Số lượng thiết bị IoT ngày càng tăng cao do nhu cầu sử dụng, phục vụ công việc và cuộc sống. Để đảm bảo bảo mật và nâng cao trải nghiệm của người dùng, việc thống nhất chính sách truy cập mạng của các thiết bị này đóng vai trò rất quan trọng. Aruba phát triển Dynamic Segmentation (phân quyền linh hoạt) nhằm mở rộng khả năng quản lý và thực thi các chính sách bảo mật trên mạng LAN cũng như WLAN, giúp việc truy cập mạng trở nên đơn giản và an toàn.
Dynamic Segmentation cho phép các thiết bị khách với kết nối có dây vào switch mạng của Aruba có thể được phân quyền tự động (dynamically assigned policies) dựa trên cổng (port) hoặc vai trò (roles). Tính năng này đơn giản hóa và nâng cao bảo mật các kết nối mạng - cả có dây và không dây - bằng cách thiết lập Mobility Controller như 1 công cụ thực thi chính sách thống nhất. Lưu lượng truy cập từ Access Point hoặc Switch sẽ gói gọn trong các GRE Tunnel (Generic Routing Encapsulation Tunnel) để tường lửa (Policy Enforcement Firewall - PEF) kiểm tra.
Role-based policies – Chính sách phân quyền dựa trên vai trò
Bằng cách triển khai công nghệ Dynamic Segmentation, các quyết định chính sách dựa trên vai trò và quyền truy cập được đưa ra dựa vào loại thiết bị, ứng dụng được sử dụng hay thậm chí là vị trí của người dùng. Role-based policies, ban đầu được sử dụng để giải quyết vấn đề bảo mật của mạng không dây, tiến hành phân đoạn lưu lượng mạng theo loại người dùng như nhân viên, khách hàng hoặc đối tác, từ đó đơn giản hóa quản lý mạng nhờ giảm thiểu quá trình cấu hình mạng tĩnh và phức tạp.
Mở rộng quản lý role-based policy qua các AP không dây và Switch mang lại giải pháp khác biệt với tính đơn giản và an toàn khi cần quản lý, thực thi các chính sách dành cho di động, IoT và đám mây.
Layer 4-7 segmentation – Phân đoạn theo layer 4-7
Kiến trúc Aruba WLAN giữ an toàn và tách biệt cho các truy cập bằng cách sử dụng các tunnel giữa AP và gateway hoặc controller. Phân quyền dựa trên tunnel mang lại khả năng bảo mật cao nhờ tường lửa (PEF) kiểm tra các truy cập nhiều rủi ro. Các ngữ cảnh chi tiết (người dùng, thiết bị, ứng dụng, địa điểm) được cung cấp bởi tường lửa của Aruba, giảm chi phí trang bị các tường lửa đắt tiền ở đầu vào. Các chính sách ngữ cảnh dựa trên danh tính (identity), loại thiết bị và địa điểm cho phép đáp ứng nhu cầu của từng nhóm người dùng khác nhau mà chỉ cần một cấu hình mạng duy nhất do các luồng truy cập chỉ thích ứng với một vai trò đã được chỉ định.
Bằng cách sử dụng kiến trúc tunnel này, Aruba có thể cung cấp khả năng phân quyền theo vai trò thay vì các hình thức thủ công truyền thống của VLAN cục bộ. Một ví dụ dễ hiểu là các camera an ninh có thể được chỉ định vai trò trong đó chỉ cho phép truy cập hạn chế đến 1 máy chủ đặc biệt, từ đó loại bỏ các nguy cơ bị xâm nhập vào các thành phần khác trong hệ thống mạng.
Khả năng này có thể được thiết lập cho PBT (Port-Based Tunnelling) với các xác thực được thực hiện trên controller hoặc UBT (User-Based Tunnelling) thực hiện xác thực ngay trên switch. Chính sách phân quyền linh hoạt này hoạt động như lớp overlay, có thể cùng tồn tại với các triển khai VLAN bằng cách sử dụng các tunnel an toàn trong những khu vực được chọn mà không bị tách rời hay phải thay thế toàn bộ cơ sở hạng tầng mạng.
Các thành phần của giải pháp
Aruba Wireless Access Point: mạng không dây Wi-Fi 802.11 ac và 802.11ax đáp ứng nhu cầu của mọi môi trường với dịch vụ vị trí và AI tích hợp; Aruba Network Switch: nền tảng cho mạng chi nhánh hay trường học, tích hợp mạng có dây và không dây dễ mở rộng, bảo mật và hiệu suất cao; Aruba Gateway hoặc Aruba Mobility Controller: thành phần quan trọng của giải pháp, gateway và controller thực thi chính sách cho các truy cập có dây và không dây, trong khi tường lửa tích hợp sẵn sẽ hỗ trợ bảo mật an toàn; Aruba ClearPass Policy Manager: quản lý tập trung các chính sách truy cập mạng với các tính năng chính gồm cấu hình thiết bị, xác thực, ủy quyền và thực thi chính sách. Sau khi vai trò và quyền được xác lập, ClearPass sẽ theo dõi người dùng qua truy cập mạng. Nếu người dùng chuyển sang thiết bị không xác định hoặc ở trong mạng có nguy cơ, chúng sẽ tự động thay đổi quyền truy cập.
Aruba Dynamic Segmentation là giải pháp giúp đơn giản hóa các tác vụ vận hành IT, cải thiện bảo mật an toàn trong khi đơn giản hóa quy trình thực thi. Giải pháp mang lại trải nghiệm nhất quán cho người dùng bằng cách áp dụng các chính sách thống nhất và thực thi các dịch vụ nâng cao ở bất kỳ đâu. Dynamic Segmentation đảm bảo các chính sách bảo mật và truy cập thích hợp được phân phối liền mạch, tự động và độc lập cho mọi người trên cả mạng có dây và không dây.
Phương Dung