동적 분할

동적 분할이란?

동적 분할은 역할과 관련 액세스 권한을 기반으로 트래픽을 분할하여 IT 리소스에 대한 최소 권한 액세스를 설정합니다. 이는 신원과 정책을 기반으로 신뢰를 구축하는 제로 트러스트 및 SASE 프레임워크 양쪽 모두의 기본 개념으로, 사용자나 장치가 연결되는 위치와 방식에 기반하지 않습니다.

역할은 권한을 논리적으로 그룹화한 것입니다. 권한에는 액세스 가능한 애플리케이션 및 서비스, 접근 가능한 사용자 및 장치, 특정 사용자가 네트워크에 연결 가능한 요일 등을 포함할 수 있습니다.

역할과 정책에 따라 액세스와 분할이 정의되기 때문에 동적 분할을 사용하면 SSID, ACL, 서브넷 및 포트 기반 제어를 수동으로 구성할 필요가 없습니다. 이를 통해 복잡한 네트워크 세분화, VLAN 확장, 비용이 많이 드는 관리 기능이 줄어듭니다.

HPE Aruba Networking ESP는 조직의 전체 네트워크 아키텍처와 오버레이 선택(중앙 집중식 및 분산형)을 기반으로 두 가지 동적 분할 모델을 지원합니다.

중앙 집중식 동적 분할 모델을 사용하면 액세스 포인트와 HPE Aruba Networking 게이트웨이 간에 GRE 터널을 사용하여 트래픽을 안전하게 보호하고 분리할 수 있습니다. Cloud Auth 클라우드 네이티브 NAC(네트워크 액세스 제어), ClearPass 및 HPE Aruba Networking Central NetConductor 정책 관리자는 역할 및 액세스 정의 및 관리 기능을 제공합니다. 게이트웨이는 HPE Aruba Networking ESP 레이어 7 PEF(정책 시행 방화벽)를 통한 수신 정책 시행 지점 역할을 합니다.

동적 분할의 분산 모델은 각각 네트워크 구성과 정책 전파를 위한 패브릭 마법사 및 정책 관리자와 같은 Central NetConductor 클라우드 네이티브 서비스와 EVPN/VXLAN 오버레이, 클라우드 기반 NAC를 사용합니다. 정책은 표준 기반 GPID(글로벌 정책 식별자)에 포함된 액세스 제어 정보를 해석하는 HPE Aruba Networking 게이트웨이와 패브릭 지원 스위치를 통해 인라인으로 적용됩니다.

Central NetConductor를 사용하면 동적 분할의 역할과 정책을 클라우드를 통해 관리할 수 있어 조직이 네트워크 인프라를 자동으로 구성하여 성능을 최적화하고 글로벌 규모에서 세분화된 액세스 제어 보안 정책을 일관되게 적용하는 데 도움이 됩니다. 물리적 네트워크 구축에서 비즈니스 인텐트를 분리함으로써 조직은 네트워크 운영에 필요한 시간과 리소스를 획기적으로 줄이고 IT 부서의 생산성을 높일 수 있습니다.

• 엔드포인트 가시성 강화: 네트워크에서 장치를 검색, 프로파일링, 모니터링하는 것은 동적 분할의 중요한 구성 요소입니다. HPE Aruba Networking Central의 AI 기반 Client Insights는 에이전트리스이며 액세스 포인트, 스위치, 게이트웨이의 기본 인프라 원격 측정을 활용하여 ML 기반 분류 모델로 다양한 클라이언트를 식별하고 정확하게 프로파일링합니다.
• 클라우드 기반 관리와 권한 부여 및 접근 제어 자동화: Central NetConductor를 통해 정책 정의 및 네트워크 구성에 인텐트 기반의 사용이 쉬운 워크플로를 활용할 수 있습니다. 버튼식 자동화, 자동 업데이트, 지속적으로 적용되는 정책을 통해 보안 작업을 용이하게 하고 오버레이 생성을 간소화합니다.
• 성능 저하 없이 글로벌 정책 시행: GPID(그룹 정책 식별자)를 사용하면 네트워크에서 트래픽을 통해 액세스 제어 정보를 전달하여 패브릭 지원 스위치 및 게이트웨이에서 인라인 정책을 시행할 수 있으므로 최적의 보안과 성능을 달성할 수 있습니다.
• 도입의 유연성: 현재 동적 분할을 위한 중앙 집중식 정책 시행 방식을 사용하는 조직은 해당 방식을 계속 사용할 수 있으며, 시간이 지남에 따라 기존 인프라를 전면 교체하지 않고도 액세스 장치를 통해 시행이 이루어지는 분산 방식을 채택할 수 있습니다.