基本的な考え方です。
役割とは論理的にグループ分けした権限です。権限には、アクセス可能なアプリケーションやサービス、そしてコンタクト可能なユーザーやデバイス、さらに特定ユーザーがネットワークに接続できる曜日なども含まれます。
ダイナミックセグメンテーションでは役割とポリシーがアクセスとセグメンテーションを定義するため、SSID、ACL、サブネット、およびポートベースの制御を手動で構成する必要がなくなります。これにより、複雑なネットワークセグメンテーション、VLANの拡張、コストのかかる管理機能が軽減されます。
ダイナミックセグメンテーションの仕組み
HPE Aruba Networking ESPは、組織全体のネットワークアーキテクチャーとオーバーレイの選択に基づいて、統合型と分散型の2つのダイナミックセグメンテーションモデルをサポートします。
統合型ダイナミックセグメンテーションモデルでは、アクセスポイントとHPE Aruba Networkingゲートウェイ間でGREトンネルを使用して、トラフィックをセキュアかつ分離された状態に保ちます。役割とアクセスの定義や管理機能は、Cloud Authのクラウドネイティブなネットワークアクセス制御 (NAC)、ClearPass、HPE Aruba Networking Central NetConductorのポリシー管理により提供されます。ゲートウェイは、HPE Aruba Networking ESPのレイヤー7ポリシー適用ファイアウォール (PEF) 経由でイングレスポリシー適用ポイントとなります。
ダイナミックセグメンテーションの分散型モデルでは、ネットワーク構成とポリシー伝播のためにEVPN/VXLANオーバーレイ、クラウドネイティブのNAC、Central NetConductorのクラウドネイティブサービス (ファブリックウィザードやポリシー管理など) をそれぞれ使用します。ポリシーは、標準ベースのグローバルポリシー識別子 (GPID) で伝送されるアクセス制御情報を解釈する、HPE Aruba Networking Gatewayおよびファブリック対応スイッチを介してインラインで適用されます。
ダイナミックセグメンテーションの役割とポリシーをクラウド経由で管理できるCentral NetConductorにより、組織は最適なパフォーマンスが得られるようにネットワークインフラストラクチャを自動的に構成して、グローバルな規模できめ細かなアクセス制御セキュリティポリシーを適用することが可能になります。ビジネス目的と物理ネットワークの構築を分離することで、組織はネットワーク運用にかかる時間とリソースを劇的に削減してITの生産性を強化できます。
ダイナミックセグメンテーションを採用すべき理由
企業は、これまでにないユーザーエクスペリエンスを提供し、ハイブリッドワークに対応し、新しいビジネスモデルを実装してIT効率の大幅な向上を実現するために、デジタルトランスフォーメーションへの取り組みに拍車をかけています。このため、ますます複雑でグローバルに分散されたネットワークから独自の可視性とセキュリティ上の課題が発生し、ゼロトラストおよびSASEネットワークセキュリティフレームワークの導入が迫られる状況となっています。組織がやるべきことは、より効率的なトラフィックのセグメント化とセンシティブなアプリケーションへのアクセス制御を実現して、データプライバシーを確保することです。
同時に、IT部門はネットワーク上のエンドポイントクライアントの可視性と制御を強化しなければなりません。ほとんどのIT管理者はネットワークに接続されているデバイスを完全に把握できていないのが現状であり、この問題はIoTやハイブリッドワークの導入が進むにつれて悪化していきます。トラフィックのセグメント化とアクセス制御をリアルタイムで効率的に実行するために、IT部門はネットワーク上のクライアントを可視化する必要があります。
HPE Aruba Networkingのダイナミックセグメンテーションは、ネットワークの規模や複雑さを問わず、グローバルなゼロトラストおよびSASEセキュリティの導入を簡素化するソリューションです。
ダイナミックセグメンテーションのメリット
- エンドポイントの可視性を強化: ネットワーク上のデバイスを検出、プロファイリング、監視することが、ダイナミックセグメンテーションの重要な要素です。HPE Aruba Networking CentralのエージェントレスなAI搭載Client Insightsは、アクセスポイント、スイッチ、ゲートウェイからのネイティブインフラストラクチャテレメトリを活用して、MLベースの分類モデルを用いて多岐にわたるクライアントを識別し、正確にプロファイングします。
- 認証およびアクセス制御に対するクラウドベースの管理と自動化: Central NetConductorでインテントベースの使いやすいワークフローをポリシー定義とネットワーク構成に活用します。プッシュボタンの自動化、自動更新、ポリシーの継続的な適用により、セキュリティ操作が容易になり、オーバーレイの作成を簡素化します。
- パフォーマンスを犠牲にすることなくグローバルポリシーを適用: グループポリシー識別子 (GPID) により、ネットワークのトラフィックでアクセス制御情報を伝送できるようになります。そのためファブリック対応スイッチとゲートウェイでのインラインポリシー適用が可能になり、最適なセキュリティとパフォーマンスが実現します。
- 導入の柔軟性: ダイナミックセグメンテーションに対して集中型のポリシー適用アプローチを使用している組織であっても、それを継続しつつ、アクセスデバイスで適用する分散型アプローチを徐々に導入することができるため、既存インフラストラクチャの完全な置き換えは不要です。