2025-01-27

零信任概述

零信任是一种安全模型，在该模型中，没有任何设备、用户或网络段是天生可信的，必须被视为潜在威胁。

目录

• 零信任概述
  • 零信任的优势
  • 零信任的要求
  • Aruba 零信任架构
    • Aruba ESP 策略层
    • Aruba Central NetConductor
      • 策略定义
        • 角色
        • 全局策略管理器
      • 身份验证与授权
        • ClearPass
        • 云端认证
      • 执行
        • 集中式
        • 分布式
        • WAN 传播
    • 摘要

为了增强现代企业的安全性，在用户和设备远程且威胁绕过传统边界防御的情况下，采用一种严格的安全模型进行持续检查至关重要。在访问网络之前，所有设备和用户都应被识别和验证，并赋予所需的最少权限，然后进行持续监控

零信任的优势

零信任有助于确保在移动、物联网和远程办公环境下的网络安全。零信任的主要优势包括：

• 限制与易受攻击的物联网设备相关的安全风险暴露。
• 有助于降低绕过传统边界安全控制的高级威胁的风险。
• 限制与攻击者和感染设备的横向移动相关的损害。
• 无论是谁或什么连接以及来自何处，都采取更全面的安全方法。
• 采用微分段等最佳实践，实施“最少访问”策略。

零信任的要求

Aruba 将实现网络零信任的以下三项内容视为必要条件。这些内容将在本政策指南中进行更详细的讨论：

• 身份验证与授权： 主动和被动发现网络中的所有用户和设备。

• 最少访问微分段与控制： 访问控制策略仅授予设备或用户绝对必要的资源访问权限，并将其与其他不需要的资源进行隔离。

• 持续监控与执行： 持续监控网络中的用户和设备，大大降低与威胁和恶意软件相关的风险。

Aruba 零信任架构

Aruba 边缘服务平台（ESP）架构提供灵活且高度可靠的设计，确保所有授权用户高效访问应用和数据，同时简化操作并加快服务交付。高可用性创新结合增强的简便性和可编程性，为现代组织提供行业一流的网络解决方案。

Aruba ESP 是 Aruba 端到端架构的演进，提供统一基础设施和集中管理，利用人工智能运维（AIOps）提升操作体验，并配合零信任安全策略。Aruba ESP 是行业内首个专为智能边缘新需求打造的平台。

Aruba ESP 提供丰富的服务，包括接入、配置、编排、安全、分析、位置追踪和管理。AI 洞察在问题影响用户之前揭示问题。直观、以工作流程为中心的导航，使组织能够快速轻松地完成任务，视图展示多个相关数据维度。策略在中心位置创建，诸如动态分段等功能使网络管理员能够在现有基础设施上实施策略。Aruba ESP 架构分为不同层次，如下图所示。

Aruba ESP 策略层

Aruba ESP 园区的策略层采用叠加技术和流量过滤机制，隔离用户和应用流量。数据流量可以通过隧道传回网关集群进行集中执行，或在提供策略执行的交换机结构中处理，确保每个节点都能执行策略。

ClearPass 策略管理器通常用于为用户数据库（如 LDAP）提供网络身份验证（即 RADIUS），并定义用户角色及其相关策略，在网络中强制执行。设备洞察确保从网络收集的信息中确定端点安全态势。

Aruba ESP 强大的策略管理源自将策略与网络的 IP 设计分离。通过隧道传输到网关集群的流量在入口处被标记为用户角色，决定网关在转发时如何处理流量。在分布式结构中，使用 VXLAN-Group Based Policy（GBP）功能为每个帧分配角色 ID，确保在 LAN、WLAN 和 WAN 中一致执行策略。

Aruba Central NetConductor

Aruba Central NetConductor 是一套端到云的网络和安全服务，旨在实现一致的零信任网络。Central NetConductor 通过自动化部署、运营和安全策略，降低连接性和安全性挑战的复杂性，提供云原生服务。

以下部分描述在 NetConductor 框架中创建角色和策略、将角色应用于用户以及基于角色执行策略的过程。

策略定义

角色

角色仅仅是表示用户或设备分组的一种方式。当新用户或设备加入网络时，会分配角色。Aruba 使用多种方法分配角色，角色对策略的影响也有多种方式。

过去，角色及其相关策略在网络的不同平台和位置分别定义。今后，角色在 Aruba Central 全局策略管理器或 Aruba Central 中定义，这一集中配置会在所有网络基础设施中统一应用。

角色通过网络接入控制（NAC）解决方案（如 ClearPass 或 Cloud Auth）分配给用户和设备。

全局策略管理器

Aruba Central 全局策略管理器配置角色及角色到角色的策略。为了使这些角色更加强大且符合 ESP 架构，可以在 Aruba Central 中进行全局管理。例如，如果网络中有五个角色，可以通过定义角色之间的权限关系创建角色到角色的策略。只需在 Central 中配置一次，即可应用于所有相关网络设备：从微型分支或桥接模式的接入点，到移动网关，再到交换机。无需构建三种不同格式的安全策略。

身份验证与授权

ClearPass

ClearPass 策略管理器是一个功能全面的 RADIUS、TACACS、访客生命周期管理和强制门户平台。在零信任架构中，ClearPass 负责身份验证与授权，提供网络的初始接入，并分配用于执行的角色或其他属性。ClearPass 还提供持续监控与执行，根据监控到的变化或事件动态调整设备的访问级别。

ClearPass 可以访问存储在本地数据库、连接到本地网络的用户数据库或云托管的用户数据库中的用户和设备身份验证信息。ClearPass 具有多种认证方式，能够查询大多数信息源。

ClearPass 策略管理器为物联网（IoT）、自带设备（BYOD）、企业设备以及员工、承包商和访客提供安全的基于角色和设备的网络接入控制，支持有线、无线和 VPN 基础设施。内置的上下文感知策略引擎、RADIUS、TACACS+、非 RADIUS 执行（使用 OnConnect）、设备分析、态势评估、接入和访客访问选项，使 ClearPass 成为任何规模组织网络安全的无与伦比的基础。

ClearPass 还支持安全的自助服务功能，简化网络访问。用户可以根据管理策略安全配置自己的设备，用于企业或互联网接入。Aruba 无线客户还可以使用独特的集成功能，如 AirGroup 和 ClearPass 自动登录（ASO）。ASO 会自动将用户的网络身份验证传递给企业移动应用，让用户可以立即开始工作。

ClearPass 策略管理器 关键特性

• 跨多厂商网络的基于角色的统一网络接入执行
• 直观的策略配置模板和可见性故障排除工具
• 支持多种认证/授权源（AD、LDAP、SQL）
• 具有内置证书颁发机构（CA）的自助设备接入，用于自带设备（BYOD）
• 访客接入，支持广泛的定制、品牌化和基于赞助商的审批
• 与关键的统一端点管理解决方案集成，以进行深入的设备评估
• 与 Aruba 360 安全交换计划的全面集成。

ClearPass 是唯一的策略平台，能够集中执行任何行业的企业级 NAC 的所有方面。细粒度的策略执行基于用户的角色、设备类型和角色、认证方法、统一端点管理（UEM）属性、设备健康状况、流量模式、位置和时间。可扩展的部署支持数万台设备和认证，超越了传统 AAA 解决方案的能力。为中小型到大型组织提供集中式或分布式环境的选项。

云端认证

Aruba Central 上的云端认证提供无缝的云端入网和 NAC 解决方案。中小型组织由于IT人员有限，受益于简化的工作流程和通过 Aruba Central 管理的安全角色基础策略，以确保用户和设备具有适当的网络访问权限。

在零信任架构中，云端认证可以负责认证与授权，提供网络的初始入网，并分配用于执行的角色或其他属性。云端认证还提供持续监控与执行，根据监控到的变化或事件，调整网络中任何设备的访问级别。

执行

Central NetConductor 为网络和安全团队提供一个共享工具箱，以确保最佳连接性和适当的保护级别。它扩展了 Aruba 市场领先的动态分段能力，覆盖多个网络叠加层，使采用全面的零信任和 SASE 安全变得容易。

NetConductor 支持两种部署模型：集中式和分布式。

集中式

在集中策略模型中，无线和/或有线数据流量被隧道回传到网关集群进行安全执行和流量控制。

在下方示例中，财务部门的用户认证到园区网络。另一用户登录到直接连接到支持 UBT 的交换机的访客自助终端电脑。AP 和交换机通过 GRE 隧道转发流量到网关。网关解封装并分析流量，根据用户角色和其他属性应用安全策略，然后将流量转发到授权目的地。在这种情况下，所有执行都在网关上完成。

分布式

分布式策略执行使用 VXLAN 隧道在交换机之间创建虚拟网络。Aruba CX 交换机能够在本地执行策略，具备许多与网关相同的能力。这在保护园区内东西向流量时尤为强大。这些能力被描述为 Aruba ESP NetConductor 解决方案。

NetConductor 将 VXLAN 与 MP-BGP EVPN 控制平面配对，确保端点在地理上分散的子网和广播域中的可达性。

在下方示例中，一名来自财务部门的有线用户认证到园区网络。另一名用户登录到访客自助终端电脑。交换机在本地分析流量，根据用户角色和其他属性应用安全策略，然后将流量转发到其授权的目的地。利用交换机的原生防火墙功能，可以在边缘执行策略，从而让流量以更直接的路径到达目的地。这种策略比集中式模型具有更大的灵活性和扩展性。

WAN 传播

为了使基于角色的零信任模型有效，角色必须随数据包在 WAN 环境中传输。Aruba 的两种 SD-WAN 解决方案，EdgeConnect SD-Branch 和 EdgeConnect SD-WAN，都支持此能力。

摘要

下表总结了帮助实现零信任各个方面的 Aruba 产品。

需求	零信任架构	Aruba ESP 解决方案
了解网络上的内容	组织通过定义其拥有的资源来保护资源	Aruba Central Client Insights ClearPass 策略管理器 云端认证
认证所有用户和设备	创建、存储和管理企业用户账户及身份记录	ClearPass 策略管理器 云端认证
确保遵循资产配置和合规指南	收集企业资产的当前状态信息，并对配置和软件组件进行更新	ClearPass Onguard
在网络中分配和执行访问策略	所有资源的身份验证和授权都是动态的，并在允许访问之前通过协调策略引擎和策略执行点严格执行	查看 Policy Enforcement 页面，了解如何在整个网络中执行零信任策略。 Aruba 角色
与安全生态系统进行双向通信并应对攻击	提供企业信息系统安全态势的实时（或接近实时）反馈；与安全信息与事件管理系统集成	ClearPass Policy Manager/Aruba 360 Security Exchange