「零信任」是什麼?
「零信任」是一套安全模型,在這套模型中,不能直接信任任何裝置、使用者或網路區段,而是應將其視為潛在威脅。
現代企業的使用者與裝置都在遠端,威脅能夠繞過傳統邊界防護,因此若要加強現代企業的安全,一定要有嚴密的安全模型,不斷執行檢查。所有裝置和使用者在存取網路之前,應經過識別和驗證,並給予所需之最低存取權限,然後對其持續監控。
零信任需要以下關鍵組成部分:
Aruba ESP (邊緣服務平台)
Aruba ESP 支援零信任最佳實踐,以提供包含可見性、控制和強制的全套功能管理網路基礎建設;認證機制搭配設備辨識機制強化網路安全,達成零信任網路;並使用AI在問題影響業務之前發現並修復問題。
Aruba網路架構規劃(架構可依照需求調整)
Aruba AirWave
Aruba AirWave 管理平台是功能完善的可擴充管理解決方案,適用於多廠商有線和無線網路。組織可獲得全面管理當今分散式企業環境所需的能見度、控制力及疑難排解工具。AirWave 整合了組態和部署以及即時能見度與控制力,可進行全方位的管理與疑難排解作業。此工具為維護 Aruba 存取點、控制器、交換器和指定多廠商裝置的可靠性和效能提供了一個彈性平台。
AirWave 管理平台特點:
「零信任」是一套安全模型,在這套模型中,不能直接信任任何裝置、使用者或網路區段,而是應將其視為潛在威脅。
現代企業的使用者與裝置都在遠端,威脅能夠繞過傳統邊界防護,因此若要加強現代企業的安全,一定要有嚴密的安全模型,不斷執行檢查。所有裝置和使用者在存取網路之前,應經過識別和驗證,並給予所需之最低存取權限,然後對其持續監控。
零信任需要以下關鍵組成部分:
- 全面的可見性
主動和被動發現可提供網路上所有使用者和設備的完全可見性,可以幫助您實施管理方法。 - 最少的接入微網路隔離和管理
存取控制策略授予對設備或使用者絕對必要的資源的存取權限,並將其與不需要的其他資源進行隔離。 - 持續監控和策略實施
對網路上的使用者和設備的持續監控可極大地降低威脅和惡意軟體相關風險。
Aruba ESP (邊緣服務平台)
Aruba ESP 支援零信任最佳實踐,以提供包含可見性、控制和強制的全套功能管理網路基礎建設;認證機制搭配設備辨識機制強化網路安全,達成零信任網路;並使用AI在問題影響業務之前發現並修復問題。
Aruba網路架構規劃(架構可依照需求調整)
- 整體網路以Vlan方式切割虛擬網段,可包含內部網路及外部網路兩部份,以簡化網路管理。
- 網路設備連接骨幹網路(Up-link)頻寬提升為10G。
- 各機房內網路設備皆規劃2台並做堆疊(VSF),以提高設備可用性。
- 軟體部份規劃Aruba中央控管平台,包含:
‧ Aruba AirWare:可收容有線及無線網路設備,達成設備統一管理目標。
‧ Aruba ClearPass:加強網路存取安全,達成零信任網路。
‧ Aruba Mobility Conductor:可簡化移動網路控制器的部署及管理。
Aruba AirWave
Aruba AirWave 管理平台是功能完善的可擴充管理解決方案,適用於多廠商有線和無線網路。組織可獲得全面管理當今分散式企業環境所需的能見度、控制力及疑難排解工具。AirWave 整合了組態和部署以及即時能見度與控制力,可進行全方位的管理與疑難排解作業。此工具為維護 Aruba 存取點、控制器、交換器和指定多廠商裝置的可靠性和效能提供了一個彈性平台。
AirWave 管理平台特點:
- 簡化設定和部署
使用零接觸佈建、群組範本和直覺式的工作流程,可讓您輕鬆新增、調整或部署新的網路裝置。可匯入、比較、指派及封存整個組態檔案。 - 即時顯示和控制
AirWave 詳細的資訊主頁提供快速切入健康狀態和供應情形的指標,有助您監控重要的網路和應用程式服務。 - 根據問題情況提供的疑難排解工具
發生網路問題時立即透過即時探索、拓樸檢視和強大的疑難排解工具快速解決問題。 - 韌體更新模組
運用 AirWave 的進階映像升級和合規性模組,輕鬆更新裝置韌體,以盡量減少高峰期的影響。 - 使用 RAPIDS 進行入侵偵測
透過識別和限制對網路的威脅來加強安全,讓您可以快速解決惡意 AP 和用戶端造成的問題。
AirWave可提供無線、有線使用者豐富資訊(下圖)
Aruba ClearPass
Aruba網路解決方案最大特色之一,就是提供角色政策機制,具備自動辨識裝置及建立基本資訊。專為管理與資安防護開發的Aruba ClearPass,在員工登入公司內部網路當下時,會立即辨識員工身份與與設備類型,並且配給根據預先設定參數,給予相對應的權限,如可存取的應用程式類型等等。當採用角色機制之後,無論員工使用哪種設備登入,都能獲得相同的使用權限,在管理上變得非常方便。
- 網路設備連接骨幹網路(Up-link)頻寬提升為10G。
當有新設備接入Aruba網路環境中時,一定要經過Aruba ClearPass認證後,才能存取網路中的各種資源。
- 無、有線設備基於存取角色的控制
‧ Aruba交換器上面 介面2/4 用戶私接IP分享器。
‧ 當接入設備辨識為不該存取內網的設備,會自動辨識給予No_Access存取權限。
‧ 交換器上面透過Show Port-Access Clients可以看到設備的MAC-Address與套用的Role。 - 軟體部份規劃Aruba中央控管平台,包含:
‧ Aruba AirWare:可收容有線及無線網路設備,達成設備統一管理目標。
‧ Aruba ClearPass:加強網路存取安全,達成零信任網路。
‧ Aruba Mobility Conductor:可簡化移動網路控制器的部署及管理。
Aruba Mobility Conductor
Aruba Mobility Conductor提供可擴展性和可靠性,可管理多個客戶端、接入點 (AP) 和控制器。
- 動態分段
Mobility Conductor 集中維護來自 Aruba 的 ClearPass 策略管理系統的最新策略,然後由網絡中的每個控制器集群在本地強制執行。
策略基於角色並在 WLAN 和 LAN 中統一應用 - 無需為每個交換機配置 ACL、VLAN 和子網。 - 多區域
同一個 AP 基礎設施現在可以終止兩個不同 Aruba 控制器上的兩個不同 SSID,同時保持所有網絡、策略、管理和可見性的完全隔離和安全。這對於多個公司或團體駐留在單個站點的多租戶要求或需要多個安全網絡的企業來說是理想的選擇。 - 北向 API (NBAAPI)
Mobility Conductor 包含一整套 NBAPI,可讓您深入了解網絡。NBAPI 以易於集成的格式提供 RF 健康指標、應用程序利用率、設備類型和用戶數據。
無中斷故障轉移和自動負載平衡(下圖)
清楚理解使用者流量內容,才能做後續管理機制(下圖)
單一平台管理無線、有線設備存取權限(下圖)
