随着网络成为数字转型的催化剂，传统的外围安全防御已不再适用。员工、合作伙伴、客户和组织内任何地方的来宾都在连接移动设备和物联网设备，这推动了基于特定 IT 接入授 权对流量进行强化隔离的需求。

传统的基于 IP 地址的安全防火墙规则和物理网络配置不再适 用。组织现在需要基于边缘的保护，无论用户角色、设备类 型或位置如何，这种保护都是动态实施的。

Aruba 率先使用一种全面的基于角色的访问控制解决方案， 称为策略实施防火墙 (PEF)，专门帮助解决这个问题。这一成 熟的技术是唯一被 Cyber Catalyˢᴹ by Marsh 指定的以用户 和设备为中心的防火墙，在接入点提供“零信任”边界，以降低风险。

什么是 CYBER CATALYSTˢᴹ BY MARSH 计划？

作为 Cyber Catalystˢᴹ 计划的一部分，领先的网络保险公 司评估并确定他们认为能有效降低网络风险的解决方案。 参与的保险公司包括 Allianz、AXIS、AXA XL（AXA 的一 个部门）、Beazley、CFC、Munich Re、Sompo International 和 Zurich North America。Microsoft 是该计 划的技术顾问。

被视为有效降低网络风险的网络安全产品和服务将被称为 “Cyber Catalystˢᴹ ”。采用 Cyber Catalyst 指定解决方案 的组织有资格从参与的保险公司处获得网络保险单的增强 条款和条件。

Aruba 策略实施防火墙和 HPE 服务器 Silicon Root of Trust (SiROT) 都被指定为 Cyber Catalystˢᴹ 。

基于角色的零信任保护控制

利用 VLAN 和 IP 进行控制的传统防火墙只有在用户或设备被 允许进入网络后才会激活，这为高级攻击提供了可乘之机。 Aruba 的策略实施防火墙技术则可以利用身份、流量属性和 其他上下文信息在连接刚刚开始时就实施中心化的访问控制 策略。这一点很重要，因为攻击者连接到一个完全开放网络 的每一秒钟，都可以释放数千个恶意报文来获取用户凭据， 扩大恶意软件的根基和进行其他破坏性活动。缩小设备连接 和策略执行之间的时间差至关重要。

当使用 Aruba 的无线或有线基础设施时，首先会对每个用 户或设备的身份进行验证，然后才会授予访问网络或资源 的权限。每个设备都会根据预定义的规则分配角色并授予 权限。这限制了用户或设备可以访问的应用程序和数据， 或者他们可以与谁通信。例如，监控摄像机只能与视频服 务器通信以下载内容。

一旦检测到数据泄露或勒索软件等攻击，Aruba 策略实施 防火墙可以通过更新角色和授权权限来自动更改与用户或 设备相关的权限。攻击响应可以包括从减少带宽、流量隔 离到彻底阻断等一系列操作。组织安全生态系统中的任何 安全产品都可以通过简单的 API 接口向 Aruba 策略实施防 火墙发送攻击警报并触发攻击响应。

Aruba 策略实施防火墙通过本地或基于云的管理控制台进行管理，可以与 Aruba 网络基础设施整合在一起，也可 以作为独立的安全网关。

通过帮助组织实施基于角色的零信任访问控制，Aruba 策 略实施防火墙因其有效降低风险的能力而被指定为 “Cyber Catalystˢᴹ ”。如需了解更多信息，请参考以下 关于 Cyber Catalyst 计划、Aruba PEF 和 HPE SiROT 的资源。