Hybrides Arbeiten absichern: Kombination von NAC mit ZTNA für nahtlosen Zugriff
Dieser maßgebliche technische Leitfaden behandelt die architektonische Konvergenz von Network Access Control (NAC) und Zero Trust Network Access (ZTNA) zur Absicherung hybrider Arbeitsumgebungen in Unternehmen, Einzelhandel, Hotellerie und dem öffentlichen Sektor. Er bietet einen schrittweisen Bereitstellungsplan, Fallstudien aus der Praxis und Compliance-Richtlinien für IT-Architekten und CTOs, die Sicherheitslücken schließen müssen, die durch isolierte On-Premises- und Cloud-Zugriffsdomänen entstehen.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Executive Summary
- Technischer Deep-Dive: Die konvergierte Architektur
- Die Grenzen isolierter Sicherheitsdomänen
- Der einheitliche Identity- und Context-Broker
- Implementierungsleitfaden: Phasenweise Bereitstellung
- Phase 1: Identitäts- und Asset-Erkennung
- Phase 2: Richtliniendefinition und Mikrosegmentierung
- Phase 3: Durchsetzung und Optimierung
- Best Practices für Enterprise-Umgebungen
- Fehlerbehebung und Risikominderung
- ROI und geschäftliche Auswirkungen

Executive Summary
Für Enterprise-Netzwerkarchitekten und CTOs, die verteilte Umgebungen verwalten, existiert der klassische Netzwerkperimeter nicht mehr. Das traditionelle Modell, bei dem die Unternehmenszentrale mit robuster Network Access Control (NAC) geschützt wird, während für den Remote-Zugriff auf veraltete VPNs gesetzt wird, ist nicht mehr tragbar. Moderne Unternehmen benötigen eine einheitliche Sicherheitsstruktur, die On-Premises-Infrastrukturen nahtlos mit Cloud-nativen Anwendungen verbindet. Dieser Leitfaden beschreibt die architektonische Konvergenz von NAC und Zero Trust Network Access (ZTNA) im Detail und bietet einen Entwurf zur Absicherung hybrider Arbeitsumgebungen, ohne die Benutzerfreundlichkeit oder den Netzwerkdurchsatz zu beeinträchtigen.
Durch die Kombination der NAC-Gerätestatusprüfung mit der identitätszentrierten Mikrosegmentierung von ZTNA können Unternehmen eine kontinuierliche Vertrauensprüfung realisieren - unabhängig davon, wo sich die Benutzer befinden. Diese Konvergenz ist besonders in Branchen mit hoher Kundenfrequenz und komplexen Compliance-Anforderungen wie dem Einzelhandel , dem Gesundheitswesen und dem Gastgewerbe von entscheidender Bedeutung. Darüber hinaus ermöglicht die Nutzung von Plattformen wie der Guest WiFi -Infrastruktur von Purple, diese Zero-Trust-Prinzipien auf Gastnetzwerke auszudehnen, um eine robuste Isolierung und einen Datenschutz gemäß den DSGVO- und PCI-DSS-Vorgaben zu gewährleisten.
Technischer Deep-Dive: Die konvergierte Architektur
Die Grenzen isolierter Sicherheitsdomänen
Historisch gesehen wurden NAC und ZTNA als isolierte Sicherheitsdomänen betrieben. NAC, das auf IEEE 802.1X und RADIUS basiert, ist hervorragend geeignet, um den physischen und drahtlosen Zugriff innerhalb des Unternehmensperimeters zu steuern. Es bietet eine robuste Geräteprofilierung, Statusbewertung und VLAN-Zuweisung. ZTNA hingegen entstand, um den Remote-Zugriff auf Cloud- und On-Premises-Anwendungen abzusichern, basierend auf dem Prinzip "Niemals vertrauen, immer überprüfen", gesteuert durch Benutzeridentität und Kontext statt des Netzwerkstandorts.
Reibungsverluste entstehen, wenn hybride Mitarbeiter zwischen diesen Domänen wechseln. Ein Benutzer authentifiziert sich zu Hause täglich nahtlos über ZTNA, sieht sich beim Betreten des Unternehmensbüros jedoch oft mit einer inkonsistenten Benutzererfahrung konfrontiert, da die lokalen NAC-Richtlinien möglicherweise nicht mit seinem ZTNA-Kontext übereinstimmen. Diese Fragmentierung führt zu Sicherheitslücken und operativem Mehraufwand, was sich direkt auf die IT-Effizienz und die Produktivität der Endbenutzer auswirkt.
Der einheitliche Identity- und Context-Broker
Die architektonische Lösung liegt in der Einrichtung einer einheitlichen Identity- und Context-Broker-Ebene, die Telemetriedaten zwischen den NAC- und ZTNA-Richtlinien-Engines synchronisiert. Diese Integration ermöglicht eine kontinuierliche Statusbewertung, die über Netzwerkgrenzen hinweg bestehen bleibt.

Diese Integration basiert auf drei Kernmechanismen. Erstens: Kontinuierliche Integritätsprüfung (Posture Assessment): Wenn sich ein Gerät mit dem Unternehmensnetzwerk verbindet, führt die NAC-Lösung eine umfassende Statusprüfung durch, die OS-Version, Antiviren-Status und Zertifikatsvalidierung abdeckt. Dieser Kontext wird sofort über eine API-Integration an den ZTNA-Broker übermittelt. Zweitens: Dynamische Richtliniendurchsetzung: Wenn sich der Sicherheitsstatus eines Geräts verschlechtert (z. B. wenn Malware erkannt wird), verschiebt das NAC-System das Gerät im lokalen Netzwerk in die Quarantäne und weist gleichzeitig den ZTNA-Broker an, den Zugriff auf kritische Cloud-Anwendungen zu sperren. Drittens: Nahtloser Übergang: Wenn der Benutzer vom Büro an einen Remotestandort wechselt, behält der ZTNA-Client den etablierten Vertrauenskontext bei, was eine erneute Authentifizierung überflüssig macht und den unterbrechungsfreien Zugriff auf autorisierte Ressourcen gewährleistet.
Für einen tieferen Einblick in die zugrunde liegenden Wireless-Technologien, die diese Bereitstellungen unterstützen, lesen Sie unseren Leitfaden: Wi-Fi Frequencies: The 2026 Guide to Wi-Fi Bands .

Implementierungsleitfaden: Phasenweise Bereitstellung
Die Bereitstellung einer konvergenten NAC/ZTNA-Architektur erfordert einen phasenweisen Ansatz, um Unterbrechungen zu minimieren und eine robuste Richtliniendurchsetzung zu gewährleisten.
Phase 1: Identitäts- und Asset-Erkennung
Vor der Implementierung von Richtlinien zur Durchsetzung müssen Sie vollständige Transparenz über Ihre Netzwerkumgebung erlangen. Stellen Sie Ihre NAC-Lösung im reinen Überwachungsmodus bereit - konfigurieren Sie sie so, dass sie alle verbundenen Geräte, einschließlich firmeneigener Laptops, BYOD, IoT und Gastgeräte, erkennt und profiliert, ohne den Zugriff zu blockieren. Konsolidieren Sie die Benutzeridentität, indem Sie sowohl die NAC- als auch die ZTNA-Lösung in einen zentralen Identitätsanbieter wie Azure AD oder Okta integrieren. Dies gewährleistet konsistente Authentifizierungsrichtlinien über beide Domänen hinweg. Nutzen Sie parallel dazu Ihre ZTNA-Lösung, um Anwendungszugriffsmuster zu überwachen, um festzustellen, welche Benutzer Zugriff auf bestimmte Anwendungen benötigen, und so die Grundlage für Ihre Mikrosegmentierungsrichtlinien zu schaffen.
Phase 2: Richtliniendefinition und Mikrosegmentierung
Wechseln Sie von der Sichtbarkeit zur Kontrolle, indem Sie granulare Zugriffstoleranzen auf Basis des Prinzips der minimalen Rechtevergabe definieren. Legen Sie Sicherheits-Basisanforderungen für Unternehmensgeräte fest, einschließlich minimaler OS-Versionen und einer aktiven EDR-Agentenpflicht, und konfigurieren Sie die NAC-Lösung so, dass diese für den lokalen Zugriff erzwungen werden. Definieren Sie ZTNA-Richtlinien, die den Anwendungszugriff basierend auf der Benutzerrolle und dem Gerätekontext einschränken, um die Abstimmung mit den in der NAC-Lösung definierten Statusanforderungen sicherzustellen. Konfigurieren Sie vor allem die API-Integration zwischen den NAC- und ZTNA-Plattformen, um ein bidirektionales Teilen von Kontexten zu ermöglichen. So wird sichergestellt, dass vom NAC erkannte Änderungen des Gerätestatus sofort und in Echtzeit Richtlinien-Updates im ZTNA-Broker auslösen.
Phase 3: Durchsetzung und Optimierung
Aktivieren Sie schrittweise den Durchsetzungsmodus, überwachen Sie Anomalien und passen Sie die Richtlinien nach Bedarf an. Überführen Sie die NAC-Lösung vom Überwachungsmodus in den Durchsetzungsmodus, beginnend mit einer Pilot-Benutzergruppe oder einem Standort, und überwachen Sie Authentifizierungsfehler. Rollen Sie den ZTNA-Client auf allen Unternehmens-Endpunkten aus, um einen nahtlosen Zugriff auf Cloud- und On-Premises-Anwendungen zu gewährleisten. Erweitern Sie robuste Richtlinien für den Gastzugang mithilfe von Plattformen wie Purple's Guest WiFi und stellen Sie sicher, dass der Gast-Traffic streng von den Unternehmensressourcen isoliert ist. Nutzen Sie WiFi Analytics , um Nutzungsmuster zu überwachen und potenzielle Anomalien im gesamten Gästebereich zu erkennen.
Best Practices für Enterprise-Umgebungen
Priorisieren Sie während der gesamten Bereitstellung die Benutzererfahrung. Sicherheit darf die Produktivität nicht beeinträchtigen, und der Übergang zwischen On-Premises- und Remote-Zugriff muss für die Benutzer transparent sein, indem Single Sign-On und Mechanismen zur kontinuierlichen Authentifizierung genutzt werden. Erzwingen Sie für den On-Premises-Zugriff eine IEEE 802.1X-Authentifizierung für alle Unternehmensgeräte, da dies eine starke kryptografische Überprüfung der Geräteidentität auf Port-Ebene bietet.
Integrieren Sie KI-gestützte Funktionen zur Bedrohungserkennung in Ihre NAC- und ZTNA-Lösungen, um anormales Verhalten zu identifizieren und kompromittierte Geräte automatisch unter Quarantäne zu stellen. Für einen zukunftsweisenden Ausblick auf diese Funktion lesen Sie The Future of Wi-Fi Security: AI-Driven NAC and Threat Detection und das spanische Gegenstück El Futuro de la Seguridad Wi-Fi: NAC Impulsado por IA y Detección de Amenazas . Für verteilte Unternehmen kann die Integration von ZTNA mit SD-WAN das Anwendungs-Routing optimieren und die Leistung an mehreren Standorten verbessern - siehe unseren Vergleich unter SD WAN vs MPLS: The 2026 Enterprise Network Guide .
Fehlerbehebung und Risikominderung
Kontext-Synchronisations-Latenz stellt das kritischste Fehlerszenario dar. Wenn die API-Integration zwischen NAC und ZTNA Verzögerungen aufweist, behält ein kompromittiertes Gerät möglicherweise länger als akzeptabel Zugriff auf Cloud-Anwendungen. Die Lösung besteht darin, Webhook-basierte Push-Benachrichtigungen zu implementieren, anstatt sich ausschließlich auf Polling-Mechanismen zu verlassen, um Richtlinien-Updates in Fast-Echtzeit zu gewährleisten.
Übermäßig restriktive Richtlinien können zu einem starken Anstieg des Ticketvolumens beim Helpdesk führen, wenn strenge Statusprüfungen ohne ausreichende Benutzerkommunikation implementiert werden. Nutzen Sie ein Captive Portal, um Benutzer über die Nichteinhaltung von Richtlinien zu informieren und Self-Service-Anweisungen zur Fehlerbehebung bereitzustellen, bevor der Zugriff vollständig gesperrt wird.
Authentifizierungsfehler bei IoT-Geräten sind in Veranstaltungs- und Standortumgebungen unvermeidlich. Headless-IoT-Geräte können weder 802.1X noch ZTNA-Clients unterstützen. Die Lösung besteht darin, ein MAC Authentication Bypass (MAB) in Kombination mit einer präzisen Geräteprofilierung und einer strengen VLAN-Segmentierung einzuführen, um den IoT-Datenverkehr von Unternehmensressourcen zu isolieren.
Die Zustandsüberwachung der API-Integration wird häufig übersehen. Wenn die Synchronisation zwischen NAC und ZTNA ausfällt, entsteht eine Sicherheitslücke, die kein System für sich allein beheben kann. Implementieren Sie ein dediziertes Monitoring und Alerting für den Zustand der Integration und definieren Sie ausfallsichere Richtlinien, die automatische Zugriffsbeschränkungen auslösen, wenn die Synchronisation über einen definierten Schwellenwert hinaus unterbrochen wird.
ROI und geschäftliche Auswirkungen
Die Konvergenz von NAC und ZTNA liefert messbaren Geschäftswert über die Risikominderung hinaus. Ein einheitliches Richtlinienmanagement reduziert den administrativen Aufwand für IT-Teams, sodass sie sich auf strategische Initiativen konzentrieren können, anstatt fragmentierte Sicherheitssilos zu verwalten. Die Abschaffung veralteter VPNs verbessert das hybride Arbeitserlebnis erheblich, reduziert Ausfallzeiten sowie Frustrationen und steigert gleichzeitig die Anwendungsleistung für Remote-Benutzer.
Die Fähigkeit, eine kontinuierliche Statusbewertung und identitätsbasierte Zugriffskontrolle nachzuweisen, vereinfacht die Compliance-Berichterstattung für Frameworks wie PCI-DSS und GDPR, was besonders in Transport- und Einzelhandelsumgebungen wichtig ist, in denen strenge Verpflichtungen zum Schutz von Karteninhaberdaten und personenbezogenen Daten bestehen. Unternehmen, die eine konvergente Architektur implementiert haben, berichten durchgängig von einer verkürzten mittleren Zeit bis zur Eindämmung (MTTC) von Sicherheitsvorfällen, da die bidirektionale Durchsetzung von Richtlinien eine automatische Quarantäne ohne manuelles Eingreifen ermöglicht.
Schlüsseldefinitionen
Network Access Control (NAC)
Eine Sicherheitslösung, die Richtlinien auf Geräten durchsetzt, die Zugriff auf eine Netzwerkinfrastruktur suchen, wobei in der Regel IEEE 802.1X für die Authentifizierung und die Bewertung des Sicherheitsstatus zur Bestimmung der VLAN-Zuweisung und der Zugriffsrechte eingesetzt wird.
Entscheidend für die Absicherung von On-Premises-Umgebungen, um sicherzustellen, dass nur konforme und autorisierte Geräte eine Verbindung zu Unternehmens-Switches und Wireless Access Points herstellen können. IT-Teams begegnen diesem Konzept bei der Verwaltung von physischen Büro- und Standortnetzwerken.
Zero Trust Network Access (ZTNA)
Eine IT-Sicherheitslösung, die einen sicheren Remote-Zugriff auf Anwendungen und Dienste auf der Grundlage definierter Zugriffskontrollrichtlinien ermöglicht. Sie arbeitet nach dem Prinzip der geringsten Privilegien und der kontinuierlichen Identitätsprüfung anstelle des Netzwerkstandorts.
Ersetzt herkömmliche VPNs durch eine identitätsbasierte Mikrosegmentierung, die den Zugriff nur auf bestimmte Anwendungen und nicht auf das gesamte Netzwerk gewährt. Relevant bei der Absicherung von Remote-Mitarbeitern und dem Zugriff auf Cloud-Anwendungen.
Mikrosegmentierung
Die Praxis der Aufteilung eines Netzwerks in isolierte Segmente, um die Angriffsfläche zu verringern und laterale Bewegungen von Bedrohungsakteuren zu verhindern, angewandt auf Anwendungs- oder Workload-Ebene statt am Netzwerkperimeter.
ZTNA wendet dieses Konzept auf Anwendungsebene an, um sicherzustellen, dass ein kompromittierter Endpunkt nicht auf nicht autorisierte Ressourcen zugreifen kann. IT-Teams begegnen diesem Konzept beim Entwurf von Zero-Trust-Architekturen.
Sicherheitsstatus-Bewertung (Posture Assessment)
Der Prozess der Bewertung des Sicherheitsstatus eines Geräts - einschließlich OS-Version, aktivem Virenschutz, installierten Zertifikaten und Patch-Level - vor der Gewährung des Netzwerk- oder Anwendungszugriffs.
Eine Kernfunktion von NAC, die sicherstellt, dass gefährdete oder kompromittierte Geräte isoliert oder bereinigt werden, bevor sie mit dem Unternehmensnetzwerk interagieren können. Relevant beim Onboarding von Geräten und bei der kontinuierlichen Überwachung.
IEEE 802.1X
Ein IEEE-Standard für portbasierte Network Access Control, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten, unter Verwendung von EAP (Extensible Authentication Protocol) über das Netzwerkmedium.
Der Goldstandard für die Authentifizierung in Unternehmensnetzwerken, der eine robuste kryptografische Validierung der Geräteidentität bietet. IT-Teams begegnen diesem Standard bei der Konfiguration von Switches, Wireless-Controllern und RADIUS-Servern.
RADIUS (Remote Authentication Dial-In User Service)
Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Abrechnung (AAA) für Benutzer bietet, die eine Verbindung zu einem Netzwerkdienst herstellen und diesen nutzen, und als Kommunikationsschicht zwischen NAC und Identitätsanbietern fungiert.
Das Backend-Protokoll, das von NAC-Lösungen verwendet wird, um mit Identitätsanbietern zu kommunizieren und Zugriffsrichtlinien durchzusetzen. Relevant bei der Integration von NAC mit Active Directory oder Cloud-IdPs.
MAC Authentication Bypass (MAB)
Eine Fallback-Authentifizierungsmethode, die von NAC-Lösungen für Geräte verwendet wird, die 802.1X nicht unterstützen, und die sich auf die MAC-Adresse des Geräts als Identifikationsmerkmal stützt, um Netzwerkzugriffsrichtlinien zuzuweisen.
Erforderlich für die Einbindung von bildschirmlosen Geräten (Headless Devices) - wie Druckern, IoT-Sensoren, digitaler Beschilderung - in Unternehmensumgebungen. Weniger sicher als 802.1X und erfordert eine strikte VLAN-Segmentierung, um die Risiken von MAC-Spoofing zu minimieren.
Identity Provider (IdP)
Eine Systementität, die Identitätsinformationen für Prinzipale erstellt, pflegt und verwaltet und gleichzeitig Authentifizierungsdienste für vertrauende Anwendungen innerhalb einer Föderation oder eines verteilten Netzwerks bereitstellt.
Die zentrale Quelle der Wahrheit für Benutzeridentitäten, die sowohl in NAC als auch in ZTNA integriert wird, um konsistente Authentifizierungsrichtlinien zu gewährleisten. IT-Teams begegnen diesem Konzept bei der Konfiguration von SSO und MFA in Unternehmenssystemen.
VLAN (Virtual Local Area Network)
Eine logische Unterteilung eines physischen Netzwerks, die Geräte in isolierte Broadcast-Domänen gruppiert und so eine Datenverkehrssegmentierung ohne separate physische Infrastruktur ermöglicht.
Der primäre Mechanismus zur Isolierung verschiedener Geräteklassen - Corporate, Guest, IoT - innerhalb eines gemeinsam genutzten physischen Netzwerks. Entscheidend für die Einhaltung der PCI-DSS-Anforderungen zur Isolierung von Karteninhaberdaten-Umgebungen.
Ausgearbeitete Beispiele
Eine globale Einzelhandelskette mit 500 Standorten muss den Zugriff für Regionalleiter absichern, die häufig zwischen Filialen, der Unternehmenszentrale und dem Homeoffice reisen. Derzeit kommt es bei ihnen häufig zu VPN-Verbindungsabbrüchen und unregelmäßigem Zugriff auf in der Cloud gehostete Bestandsverwaltungsanwendungen.
Implementieren Sie eine konvergente NAC/ZTNA-Architektur an allen Standorten. Stellen Sie 802.1X über NAC für einen nahtlosen, sicheren Zugriff bereit, wenn sich die Manager physisch in der Filiale oder der Zentrale befinden, und authentifizieren Sie sie an einem zentralen RADIUS-Server, der in Azure AD integriert ist. Installieren Sie einen ZTNA-Client auf allen Unternehmens-Laptops. Integrieren Sie die NAC- und ZTNA-Policy-Engines über eine API und konfigurieren Sie Webhook-Benachrichtigungen für sofortige Statusaktualisierungen. Wenn sich ein Manager mit dem Filialnetzwerk verbindet, authentifiziert die NAC das Gerät und teilt den Kontext "vertrauenswürdig intern" mit dem ZTNA-Broker. Der ZTNA-Broker gewährt dann direkten, optimierten Zugriff auf die in der Cloud gehostete Bestandsanwendung, ohne dass ein VPN-Tunnel erforderlich ist, was die Latenz verringert und Verbindungsprobleme beseitigt. Wenn der Manager von zu Hause aus arbeitet, baut der ZTNA-Client einen sicheren Mikrotunnel zur Anwendung auf und behält dieselben Zugriffsrichtlinien bei, ohne auf den Perimeter des Unternehmensnetzwerks angewiesen zu sein. Gäste- und IoT-Geräte in der Filiale werden auf separaten VLANs isoliert, die über die Guest WiFi Plattform von Purple verwaltet werden.
Ein großes Konferenzzentrum muss sicheres WiFi für Unternehmensmitarbeiter bereitstellen und gleichzeitig Tausende von täglichen Gäste-Verbindungen sowie IoT-Geräte von Drittanbietern wie digitale Beschilderungen, BLE-Beacons und Umgebungssensoren isolieren.
Stellen Sie eine robuste NAC-Lösung bereit, die mit einer strikten VLAN-Segmentierung über drei verschiedene Ebenen konfiguriert ist. Ebene eins: Geräte von Unternehmensmitarbeitern authentifizieren sich über 802.1X und werden einem sicheren internen VLAN mit vollem Zugriff auf interne Managementsysteme zugewiesen. Ebene zwei: Implementieren Sie die Guest WiFi Plattform von Purple, um den öffentlichen Zugriff zu verwalten und wertvolle Analysen zu erfassen, während über ein dediziertes Gäste-VLAN mit reinem Internetzugang eine vollständige Isolierung vom Unternehmensnetzwerk gewährleistet wird. Ebene drei: Für IoT-Geräte von Drittanbietern nutzen Sie den MAC Authentication Bypass (MAB) in Kombination mit tiefgehendem Geräte-Profiling - Analyse von DHCP-Fingerabdrücken, HTTP-User-Agents und Verkehrsmustern -, um Gerätetypen genau zu identifizieren und sie eingeschränkten VLANs mit reinem Internetzugang zuzuweisen. Integrieren Sie ZTNA für Mitarbeiter, um von jedem Ort auf dem Gelände oder aus der Ferne sicher auf interne Managementanwendungen zuzugreifen. Für die BLE-Beacon-Infrastruktur finden Sie Integrationsüberlegungen im Leitfaden zu BLE Low Energy Explained for Enterprise .
Übungsfragen
Q1. Ihre Organisation führt ZTNA ein, um ein veraltetes VPN zu ersetzen. Bei Benutzern, die ins Firmenbüro zurückkehren, treten jedoch Latenzzeiten beim Zugriff auf Anwendungen auf, die lokal im eigenen Rechenzentrum gehostet werden, da der ZTNA-Datenverkehr über einen in der Cloud gehosteten Broker geleitet wird. Was ist die empfohlene architektonische Lösung?
Hinweis: Überlegen Sie, wie der ZTNA-Client den optimalen Pfad zur Anwendung basierend auf dem physischen Netzwerkkontext des Benutzers ermittelt.
Musterlösung anzeigen
Implementieren Sie einen Local Edge oder On-Premises ZTNA Broker im eigenen Rechenzentrum. Konfigurieren Sie den ZTNA-Client so, dass er erkennt, wenn das Gerät über NAC im internen Unternehmensnetzwerk authentifiziert ist, und leiten Sie den Datenverkehr direkt über den internen Broker zur lokalen Anwendung, anstatt ihn über den in der Cloud gehosteten Broker umzuleiten. Dies verringert die Latenzzeit für lokale Anwendungen, während die gleichen identitätsbasierten Zugriffskontrollen beibehalten werden. Das Teilen des NAC-Kontexts über eine API sollte dem ZTNA-Broker signalisieren, dass sich das Gerät in einem vertrauenswürdigen internen Netzwerk befindet, was die lokale Routing-Entscheidung ermöglicht.
Q2. Ein IT-Team im Krankenhaus muss Hunderte von vernetzten medizinischen Geräten sichern - Infusionspumpen, Patientenmonitore, Bildgebungsgeräte -, die keine 802.1X-Supplicants oder ZTNA-Clients ausführen können. Wie sollten diese Geräte in einer konvergierten NAC/ZTNA-Architektur gesichert werden?
Hinweis: Berücksichtigen Sie Fallback-Authentifizierungsmethoden und das Prinzip der Isolierung auf Netzwerkebene für Geräte, die nicht an identitätsbasierten Kontrollen teilnehmen können.
Musterlösung anzeigen
Nutzen Sie MAC Authentication Bypass (MAB) auf der NAC-Lösung, kombiniert mit tiefgehendem Geräte-Profiling unter Verwendung von DHCP-Fingerabdrücken, HTTP-User-Agents und Verkehrsverhaltensanalysen, um jeden medizinischen Gerätetyp genau zu identifizieren und zu klassifizieren. Nach der Identifizierung weist das NAC diese Geräte dynamisch stark eingeschränkten, isolierten VLANs zu, die nur die Kommunikation mit bestimmten, erforderlichen medizinischen Servern und Systemen erlauben - alle anderen Zugriffe werden standardmäßig blockiert. ZTNA ist für diese Geräte nicht anwendbar; die Sicherheit basiert vollständig auf einer strengen Netzwerksegmentierung und einer kontinuierlichen Verkehrsüberwachung auf anormales Verhalten. Stellen Sie sicher, dass die VLANs der medizinischen Geräte vollständig von der Karteninhaberdaten-Umgebung isoliert sind, um die PCI-DSS-Compliance aufrechterzuhalten.
Q3. Während einer Produktivbereitstellung schlägt die API-Integration zwischen Ihren NAC- und ZTNA-Lösungen unbemerkt fehl - es werden keine Warnmeldungen ausgelöst. Der Laptop eines Benutzers im Unternehmensnetzwerk wird in der Folge mit Malware infiziert. Beschreiben Sie das erwartete Sicherheitsergebnis und identifizieren Sie die architektonische Lücke, die dies zugelassen hat.
Hinweis: Analysieren Sie die Auswirkungen einer fehlerhaften Kontextsynchronisierung auf jede Policy Engine unabhängig voneinander und überlegen Sie, welche Überwachung hätte eingerichtet werden müssen.
Musterlösung anzeigen
Die NAC-Lösung erkennt den verschlechterten Sicherheitsstatus über die EDR-Integration und stellt das Gerät im lokalen Netzwerk unter Quarantäne, um laterale Bewegungen innerhalb der Unternehmensumgebung zu verhindern. Da die API-Integration jedoch unbemerkt fehlgeschlagen ist, hat der ZTNA-Broker den aktualisierten Kontext zum Sicherheitsstatus nicht erhalten. Wenn der Benutzer versucht, auf eine Cloud-Anwendung zuzugreifen, stellt der ZTNA-Client unter Umständen dennoch eine Verbindung her, sofern das ursprüngliche Identitäts-Authentifizierungs-Token noch gültig und nicht abgelaufen ist. Die architektonische Lücke ist zweifach: Erstens fehlt eine Zustandsüberwachung (Health Monitoring) der API-Integration selbst; zweitens fehlt eine ausfallsichere Richtlinie (Fail-Safe), die automatische Zugriffsbeschränkungen auslöst, wenn die Kontextsynchronisierung über einen definierten Schwellenwert hinaus verloren geht. Die Behebung besteht darin, ein dediziertes Monitoring mit Alarmierung für den Integrationsstatus zu implementieren, den ZTNA-Broker so zu konfigurieren, dass er eine regelmäßige erneute Überprüfung des Sicherheitsstatus erfordert (nicht nur die erste Authentifizierung), und eine Default-Deny-Richtlinie zu definieren, die aktiv wird, wenn der NAC-Kontext-Feed länger als ein bestimmtes Intervall nicht verfügbar ist.
Weiterlesen in dieser Reihe
Mitarbeiter-WiFi vs. Gäste-WiFi: Best Practices für die Segmentierung von Unternehmensnetzwerken
Ein umfassender technischer Leitfaden für IT-Führungskräfte zur Segmentierung von Mitarbeiter- und Gäste-WiFi-Netzwerken. Er behandelt VLAN-Architektur, 802.1X-Authentifizierung, Firewall-Richtlinien und die geschäftlichen Auswirkungen eines sicheren Netzwerkdesigns.
WiFi-Lösungen für Apartments: Ein umfassender Leitfaden für Unternehmen
Dieser Leitfaden behandelt die Architektur, die Bereitstellung und den Business Case für WiFi-Lösungen in Apartments in Build to Rent- und Multi-Dwelling Unit-Immobilien. Er erklärt, wie die iPSK-Technologie (Identity Pre-Shared Key) sichere, isolierte Netzwerkblasen für jeden Bewohner erstellt und gleichzeitig Smart-Geräte und IoT unterstützt. Immobilienentwickler, Vermieter und BTR-Betreiber finden hier praxisnahe Bereitstellungsanleitungen, ROI-Daten und ausgearbeitete Implementierungsszenarien.
Cox Business Managed WiFi: Ein umfassender Leitfaden für Unternehmen
Dieser Leitfaden beschreibt detailliert, wie Immobilienentwickler und BTR-Betreiber skalierbare, sichere Netzwerke mit Cox Business Managed WiFi bereitstellen können. Er behandelt die Netzwerkarchitektur, die herstellerunabhängige Hardware-Bereitstellung und die geschäftlichen Auswirkungen des Übergangs von Konnektivität von einem betrieblichen Problem zu einer zuverlässigen Infrastruktur.