策略定义
策略的定义更多涉及以业务为导向的讨论,而非技术性讨论。它需要根据用户和设备的连接需求进行分类,并为每个组指定访问权限。这通过定义 Aruba 角色,然后将这些角色关联到全局策略管理器中的策略来实现。
角色
Aruba 角色仅仅是一种表示用户或设备分组的方式,在连接到网络时会被分配。Aruba ESP 提供了将角色分配给网络中任何已连接客户端的能力,并根据角色强制执行策略。
IT 管理员为每种试图访问的用户或设备定义角色。为分配的角色的所有流量在整个网络中都受其相关策略的约束。
在认证和授权过程中,组织可以应用一长串基于角色分配的内置和可定制属性,这些属性由 Aruba 设备支持。这些属性为管理员提供了额外的分类,以允许或拒绝网络访问。
可用属性包括:
- 主机名
- IP 地址
- 网关的位置
- MDM 会员状态
- 防火墙流量分类
- 客户端操作系统版本
- 一天中的时间
- 配置文件设备类型。
精确分配角色是组织中执行零信任策略的重要基础。
为用户和设备定义的角色应归为具有共同安全要求的组。保持角色数量尽可能少,同时实现所需的安全策略。使用的角色越少,理解和维护策略就越容易。
策略
策略及其分配的角色必须经过仔细定义,以作为全面的解决方案,提供适当且不中断的对所有受信任网络设备的访问,同时保护网络免受威胁。
策略是一组管理客户端在网络上行为的规则。策略规则定义角色之间允许或拒绝的流量。角色通常在认证过程中动态分配,所有来自相关用户或设备的流量都标记有该访问实例的角色ID。
在流量被标记为唯一的角色ID后,可以在任何Aruba设备上强制执行策略,从而确保整个网络各区域的安全态势一致。
全局策略管理器
Aruba Central云平台托管用于管理ESP架构中策略的应用程序。Central提供了一个被称为全局策略管理器(GPM)的界面。在GPM中,操作员定义角色和角色到角色的策略。这些元素随后被推送到相关的网络基础设施进行执行。
目前GPM的一个使用示例是NetConductor fabric。NetConductor fabric中的交换机和网关在每个overlay包的VXLAN头中使用策略ID(Aruba Role)标记,以实现网络任何位置的策略执行。策略通过Central中网关安全配置部分的客户端角色界面进行配置。
其他策略管理器
全局策略管理器是Aruba未来统一策略定义的方向。GPM中的策略定义将持续增强,并支持未来更多的Aruba产品。目前,策略还在以下其他产品中进行管理: