简化向基于角色的策略的迁移

安全框架，如零信任需要授予用户和设备完成工作所需的最少量的资源访问权限。虽然这一要求在理论上似乎很简单，但在实践中，当用户和设备数量达到数百甚至数千时，这可能会很有挑战性。传统的网络分段方法(如子网、VLANs和vrf)通常无法随着组织的增长和网络的分散而扩展。

基于角色的策略是在整个网络中实现最低权限访问的一种更有效的方式。角色是一种身份驱动的网络结构，反映了实体为组织执行的工作。与传统的网络分段方法相比，使用基于角色的策略来控制网络访问可以使网络的设计、部署和运行变得更加容易。

迁移到基于角色的策略这是一个起初看起来令人望而生畏的变化。这就是阿鲁巴发展的原因阿鲁巴中央网络公司，云原生网络自动化和协调服务，可自动配置LAN、WLAN和WAN基础架构，以提供最佳网络性能，同时定义和实施作为零信任基础的精细安全策略。(不熟悉阿鲁巴中央网络导体？看看这个2分钟中心网络导体概述视频。)

以下是IT团队在考虑迁移到基于角色的策略时最常见的一些问题，以及Aruba Central NetConductor如何解决这些问题。

IT团队担心设计需要大量网络基础设施来确定与基于角色的策略相关的实施规则和网络流量处理。使用Central NetConductor，角色构造使您可以轻松决定想要采用的转发和策略实施模型。

今天，VLAN构造通常用于分离、分段并最终将规则应用于不同的流量集。Aruba基于角色的策略可以使用当前网络上的现有角色和策略构造，将设备角色(如“摄像机”)直接映射到VLAN。另一种选择是使用集中式结构，在网络中的战略枢纽位置执行策略实施。在这种情况下，该角色可以将客户端映射到返回网关的隧道中，以实施第7层ACL、DPI和IPS/IDS。最后，该角色还可以引导客户端进入分布式结构，从而将实施推向网络边缘，提供更具可扩展性和效率的转发设计。

对基于角色的策略使用Central NetConductor的好处是，实施不是基于网络配置，而是基于端点的身份。在网络配置时，无需在VLANs、隧道或结构之间进行选择，客户端的身份可以决定适用于它的转发行为。通过从以IP(转发配置)为中心转变为以角色(动态身份)为中心来简化ACL的管理，并为所有分段使用情形创建定制，Aruba降低了策略定义和转发设计的复杂性。

Aruba Central NetConductor使用多种方法实现基于身份的最低权限访问。

一些供应商认为采用fabric意味着从零开始。阿鲁巴有不同的想法。借助Aruba Central NetConductor，组织可以与现有的基础架构并行构建结构。这就是工作原理。

考虑一个已经广泛使用VLANs进行分段的组织。Central NetConductor与这些VLANs一起构建覆盖层，允许IT部门继续运行传统的网络设计，同时实现覆盖层的优势。

中央网络导体覆盖也可以建立在第三方网络之上。这使得在聚合和核心中拥有现有非Aruba基础架构的组织能够立即从Aruba体系结构中获得价值，而不必全盘更换。在现有架构的基础上构建一个专为基于角色的策略而设计的网络，可以显著减少与迁移相关的工作。

强制基础设施硬交换的架构方法会给组织增加不可接受的风险。Aruba方法支持不折不扣的发展，最大限度地降低了从一种方法大规模转换到另一种方法的风险。

借助Aruba Central NetConductor，团队可以并行运行现有网络和结构，以从投资中获取最大价值。当需要做出改变时，只需要更新角色。例如，要将“摄像机”流量从VLAN移动到覆盖层，只需将角色身份从“摄像机VLAN”更改为“摄像机覆盖层”，这是由标准RADIUS元素传递的信息决定的，这是一个简单的授权更改，不会影响网络上的其他实体，不会将端点移动到网段中，也不需要额外的配置。