Aruba 重新定義智慧型邊緣
行動和 IoT 的崛起意味著有線與無線網路不能只是提供連線而已,網路應 提供有關行動和 IoT 使用的可行見解,來合理化未來投資,讓企業可以採用新技術,滿足 行動新世代的需求,同時確保網路安全,並且不會超出預算。Aruba 行動優先網路針對 行動和 IoT 無處不在的當今企業和中小型企業環境而最佳化。
物聯網 (IoT) 裝置未採納嚴謹的安全性措施,因此容易遭駭客惡意探索。另一方面,員工行動能力和在家上班情況持續擴大 IT 部門必須防護的範圍,這是因為他們經常透過個人裝置和不安全的公共 Wi-Fi網路存取公司資源。最後,隨著越來越多應用程式移至雲端(不論是否經由 IT 團隊批准),保護組織資料比已往更加艱困。
Aruba ESP 掌握邊緣的潛在機會對企業的未來發展至關重要。首要前提,企業必需確保擁有適當的網路基礎。他們必須準備好 IT 基礎架構以因應下一次大規模技術轉型,同時確保面臨未預期事件時能夠快速回應業務持續性和彈性的需求。Aruba ESP 結合 AIOps、零信任 (Zero Trust)安全功能和整合式基礎架構,並具備財務和消費彈性。
Aruba ESP 能在邊緣提供啟動、佈建、協調、分析、定位和管理等各種服務,且所有服務均可透過 Aruba ESP 的雲端原生單一窗口 Aruba Central 進行評估。

圖1.HPE Aruba ESP邊緣服務平台
Aruba ESP 建立您的網路基礎時著重三大領域,彈性的消費和融資模式也能為企業提供選擇。
1. AIOPs
Aruba ESP 使用 AI 和機器學習 (ML) 技術,搭配 360° 全方位網路和以使用者為中心的遙測資料功能,可在使用者發現前便偵測到網路問題。這可協助 IT 團隊快速行動,並確保達成網路使用者和裝置的服務層級期望。其解決方案重要組成有Aruba Central 雲端型管理及Aruba 無線 AP。
2. 零信任(Zero Trust) 安全功能
「零信任」是普遍用於業界的術語,指得是一種安全架構,要求組織不應對其網路邊界內外的任何實體寄予信任。 Aruba ESP 使用 Aruba 動態分割,堅持採用零信任原則。這麼做可確認端點身分,並透過應用程式偵測防火牆執行這些端點需遵循的政策。其解決方案重要組成有動態分割技術、政策執行、防火牆、ClearPass 及裝置深入分析。
3. 整合式基礎架構
Aruba ESP 設計旨在提供邊緣至雲端安全連線能力。它是使用雲端原生微服務型平台 Aruba Central 進行管理, ArubaCentral 可提供分散式邊緣重要環境所需的延展性和彈性。競爭對手的解決方案最多會用到五種不同的平台與介面,相較之下, Aruba Central 和 Aruba ESP 能整合所有有線、無線網路和 WAN 的網路作業;將各分公司、園區、資料中心和遠端工作者位置納入單一雲端原生窗口和平台的管理之下。其解決方案重要組成有Wi-Fi、交換器、SD-WAN、雲端、5G 及 一般資料湖。
以下就幾個常用元件予以說明:
1. 無線存取點(AP)
Aruba 802.11ac與 802.11ax(Wi-Fi 6) 無線存取點可提供優質的 Wi-Fi 效能,可依據無線網路的設計、範圍和規模部署為受控制器管理或無需控制器的 Aruba Instant AP。而最新的 802.11ax (Wi-Fi 6) 標準專為解決高密度網路的連線能力問題而設計,能改善網路的整體效能。新功能可將網路容量提高至 802.11ac 的 4 倍,允許多用戶端同時傳輸。
表1.HPE Aruba WiFi-5室內無線存取點-1(Indoor AP)

表2.HPE Aruba WiFi-5室內無線存取點-2(Indoor AP)

表3.HPE Aruba WiFi-6室內無線存取點(Indoor AP )

表4.室外無線存取點(Outdoor AP)

2. 無線控制器(Controller)
Aruba 行動控制器可提供集中式的網路工程設計、IP 服務、安全防護與政策控制,以及應用程式感知平台。除了網路控制外,行動控制器還可部署為分支閘道、VPN 連接器、WIPS/WIDS 與頻譜監控器,以及整合內容篩選功能的狀態網路防火牆。
Aruba Mobility Master 是一款次世代的主控制器,執行 ArubaOS 8 作業系統,可部署為虛擬機器 (VM) 或實體式伺服器設備,以獲得更多記憶體和運算能力。透過 Mobility Master,ArubaOS 8 的主要功能可經由軟體進行更新,無需規劃任何網路停機時間。透過 Aruba Mobility Master,Aruba MultiZone 得以讓 IT 組織使用相同的 Aruba 存取點硬體,並提供不同的無線網路,因此可停止使用不同的行動控制器。對安全性政策而言,要維護不同網路上的資料隱私相當重要,因此使用 Mobility Master 可讓安全性政策的實施更加輕鬆,且無需安裝獨立的無線網路。
傳統防火牆運用 IP 型 VLAN 進行控制,只會在使用者或裝置受允許進入網路後才會啟用,留下易於遭到進階攻擊利用的破綻。Aruba 的 PEF 技術使用身分、流量屬性和其他情境,在初始連線時集中執行存取權限。這點非常重要。因為攻擊者無時無刻不與廣為開放的網路連線,他們能釋出數以千計的惡意軟體封包,藉此擷取使用者憑證、擴展惡意軟體影響範圍,以及從事其他破壞活動。因此,填補裝置連線和政策執行之間的空檔至關重要,藉此建立集中式零信任存取。

圖2.無線控制器(Controller)

圖3. Mobility Master控制器
3. ClearPass 終端安全管控
筆記型電腦、智慧型手機、平板電腦和物聯網 (IoT) 裝置不斷湧入工作場所,因此,保護資料安全的首要課題就是識別網路上到底有哪些裝置。自動化政策實施可確保只允許連接所需的使用者和裝置,並且需要即時威脅防護以確保符合內部與外部的稽核與合規性要求。新的網路存取控制方案ClearPass 解決方案可以滿足上述多場景的需求,ClearPass 可透過三個步驟來實現安全控管:
• 識別正在使用的裝置類型、數量、連線來源位置,以及支援的作業系統 (此步驟可提供初步的基本資訊)。
• 實施準確的原則,以便提供適當的使用者和裝置存取權,而不用考慮使用者、裝置類型或所在位置。
• 透過延伸至協力廠商系統的動態原則控制和即時威脅修復保護資源。
ClearPass 有三大功能模組,功能簡述如下:
• ClearPass Onboard - 可讓自攜裝置與 IT 提供的裝置,在符合安全原則下安全連結您的網路。透過彈性的政策和專屬的憑證,可以根據角色、裝置類型和安全狀況,提供完整和有限制的存取權限。
• ClearPass OnGuard - 自動執行重要的端點健康狀態檢查及裝置狀況評估,以確保所有行動裝置在完全符合產業及內部要求後,才能連上有線及無線網路。
• ClearPass Guest - 可讓您為客戶、外包商與其他訪客提供安全的有線與無線網路連線。不論是 25 或 25,000 名訪客,您都能為他們創造豐富體驗,並輕鬆管理訪客存取權限。

圖4.ClearPass 佈署架構
ClearPass 特色如下:
• 基於角色的網路訪問控制,也相容於其第三方的Wi-Fi,有線和VPN網路設備。
• 行業領先的性能,可擴展性,高可用性和負載平衡。
• 直觀的政策配置範本和直觀性除錯工具。
• 支持多種身份驗證/授權主機(AD,LDAP,SQL dB)。
• BYOD 利用自行簽發的證書可做到自我登入。
• 訪客訪問可搭配高度客製化針對品牌推廣與廣告推播的需求。
4. 網路管理解決方案 Aruba AireWave
AirWave 將精細可見度整合至有線與無線網路,是唯一針對行動置與應用程式設計的管理平台。AirWave 主動監控所有連線裝置的運作狀況與效能,可協助 IT 獲取所需的見解,為數位工作場所提供支援。
• Aruba Clarity : 在連線問題發生前就加以解決
主動監控關鍵的非 RF 指標:行動裝置耗費多少時間連結 Wi-Fi 無線訊號、獲得 RADIUS 伺服器授權、透過 DHCP 收集 IP 位址,或是找出 DNS 服務名稱。Clarity 透過自訂警示與模擬用戶端測試,協助 IT 主動出擊,應對未來的效能問題。
• Aruba AppRF : 深入檢視行動應用程式背後的資訊
深入檢視行動與網路應用程式的效能與用量。信譽報告可協助您快速採取行動應對高風險網站,針對應用程式類型控制 Wi-Fi 用量。使用者角色、裝置類型與特定地點的見解,可協助您快速進行決策,保護關鍵業務應用程式。
• VisualRF : 隨選檢視 Wi-Fi 涵蓋範圍
針對 Wi-Fi 涵蓋範圍進行縮時攝影採礦 (time-lapse mining),無線網路工程師可全天候記錄 RF 熱圖並重複播放。VisualRF 也支援特定地點的分析、針對行動與網路應用程式用量的視覺化分析、行動裝置效能、行動 UC 語音與視訊品質等。
• 相容性 : 簡化管理不同廠商的網路
在整個存取基礎架構享有精細的可見度,管理各個廠商、不同世代的有線與無線網路- 無論是否有控制器,從舊型 Wi-Fi 到最新的 802.11ac WLAN。
5. 雲端網路管理解決方案Aruba Central
提供簡便安全且實惠的方式來管理和監控 Aruba Instant AP 與交換器。其亦具備多種進階功能,例如可自訂的訪客 Wi-Fi、Aruba Clarity,以及有助於更具智慧決策的使用者行為分析。Aruba Central 可讓您安全地管理與監控您的有線與無線網路,易用的使用者介面適用於各種專業程度的使用者。零接觸的佈建方式可讓 IT 將 Aruba Instant AP 及交換器運送至遠端站台,即使是非技術人員也能輕鬆拆封並開啟電源。組態設定可在 AP 與交換器連線時,立即由雲端取得。
其效益有:
• 用 AI 洞悉現今的繁忙 IT。
• 企業級擴充和復原能力。
• 接觸者追蹤和位置追蹤。
• 透過角色式政策執行降低網路風險。
• Aruba 安裝程式應用程式讓部署更加簡單。
• 適用遠距工作者的遠端連線能力和服務保證。
• 使用 SD-Branch 改善分散式營運。
6. 動態分割技術
零信任(Zero Trust) 安全功能作為ESP最重要的組成,它可解決傳統網路和安全防護方式所面臨的挑戰,例如:標準規則的防火牆、基於 IP 位址的實體網路設定。
Aruba 率先使用了全方位的邊緣式防護,包括軍事級加密,以及名為Policy Enforcement Firewall (PEF)的專屬身分識別式存取解決方案。 PEF 透過 ArubaOS 和InstantOS 運行,相關技術已經證實有效,且在全世界已安裝超過 400 萬份。 PEF 是唯一針對使用者和裝置的防火牆,能在AP提供「零信任」邊界。Aruba 的使用者和應用程式防火牆做法會運用 PEF,透過身分、流量屬性和其他情境,在初始連線時集中控制存取權限,藉此消弭弱點。
PEF 主要優點:
• 集中式零信任存取:減少初始網路連線和傳統防火牆執行間的空檔。
• Marsh 認可 PEF 符合其網路風險管理計劃:Cyber CatalystSM: PEF 降低風險的能力能協助企業獲得相關資格,在向特定保險公司投保時享有更好的網路保險保單條款。
• 使用者和應用程式防火牆︰角色型存取控制可盡量減少設定錯誤。
• 不需其他硬體︰PEF 可在現有的 Aruba 網路基礎架構上執行。
• 提高效能︰包含硬體加速流量處理。
• 自動化自我學習︰提供深入解析的網路和應用程式使用資料。
• 可重複使用政策庫︰讓管理員輕鬆建立實用且一致的政策。
• 獨立連線︰不論有線、無線還是遠端連線,使用者和裝置將持續使用指派給他們的角色。
• 安全認證︰各種政府支持的認證。