在3月底舉行的全球用戶大會Atmosphere,HPE旗下的網路解決方案品牌Aruba,宣布既有的邊緣服務平臺(Edge Services Platform,ESP)取得多種進展,主要是他們發展的雲端網路管理平臺Aruba Central,將增添新功能,讓企業營運的網路服務能夠趕上業務需求快速變化的狀況。
同時,他們也推出雲端原生的網路連線與資安服務,名為Aruba Central NetConductor,不同類型與規模的企業可透過多種雲端原生服務,針對區域網路(LAN)、無線區域網路(WLAN)、廣域網路(WAN)等分散式基礎架構,獲得簡化的政策建立與自動設定網路組態的能力,以此執行集中管理,強制施行零信任與安全存取服務邊緣(SASE)相關的控管政策,實現運作上更為靈活的網路環境,提供最佳化的網路傳輸效能與落實細緻的存取控制原則,IT團隊可藉此免於單調、容易出錯的手動維運作業。
在使用方式上,這項新發表的解決方案,目前已開放初步試用,預計在6月全面上線,而且它隸屬於雲端管理服務Aruba Central,若是既有企業用戶打算採用,需選購進階授權。
採用層疊式網路架構,提供自動化調度指揮機制
就功能而言,Central NetConductor將人工智慧技術運用在網路管理,以及最佳化的處理,透過可實現業務意圖(business-intent)的工作流程,去自動設定網路環境的組態,並將Aruba既有的安全性防護技術延伸出去,結合雲端原生的網路存取控制(NAC)──Central Cloud Auth,以及動態網路分段技術Dynamic Segmentation,並將這些用於整個交織網路的統籌管理。
相較於傳統的網路環境建置與管理架構,以VLAN來進行區隔,而需仰賴手動監控與組態調整,Central NetConductor採用邏輯層疊(logical overlay)的方式,來縫合異質、分散的底層網路基礎架構,能夠全面控制整個網路,卻不需耗用許多人力來進行管理,而且具有更大的延展性,更適合用於管理與防護複雜、高度分散的現代化網路環境。
原本與底層網路設施緊密綑綁的個人端流量控制、資安政策的管理與施行,也能在這樣的架構之下解耦,不需再用試算表去管理VLAN、子網路的組態對照,開啟十幾個SSH連線去產生層疊路由,或是手動整理基於IP位址的存取控制清單(ACL)等方式。
若從Aruba目前公布的組成元件架構來看,也可呼應Central NetConductor底層基礎架構實際配置。這當中包含了Fabric Wizard、Group Policy Identifier、分散式交換器與閘道,其中的Fabric Wizard,提供直覺的圖形使用者介面來驅動設定的工作流程,當中會運用連線的拓樸關係來簡化層疊網路架構的建立,讓IT人員輕鬆定義VXLAN虛擬元件、產生命令列介面形式的組態指令,隨後推送至交換器與閘道。
在完成網路部署之後,Central NetConductor後續若要進行網路存取控制,主要是對個人端與連網設備執行角色與政策的指派,IT人員可透過上述網頁介面工作流程的引導,去訂定或更新政策內容,幾分鐘之後,系統會自動將這些資訊散布到整個層疊交織網路當中,實現持續的政策強制施行,並且不間斷地反映企業基於業務意圖所提出的工作流程要求,以及相關的角色存取,而不需要手動介入或更新。
值得注意的是,在網路基礎架構的建置上,Central NetConductor引入新的網路身分辨別機制,稱為群組原則辨識資訊(Group Policy Identifiers,GPIDs),能夠讓網路環境當中的流量攜帶個人端政策資訊,能用於線上(in-line)傳輸模式下的政策強制實施,換言之,這可以充實網路流量的存取控制資訊,減少網路與安全組態的處理負擔,提升這些設定的可移動性與延展性。
基本上,這組資訊會集中交由上層的政策管理員Policy Manager來負責定義與套用,後續能讓各個位置的交換器與閘道進行政策強制套用。
關於動態網路分段的應用,Central NetConductor提供5大功能。
首先是探查與剖析,這裡結合了Client Insights這套AI輔助分析服務,可確保網路環境當中的所有使用者與設備,無論其是否處於列管狀態,均可受到監督與控制。
第二是身分認證,這裡整合雲端原生網路存取控制服務Central Cloud Auth,能夠將角色、相關連線需求、基於業務而給予的存取權限,指派到特定使用者與設備。
第三是授與權限,Central NetConductor的政策管理員會將指派的角色,轉譯為適當的路由與相關的存取政策。
第四是強制施行,企業可在此透過Aruba CX系列交換器與閘道,執行分散式的線上政策強制套用
,也可以透過Aruba閘道定義的防火牆,來施行集中式的政策控管強制套用。
最終是自動應變,一旦用戶偵測到網路攻擊或惡意軟體的活動,可自動變更使用者與設備許可,將惡意實體進行限制存取、隔離、阻擋等動作,遏止攻勢,避免其擴散至更大規模。
在相容性方面,Central NetConductor本身也是基於多種普遍的通訊協定而成,像是EVPN、VXLAN、BGP,因此,可用於既有的Aruba網路設備,以及第三方廠商的網路基礎架構。
如此一來,能讓IT人員以統一的方式全面管控整個網路環境,並且支援異質網路設備的使用,因此,Central NetConductor不只是針對園區邊緣網路,還能涵蓋到資料中心網路、甚至是分公司、駐外據點、居家辦公,均能以一致的政策框架來進行管理。
相較之下,若沿用傳統的網路部署方式,也就是重新構建基礎架構,可能會曠日廢時;若採用普及率較低的網路協定或專屬作法,可能會導致廠商綁定的狀況而限制IT網路服務的彈性。
以此實現網路現代化的三大要素
整體而言,這套新的解決方案的出現,能讓企業加速整個網路環境的部署、管理、保護,針對使用者、物聯網的部署,均可提供靈活的網路服務,兼具零信任與SASE資安政策的落實。
在Central NetConductor的幫助之下,用戶可搭配雲端原生服務來簡化網路政策的產生,以及有線網路、無線網路、廣域網路基礎架構組態的調度指揮自動處理機制,集中控管分散式網路的各種角色、身分認證與存取許可,實現網路現代化的三大要素:自動化、安全、敏捷。
以自動化而言,Central NetConductor可實現基於不同意圖而成的工作流程,而且僅需單鍵即可完成網路連線與資安政策的調度指揮。關於安全性的確保,這套解決方案提供廣泛的角色存取控制功能,可延伸動態網路分段技術,實現零信任與SASE安全政策強制套用。在敏捷的部分,這裡使用雲端原生的服務,可提供集中的監督與控制功能,並且是基於標準而成,有助於後續的遷移作業,同時,也能沿用既有的網路設備,保護先前的IT投資。
產品資訊
Aruba Central NetConductor
●原廠:Aruba
●建議售價:廠商未提供
●包含的元件:支援Fabric的Aruba交換器(AOS-CX)與閘道(AOS-10)、Group Policy Identifier、Fabric Wizard、Policy Manager、Cloud Auth、Network Insights、Client Insights
●主要功能:資安防護與網路自動化、延伸的動態網路分段、產生智慧型網路層疊環境
●支援網路通訊協定:OSPF、BGP、EVPN、VXLAN
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03