2025-02-24

零信任路线图

从传统网络几乎没有细分、认证或策略执行转变为完整的零信任环境需要经过深思熟虑的规划、协作和反复的实施。本章提供了一份路线图，帮助组织逐步采用HPE Aruba Networking解决方案实现安全的零信任模型。

目录

• 零信任路线图
  • 以终为始：NetConductor愿景
  • 第一步：制定策略矩阵
    • 了解网络组成
    • 从小做起
    • 收集策略设计数据
    • 迭代扩展
  • 第2步：应对没有网络访问控制的网络
    • 在 AOS-10 网关上进行角色派生
    • 在 SD-WAN 网关上进行 VLAN 角色映射
  • 第3步：采用 NAC 解决方案
  • 第4步：从小规模开始强制执行
    • 从 VLAN 基础的强制开始
    • 扩展到基于角色的强制
      • 集中式 fabric
      • 分布式 fabric
      • SD-WAN 网关
        • 基于角色的区域防火墙策略
        • 结合业务意图叠加的角色
        • 通过角色增强本地安全
  • 第五步：随着网络现代化而扩展

以终为始：NetConductor愿景

构建零信任网络的核心始于三个原则：

• 识别并验证网络上的每个设备，
• 执行业务意图策略，
• 持续监控网络上的流量，实时响应。

HPE Aruba Networking NetConductor 提供工具，用于接入多样化设备、执行一致的策略，以及根据用户和设备活动动态调整访问级别。

首先，设备必须接入并通过身份验证后才能连接到网络。HPE Aruba Networking NAC 服务简化了访客、IoT、BYOD 和企业设备的接入流程。这确保网络上的每个设备都被识别、验证并根据其角色和用途进行分类。

接下来，策略执行确保对网络资源的访问既一致又安全。集中式或分布式网络结构应用访问策略，而 SD-WAN 功能将这些控制扩展到地理分散的地点。这种方法保证了无论设备连接到哪里，都能遵循统一的安全标准。

最后，持续验证通过实时监控用户和设备行为增强安全性。访问级别会根据活动动态调整，确保网络执行能够适应不断变化的条件和潜在威胁。这种持续评估有助于维护安全环境，同时不影响运营效率。

最终目标是用动态的零信任（Zero Trust）框架取代传统的“允许一切”模型。在此模型中，每次用户和设备的交互都经过验证，只有获得授权的资源才能访问。通过遵循以下步骤，组织可以实现一个完全的零信任环境，基础是细粒度控制、合规性和持续监控。

第一步：制定策略矩阵

构建零信任网络的第一步是制定全面的策略矩阵。该文档映射组织内的角色、设备和访问级别，作为网络安全的基础。此文档由关键利益相关者——包括IT、运营和业务领导——共同制定，以确保网络策略与组织目标一致。此合作确保策略矩阵既符合安全需求，也符合业务优先级。

在制定基于业务策略的策略后，必须将其落实到网络中。实现这一目标的方法在本章中有详细介绍。

了解网络组成

在定义策略之前，关键是要了解哪些设备连接到网络、它们如何连接、它们的流量流向以及它们产生的流量类型。完整的端点清单有助于指导策略矩阵的制定。

可以使用如 HPE Aruba Networking Central Client Insights、MDM 解决方案和端点管理系统等工具收集数据，并与端点管理团队合作。

下表记录了连接到网络的设备示例。

端点	连接方式 类型	身份验证 类型	流量 类型	流量 模式	备注
Android 平板	无线	Dot1x	用户流量	N-S, E-W	企业通信
斑马扫描器	无线	MAC	用户流量	南北、东西向	PoS 扫描器
Windows	有线，无线	Dot1x	用户流量	N-S，E-W	PoS 系统
苹果平板	无线	Dot1x	用户流量	N-S, E-W	企业通信
摄像头（PoE）	有线	MAC	视频	N-S	物理安全
Badge Reader (PoE)	有线	MAC	数据	N-S	物理访问安全
打印机	有线	无认证	数据	电子钱包	POS 系统用打印机
媒体播放器	有线，无线	无认证	视频	N-S	多播流

此图片展示了在 HPE Aruba Networking Central 中使用客户端洞察进行客户端发现的示例。

从小做起

在创建初始策略矩阵时，务必从小做起，并随着网络管理员对零信任策略的熟悉逐步扩展。这种方法可以最大限度地减少对业务运营的干扰，并允许策略的迭代优化。首先定义一组有限的高层角色，例如“访客”、“物联网”和“员工”。这些角色应最初涵盖最广泛的访问需求类别，而不深入细节。

对于每个角色，定义基本的访问权限和拒绝。例如：

• 访客角色： 允许访问互联网服务（HTTP/HTTPS），但阻止所有内部网络资源。
• IoT 角色： 允许与云控制服务的通信，同时限制对内部应用和点对点设备通信的访问。
• 员工角色： 根据部门需求提供对企业资源的接入，同时阻止对敏感管理系统的访问。

收集策略设计数据

为了有效构建这些角色，使用现有的网络监控工具分析流量模式。诸如 NetFlow 或 AppRF 等工具可以提供关于典型设备行为的洞察，帮助识别不同组最常访问的资源。此外，HPE Aruba Networking Central Client Insights 可以通过识别网络上的运行内容和分析通信模式提供有价值的信息。这种可见性对于优化角色定义和理解流量流向至关重要。例如，这些工具可以检测特定应用依赖关系和点对点通信，有助于制定精确的访问策略。利用这些数据验证初始角色定义，确保其与实际使用情况一致。

迭代扩展

在成功实施基础角色和策略后，逐步扩展策略矩阵，加入更多角色和更细粒度的访问控制。例如，将“员工”角色拆分为“财务”、“工程”和“销售”等子角色，每个子角色具有定制权限。引入条件策略，根据设备状态或网络位置调整角色。例如，除非设备通过安全的、企业管理的端点连接，否则限制访问财务应用。

通过从小规模开始，逐步扩展，组织可以建立一个稳健的策略框架，而不会给IT团队带来过重负担或影响业务运营。这种渐进式方法确保策略在网络演变过程中保持可管理性和有效性。

以下图片展示了使用 Central Policy Manager 创建的设备“角色”分组及相关策略的示例。

第2步：应对没有网络访问控制的网络

没有现有 NAC 能力的组织仍然可以通过其他角色分配方法在实现零信任方面取得重大进展。将控制从基于 IP 的控制转变为基于角色的策略，以建立更具适应性的安全模型，同时熟悉基于用户身份而非 IP 子网的策略执行。以下提供了在没有 NAC 解决方案的情况下，开始使用基于角色策略的示例。

在 AOS-10 网关上进行角色派生

启用角色派生，在未使用 NAC 服务器时，在连接过程中动态分配角色。配置派生规则，评估诸如 SSID、MAC 地址或设备操作系统等属性。例如，连接到“Corp-WiFi” SSID 的企业设备可以被分配为“员工”角色，而连接到“Corp-WiFi” SSID 的物联网设备可以通过匹配供应商 OUI 被分配为 IoT 角色。

在 SD-WAN 网关上进行 VLAN 角色映射

EdgeConnect SD-WAN 和 EdgeConnect SD-Branch 网关都提供将物理接口或 VLAN 接口映射到角色的能力。当尚未部署 NAC 解决方案或在动态分配用户角色之前，这一功能尤为有用，作为备用或默认角色机制，将角色分配给流量。

使用 VLAN 到角色的映射是开始角色基础策略的绝佳起点。通过将现有 VLAN 映射到角色，可以在无需立即部署 NAC 解决方案的情况下实现基于角色的分段。例如，为访客流量指定的 VLAN 可以被分配为“访客”角色，而 IoT VLAN 可以被分配为“IoT”角色。

这种方法具有双重优势：它实现了网络流量的基于角色的控制，同时为IT团队提供了一个低风险的环境，以熟悉角色管理。随着组织对这一框架的熟悉程度提高，可以更好地准备采用更先进的 NAC 能力，并动态为个人用户和设备分配角色。

从 VLAN 到角色的映射开始，组织可以为零信任原则奠定坚实基础，同时最大限度减少复杂性和中断。

第3步：采用 NAC 解决方案

引入 NAC 解决方案是实施零信任的关键步骤。HPE Aruba Networking 的 NAC 解决方案提供强大的设备认证和角色分配能力。大多数 NAC 解决方案，即使是免费版本，也能与 Aruba 的供应商特定属性（VSA）“Role”集成，实现网络中的无缝基于角色的控制。

利用 Client Insights 进行 IoT 设备分析

管理 IoT 设备是最大的安全挑战之一，因为这些设备通常缺乏传统的认证能力。HPE Aruba Networking Central Client Insights 与 HPE Aruba Networking NAC 解决方案集成，可以根据观察到的行为和属性进行深度设备分析。例如，通过 MAC 地址、流量模式和制造商信息识别监控摄像头。分析后，为其分配专门的 IoT 角色，仅允许访问必要的云控制服务，阻止所有内部资源访问。

使用 ClearPass BYOD 证书管理 BYOD

BYOD 设备由于所有权和配置的多样性，带来了额外的复杂性。利用 HPE Aruba Networking ClearPass 的 BYOD 上线功能，在注册过程中发放唯一的设备证书。这些证书确保只有授权的个人设备才能连接到网络。定义一个限制访问互联网资源和特定企业应用的 BYOD 角色，同时阻止敏感内部系统。

访客访问与 AUP 页面

对于访客设备，简便性至关重要。实现带有可接受使用政策（AUP）页面的门户，确保在授予访问权限前符合规定。配置 HPE Aruba Networking ClearPass，在成功认证或接受 AUP 后分配“访客”角色。该角色应允许基本的互联网访问，同时拒绝所有内部资源连接。Aruba 灵活的门户选项支持品牌定制，以符合组织需求。

企业设备的 802.1X 认证

企业拥有的设备通常需要最高级别的信任和访问权限。使用 802.1X 认证验证用户和设备。应使用企业 PKI（公钥基础设施）发放设备和用户证书。将这些设备分配到“员工”角色，访问权限根据部门需求定制。为了增强安全性，还应结合端点状态检查和 MDM（移动设备管理），在授予完全访问权限前验证符合企业标准。

考虑这些常用策略，以确保全面覆盖并在不同设备类型和用户组中保持一致的策略执行。

第4步：从小规模开始强制执行

零信任的优势在于策略执行的落实。可以从有限的强制措施开始，减少迁移中的挑战，同时验证新策略的有效性。重点限制低信任角色对敏感资源的访问。例如，制定初步策略，禁止 IoT 设备访问内部文件服务器，或阻止访客设备与生产网络通信。

从 VLAN 基础的强制开始

最简单的起步方式是实施 VLAN 强制。为特定 VLAN 分配角色，并在 VLAN 层应用访问控制列表（ACL）限制流量。例如，访客 VLAN 可能只允许 HTTP/HTTPS 流量到外部目的地，而 IoT VLAN 仅允许与特定云端端点通信。这种方法可以立即实现网络分段，无需对网络配置或操作进行重大更改。

扩展到基于角色的强制

考虑结合 Aruba 的基于角色的策略，实现更细粒度的控制，其中角色通过 NAC 动态派生，从而实现基于实时用户和设备属性的强制控制。

集中式 fabric

集中式 fabric 简单高效。这些 fabric 支持集中式角色策略执行，允许实现可扩展且一致的策略应用。在某些情况下，集中式 fabric 可以在不影响现有网络的前提下叠加。例如，组织可以对访问网络的承包商实施零信任策略，而不改变其余基础设施。有关集中式 fabric 的详细信息，请参阅 NetConductor Enforcement Models chapter of the Policy Design guide.。

分布式 fabric

分布式 fabric 适用于需要大量东西向流量的环境，边缘分布式策略执行尤为重要。与通过核心执行点路由流量的集中式 fabric 不同，分布式 fabric 允许在靠近边缘的地方执行策略，减少延迟并优化带宽使用。有关分布式 fabric 的详细信息，请参阅 policy enforcement page。

SD-WAN 网关

EdgeConnect SD-WAN 网关可以利用角色增强和扩展安全性及策略执行，直接在网络边缘实现。这种集成提供了高度可扩展的本地执行点，支持包括区域基础防火墙策略、入侵检测与预防系统（IPS/IDS）以及应用感知策略执行等多种先进安全功能。

基于角色的区域防火墙策略

角色可以无缝集成到 EdgeConnect 的区域基础防火墙策略中，提供对区域间流量的细粒度控制。例如，使用“访客”、“IoT”和“企业”角色，可以定义区域间的访问规则，如限制访客流量仅限于互联网区域，或限制 IoT 设备仅与指定的云服务通信。将角色融入区域策略，确保访问控制决策具有上下文感知性并在整个网络中得到一致执行。

结合业务意图叠加的角色

业务意图叠加（BIOs）是 EdgeConnect SD-WAN 网关的关键特性，提供根据业务需求定义流量处理和优先级的能力。角色通过影响流量路由和优先级，动态增强 BIO 策略。例如，分配“高管”角色的设备流量可能会通过性能最高、延迟最低的路径路由，而“访客”角色的流量则可能被调度到次要路径，优先级较低。这确保关键应用和用户获得所需的性能，同时不影响网络效率。

通过角色增强本地安全

EdgeConnect SD-WAN 网关提供强大的本地安全选项，角色进一步增强这些能力。

• IPS/IDS 集成：角色可以影响 IPS/IDS 策略的应用。例如，属于“企业”角色的设备流量可能会受到更严格的入侵检测策略，而“访客”流量则较为宽松，反映出对敏感企业数据的更高安全需求。
• 应用感知策略：EdgeConnect 的应用可见性允许组织创建细粒度、角色特定的策略。例如，”销售”角色的用户可以优先访问 CRM 应用，而 “IoT” 角色的设备只能与已批准的应用端点通信。
• Web过滤和URL分类：基于角色的策略可以扩展到Web过滤，其中“访客”角色可能被限制访问某些类别的网站，而“员工”角色则可以根据业务需求拥有更宽松的访问权限。

通过将角色与EdgeConnect的高级安全功能结合，组织可以实施一种不仅稳健且高度适应的零信任方法。角色为防火墙规则、入侵检测/防御系统（IPS/IDS）、应用优先级等添加了一个上下文智能层，确保每个执行决策都符合组织的安全和业务目标。这种强大的集成使EdgeConnect SD-WAN网关能够成为零信任安全的关键推动者，同时优化流量并提升用户体验。

第五步：随着网络现代化而扩展

随着网络基础设施的发展，扩展零信任的实施范围，采用更复杂的控制措施。采用角色（Roles）——Aruba零信任能力的核心——实现基于不断变化的上下文因素的实时策略分配。用角色取代静态的VLAN配置，以简化操作并降低复杂性。

通过将Aruba的SD-WAN解决方案集成到零信任架构中，将零信任扩展到广域网环境。这确保在分布式企业中一致的策略执行。

通过Aruba Central增强可见性，提供详细的仪表盘和分析，用于跟踪设备行为、用户活动和应用性能。利用这些洞察主动应对异常情况并优化策略矩阵。例如，如果一个之前被信任的设备开始访问其分配角色之外的资源，则触发自动隔离响应。

部署先进的威胁检测能力，例如Aruba的入侵检测与防御（IDP）系统，以补充零信任策略。这些系统可以识别并缓解绕过传统防御的威胁，确保全面保护。

按照上述步骤规划您的策略设计方案，以实现高效、有效的全面策略，最大程度减少对现有网络运营的干扰。分阶段进行策略设计，从限制最高层级的访问开始，根据使用级别和风险区域叠加策略。通常，基于这些步骤的细致规划可以消除冗余的策略和执行实践，并在升级现有基础设施时减少实施和维护时间。

最后，采用持续改进的思维方式。定期审查零信任的实施情况，结合事故报告、审计和行业趋势中的经验教训。定期更新策略、角色和执行机制，以应对新兴威胁并适应组织的变化。