Sicherung hybrider Arbeit: Kombination von NAC mit ZTNA für nahtlosen Zugriff

Dieser maßgebliche technische Leitfaden behandelt die architektonische Konvergenz von Network Access Control (NAC) und Zero Trust Network Access (ZTNA) zur Sicherung hybrider Arbeitsumgebungen in Unternehmens-, Einzelhandels-, Gastgewerbe- und öffentlichen Bereichen. Er bietet einen phasenbasierten Bereitstellungsplan, praxisnahe Fallstudien und Compliance-Richtlinien für IT-Architekten und CTOs, die Sicherheitslücken schließen müssen, die durch isolierte On-Premises- und Cloud-Zugriffsdomänen entstehen.

📖 6 Min. Lesezeit📝 1,285 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen beim Purple Enterprise Architecture Briefing. Ich bin Ihr Gastgeber, und heute widmen wir uns einer entscheidenden Herausforderung für IT-Führungskräfte: der Absicherung der hybriden Belegschaft. Konkret betrachten wir die architektonische Konvergenz von Network Access Control – oder NAC – und Zero Trust Network Access – ZTNA. Wenn Sie komplexe Netzwerke in Unternehmensstandorten, Einzelhandelsflächen oder Umgebungen des öffentlichen Sektors verwalten, ist dies genau das Richtige für Sie.

Legen wir den Kontext fest. Der traditionelle Perimeter ist tot. Das wissen wir alle. Die Absicherung einer Unternehmenszentrale mit robustem NAC, während man sich beim Remote-Zugriff auf veraltete VPNs verlässt, reicht einfach nicht mehr aus. Dies führt zu Reibungsverlusten für den Benutzer und blinden Flecken für die IT. Moderne Unternehmen benötigen eine einheitliche Sicherheitsstruktur, die die On-Premises-Infrastruktur nahtlos mit cloudnativen Anwendungen verbindet. Hier kommt die Kombination aus NAC und ZTNA ins Spiel.

Historisch gesehen waren dies isolierte Domänen. NAC, das Standards wie 802.1X nutzt, war hervorragend geeignet, um den physischen und drahtlosen Zugriff innerhalb des Gebäudes zu kontrollieren. Es überprüfte den Gerätestatus und wies VLANs zu. ZTNA hingegen wurde für das Cloud-Zeitalter entwickelt – es sichert den Remote-Zugriff basierend auf Identität und Kontext, nicht auf dem Netzwerkstandort. Das Problem entsteht, wenn sich ein hybrider Mitarbeiter zwischen diesen Domänen bewegt. Er authentifiziert sich zu Hause nahtlos über ZTNA, stößt aber im Büro auf eine Wand aus unzusammenhängenden Richtlinien. Das ist frustrierend, ineffizient und schafft ehrlich gesagt Sicherheitslücken, die Angreifer ausnutzen können.

Sprechen wir also über die technische Architektur. Die Lösung ist eine einheitliche Identitäts- und Kontext-Brokerage-Ebene. Wir müssen die Telemetrie zwischen den NAC- und ZTNA-Richtlinien-Engines synchronisieren. Stellen Sie sich das als eine kontinuierliche Statusbewertung vor, die dem Benutzer folgt, wo immer er sich befindet.

Und so funktioniert es in der Praxis. Wenn sich ein Gerät mit dem Unternehmensnetzwerk verbindet, führt NAC eine umfassende Statusprüfung durch – Betriebssystemversion, Antivirenstatus, Zertifikatsvalidierung. Es teilt diesen Kontext sofort über eine API-Integration mit dem ZTNA-Broker. Wenn sich der Status des Geräts verschlechtert – beispielsweise wenn Malware erkannt wird –, stellt NAC es im lokalen Netzwerk unter Quarantäne und weist gleichzeitig den ZTNA-Broker an, den Zugriff auf kritische Cloud-Anwendungen zu entziehen. Wenn der Benutzer vom Büro an einen Remote-Standort wechselt, behält der ZTNA-Client diesen etablierten Vertrauenskontext bei. Keine erneute Authentifizierung erforderlich. Die Benutzererfahrung ist nahtlos, aber die Sicherheit ist kontinuierlich.

Kommen wir nun zu den Standards, die dem zugrunde liegen. IEEE 802.1X ist der Goldstandard für die On-Premises-Authentifizierung. Es bietet eine kryptografische Validierung der Geräteidentität auf Port-Ebene. RADIUS fungiert als Backend-Protokoll für die Kommunikation zwischen der NAC-Lösung und Ihrem Identitätsanbieter. Auf der ZTNA-Seite nutzen Sie Identitätsanbieter wie Azure Active Directory oder Okta mit ZTNA-Brokern führender Anbieter. Der Schlüssel liegt darin, sicherzustellen, dass diese Systeme bidirektional kommunizieren können.

Für Betreiber von Veranstaltungsorten – Hotels, Konferenzzentren, Stadien – gibt es eine zusätzliche Komplexitätsebene. Sie verwalten Unternehmensmitarbeiter, Auftragnehmer, Gäste und eine wachsende Flotte von IoT-Geräten, und das alles auf derselben physischen Infrastruktur. NAC übernimmt die Segmentierung. Unternehmensmitarbeiter erhalten eine 802.1X-Authentifizierung und Zugriff auf interne Ressourcen. Gäste werden in einem dedizierten Netzwerk isoliert, das idealerweise über eine Plattform wie Guest WiFi von Purple verwaltet wird, die eine robuste Isolation bietet und gleichzeitig wertvolle Analysen erfasst. IoT-Geräte, die 802.1X nicht unterstützen können – wie digitale Beschilderungen, Umgebungssensoren, Point-of-Sale-Terminals –, werden über MAC Authentication Bypass (MAB) mit strenger VLAN-Segmentierung verwaltet, um potenzielle Sicherheitsverletzungen einzudämmen.

Lassen Sie mich ein reales Bereitstellungsszenario beschreiben. Stellen Sie sich eine globale Einzelhandelskette mit fünfhundert Standorten vor. Regionalleiter reisen ständig zwischen den Filialen, der Zentrale und dem Homeoffice hin und her. Sie haben mit VPN-Verbindungsabbrüchen und inkonsistentem Zugriff auf Bestandsverwaltungsanwendungen zu kämpfen. Die Lösung ist eine konvergente NAC- und ZTNA-Architektur. Wenn sich ein Manager in einer Filiale befindet, authentifiziert NAC das Gerät über 802.1X und teilt den vertrauenswürdigen internen Kontext mit dem ZTNA-Broker. Der Broker gewährt dann direkten, optimierten Zugriff auf die in der Cloud gehostete Bestandsanwendung – ganz ohne VPN-Tunnel. Wenn der Manager von zu Hause aus arbeitet, stellt der ZTNA-Client einen sicheren Mikrotunnel zur Anwendung her und behält dieselben Zugriffsrichtlinien bei. Das Ergebnis? Konsistenter Zugriff, weniger Helpdesk-Anrufe und ein messbar verbessertes Sicherheitsniveau.

Nun zur Implementierung. Ich empfehle einen dreiphasigen Ansatz. Phase eins ist die Sichtbarkeit. Stellen Sie NAC zunächst im Überwachungsmodus bereit. Erkennen und profilieren Sie alles in Ihrem Netzwerk – Laptops, BYOD-Geräte, IoT, Gästegeräte. Setzen Sie noch keine Richtlinien durch. Integrieren Sie gleichzeitig Ihre Identitätsanbieter sowohl in NAC als auch in ZTNA, um Benutzeridentitäten zu konsolidieren. Nutzen Sie Ihre ZTNA-Lösung, um Anwendungszugriffsmuster abzubilden. Dies liefert Ihnen die Daten, die Sie zum Erstellen sinnvoller Richtlinien benötigen.

Phase zwei ist die Richtliniendefinition. Definieren Sie Ihre grundlegenden Sicherheitsanforderungen für Unternehmensgeräte. Implementieren Sie eine ZTNA-Mikrosegmentierung basierend auf Benutzerrollen und der Sensibilität der Anwendungen. Und ganz wichtig: Richten Sie die API-Integration zwischen Ihren NAC- und ZTNA-Plattformen für den bidirektionalen Kontextaustausch ein. Testen Sie diese Integration gründlich, bevor Sie mit der Durchsetzung beginnen.

Phase drei ist die Durchsetzung. Aktivieren Sie die NAC-Durchsetzung schrittweise, beginnend mit einer Pilotgruppe. Überwachen Sie Authentifizierungsfehler und passen Sie die Richtlinien an. Rollen Sie ZTNA-Clients auf allen Unternehmens-Endpunkten aus. Und weiten Sie die Zero-Trust-Prinzipien mithilfe einer verwalteten Plattform auf Ihre Gästenetzwerke aus.

Lassen Sie mich Ihnen eine kurze Übersicht über die häufigsten Fallstricke geben. Erstens: Verzögerungen bei der Kontextsynchronisation. Wenn die API-Integration zwischen NAC und ZTNA Latenzen aufweist, behält ein kompromittiertes Gerät möglicherweise länger Zugriff auf Cloud-Anwendungen als akzeptabel. Die Lösung besteht darin, Webhook-basierte Push-Benachrichtigungen zu verwenden, anstatt sich auf Polling-Mechanismen zu verlassen. Dies gewährleistet Richtlinien-Updates in nahezu Echtzeit.

Zweitens: Übermäßig restriktive Richtlinien, die zu einem sprunghaften Anstieg der Helpdesk-Anfragen führen. Die Implementierung strenger Integritätsprüfungen ohne angemessene Benutzerkommunikation ist ein Rezept für Chaos. Nutzen Sie Captive Portals, um Benutzer über die Nichteinhaltung von Richtlinien zu informieren und eine Self-Service-Behebung anzubieten, bevor der Zugriff vollständig blockiert wird.

Drittens: Authentifizierungsfehler bei IoT-Geräten. Headless-IoT-Geräte können 802.1X- oder ZTNA-Clients schlichtweg nicht unterstützen. Die Lösung ist ein MAC Authentication Bypass in Kombination mit einer präzisen Geräteprofilierung und einer strengen VLAN-Segmentierung.

Viertens, und das ist ein wichtiger Punkt: Die mangelnde Überwachung des Zustands der API-Integration selbst. Wenn die Synchronisation zwischen NAC und ZTNA fehlschlägt, entsteht eine Sicherheitslücke. Implementieren Sie Monitoring und Alarmierung für den Zustand der Integration und definieren Sie Fail-Safe-Richtlinien, die greifen, wenn die Synchronisation länger als ein definierter Schwellenwert unterbrochen ist.

Wie sieht also der Return on Investment aus? Die geschäftlichen Argumente für diese Architektur sind überzeugend. Die Konsolidierung des Richtlinienmanagements entlastet die IT-Teams administrativ. Der Verzicht auf veraltete VPNs verbessert das hybride Arbeitserlebnis erheblich und reduziert Ausfallzeiten sowie Frustration. Und die Fähigkeit, kontinuierliche Integritätsprüfungen und identitätsbasierte Zugriffskontrollen nachzuweisen, vereinfacht die Compliance-Berichterstattung für Frameworks wie PCI DSS und GDPR – was besonders in Einzelhandels- und Gesundheitsumgebungen relevant ist.

Zusammenfassend die wichtigsten Erkenntnisse des heutigen Briefings: Identität ist der neue Perimeter, und Kontext ist der Schlüssel. Nutzen Sie NAC für das physische Netzwerk und ZTNA für die App. Vertrauen Sie niemals, verifizieren Sie immer – und zwar kontinuierlich. Implementieren Sie in Phasen: zuerst Sichtbarkeit, dann Richtlinien, dann Durchsetzung. Und vergessen Sie das Gästenetzwerk und die IoT-Infrastruktur nicht – sie müssen Teil Ihrer Sicherheitsarchitektur sein, kein nachträglicher Gedanke.

Wenn Sie tiefer in die KI-gesteuerte Zukunft der Netzwerksicherheit eintauchen möchten, lesen Sie den Leitfaden von Purple zu KI-gesteuertem NAC und Bedrohungserkennung. Und für diejenigen, die verteilte Standorte verwalten, ist unser Leitfaden SD-WAN versus MPLS absolut lesenswert.

Das war es mit dem heutigen Briefing. Vielen Dank fürs Zuhören und bis zum nächsten Mal.

Wichtigste Erkenntnisse

✓Hybrides Arbeiten hat den traditionellen Netzwerkperimeter aufgelöst – eine einheitliche NAC- und ZTNA-Architektur ist heute die Grundvoraussetzung für die Sicherheit von Unternehmen.
✓NAC sichert den physischen und drahtlosen Zugriff auf Layer 2 mithilfe von IEEE 802.1X, Geräte-Posture-Assessment und VLAN-Segmentierung.
✓ZTNA sichert den Anwendungszugriff auf Layer 7 durch identitätsbasierte Mikrosegmentierung und ersetzt veraltete VPNs durch kontextsensitive Mikrotunnel.
✓Die Integration von NAC und ZTNA über eine bidirektionale API ermöglicht eine kontinuierliche Posture-Synchronisierung – eine im lokalen Netzwerk erkannte Änderung entzieht sofort den Zugriff auf Cloud-Anwendungen.
✓Die Bereitstellung erfolgt in drei Phasen: zuerst Sichtbarkeit und Erkennung, dann Richtliniendefinition, dann schrittweise Durchsetzung – überspringen Sie niemals die Phase des Überwachungsmodus.
✓Gastnetzwerke und IoT-Geräte müssen in der Architektur explizit über isolierte VLANs und MAC-Authentication-Bypass adressiert und nicht als Nebensache behandelt werden.
✓Der Business Case ist klar: geringerer betrieblicher Aufwand, Eliminierung von VPN-Reibungsverlusten, verbesserte Compliance-Position und schnellere mittlere Zeit bis zur Eindämmung von Sicherheitsvorfällen.

執行摘要

對於管理分散式環境的企業網路架構師和 CTO 而言，網路邊界已不復存在。傳統上利用強大的網路存取控制（NAC）保護企業總部，同時依賴傳統 VPN 進行遠端存取的模式已不再可行。現代企業需要統一的安全態勢，以無縫連接本地基礎設施與雲端原生應用程式。本指南詳細介紹了 NAC 與零信任網路存取（ZTNA）的架構整合，為在不影響使用者體驗或網路吞吐量的情況下，保障混合工作環境的安全提供了藍圖。

透過將 NAC 的裝置級態勢強制執行與 ZTNA 以身分為中心的微隔離相結合，企業無論使用者身在何處，都能實現持續的信任驗證。這種融合對於人流量大且合規要求複雜的行業尤為重要，例如零售業、醫療保健業和旅宿餐飲業。此外，利用 Purple 的 Guest WiFi 基礎設施等平台，可以將這些零信任原則擴展到訪客網路，確保符合 GDPR 和 PCI DSS 義務的強大隔離與數據保護。

技術深挖：融合架構

孤立安全域的局限性

歷史上，NAC 和 ZTNA 作為孤立的安全域運行。NAC 利用 IEEE 802.1X 和 RADIUS，擅長控制企業邊界內的實體和無線存取。它提供了強大的裝置分析、態勢評估和 VLAN 分配。相反，ZTNA 的出現是為了保護對雲端和本地應用程式的遠端存取，其運行原則是基於使用者身分和上下文，而非網路位置，實行「永不信任，始終驗證」。

當混合工作者在這些領域之間切換時，就會產生摩擦。使用者在日常在家中透過 ZTNA 無縫驗證，但在進入企業辦公室時，往往會面臨脫節的體驗，因為當地的 NAC 策略可能與其 ZTNA 上下文不一致。這種碎片化引入了安全盲點和營運開銷，直接影響了 IT 效率和終端使用者生產力。

統一身分與上下文代理

架構解決方案在於建立一個統一的身分與上下文代理層，同步 NAC 與 ZTNA 策略引擎之間的遙測數據。這種整合允許進行跨越網路邊界持續存在的持續態勢評估。

此整合透過三個關鍵機制運行。首先，持續態勢評估：當裝置連接到企業網路時，NAC 解決方案會進行全面的態勢檢查，涵蓋作業系統版本、防毒軟體狀態和憑證驗證。此上下文會立即透過 API 整合與 ZTNA 代理共享。其次，動態策略執行：如果裝置的安全性降低（例如檢測到惡意軟體），NAC 系統會將該裝置隔離在本地網路上，同時指示 ZTNA 代理撤銷對關鍵雲端應用程式的存取權限。第三，無縫過渡：當使用者從辦公室移動到遠端位置時，ZTNA 用戶端會保持已建立的信任上下文，從而消除重新驗證的需要，並確保對授權資源的無間斷存取。

如需深入了解支援這些部署的底層無線技術，請參閱我們的指南： Wi-Fi 頻段：2026 年 Wi-Fi 頻段指南。

實施指南：逐步部署

部署融合的 NAC/ZTNA 架構需要採取分階段的方法，以最大程度地減少中斷並確保強大的策略執行。

階段 1：身分與資產發現

在實施強制執行策略之前，您必須實現對網路環境的完整可視性。在僅監控模式下部署您的 NAC 解決方案——將其配置為發現並分析所有連接的裝置，包括企業筆記型電腦、BYOD、IoT 和訪客裝置，而不阻止存取。透過將 NAC 和 ZTNA 解決方案與中央身分識別提供者（如 Azure AD 或 Okta）整合，來鞏固使用者身分。這可確保兩個領域之間的一致驗證策略。同時，利用您的 ZTNA 解決方案監控應用程式存取模式，識別哪些使用者需要存取特定應用程式，並形成微隔離策略的基礎。

階段 2：策略定義與微隔離

透過基於最小權限原則定義細粒度的存取策略，從可視性過渡到控制。建立企業裝置的基準安全要求，包括最低作業系統版本和作用中的 EDR 代理程式要求，並配置 NAC 解決方案以針對本地存取強制執行這些要求。定義 ZTNA 策略，根據使用者角色和裝置上下文限制對應用程式的存取，確保與 NAC 解決方案中定義的態勢要求保持一致。至關重要的是，配置 NAC 和 ZTNA 平台之間的 API 整合，以啟用雙向上下文共享，確保 NAC 檢測到的裝置態勢變化能夠即時立即觸發 ZTNA 代理中的策略更新。

第三階段：強制執行與最佳化

逐步啟用強制執行模式，監控異常情況並根據需要微調策略。將 NAC 解決方案從監控模式過渡到強制執行模式，先從試點用戶群組或地點開始，並監控身分驗證失敗的情況。將 ZTNA 用戶端部署到所有企業端點，確保無縫存取雲端和地端應用程式。使用 Purple 的 Guest WiFi 等平台擴展強大的訪客存取策略，確保訪客流量與企業資源嚴格隔離。利用 WiFi Analytics 監控使用模式並檢測整個訪客資產中的潛在異常。

企業環境的最佳實踐

在整個部署過程中優先考慮用戶體驗。安全不應阻礙生產力，地端與遠端存取之間的過渡對用戶而言必須是透明的，利用單一登入和持續身分驗證機制。對於地端存取，強制所有企業設備進行 IEEE 802.1X 身分驗證，因為這在連接埠層級提供了對設備身分強大的加密驗證。

將 AI 驅動的威脅檢測功能整合到您的 NAC 和 ZTNA 解決方案中，以識別異常行為並自動隔離受損設備。有關此功能的遠瞻性觀點，請參閱 The Future of Wi-Fi Security: AI-Driven NAC and Threat Detection 以及西班牙語對應版本 El Futuro de la Seguridad Wi-Fi: NAC Impulsado por IA y Detección de Amenazas 。對於分散式企業，將 ZTNA 與 SD-WAN 整合可以最佳化應用程式路由並提高多個站點的效能 — 請參閱我們在 SD WAN vs MPLS: The 2026 Enterprise Network Guide 上的比較。

疑難排解與風險緩釋

上下文同步延遲代表了最關鍵的失效模式。如果 NAC 和 ZTNA 之間的 API 整合出現延遲，受損設備存取雲端應用程式的時間可能會超出可接受的範圍。緩釋措施是實施基於 Webhook 的推播通知，而不是僅依賴輪詢機制，以確保近乎即時的策略更新。

過度限制的策略在實施嚴格的狀態檢查且未與用戶進行充分溝通時，可能會導致服務台工單量急劇增加。利用 Captive Portal 通知用戶不合規情況，並在完全阻止存取之前提供自助修復說明。

IoT 設備身分驗證失敗在場域環境中是不可避免的。無周邊的 IoT 設備無法支援 802.1X 或 ZTNA 用戶端。解決方案是採用 MAC 身分驗證繞過 (MAB)，結合嚴格的設備分析和嚴格的 VLAN 區隔，將 IoT 流量與企業資源隔離。

API 整合健康狀況監控經常被忽視。如果 NAC 和 ZTNA 之間的同步中斷，就會存在兩個系統都無法獨立解決的安全漏洞。對整合健康狀況實施專門的監控和警報，並定義安全防護策略，如果同步遺失超過定義的閾值，則觸發自動存取限制。

投資報酬率與業務影響

NAC 和 ZTNA 的融合帶來了超越風險緩釋的可衡量業務價值。整合策略管理減輕了 IT 團隊的行政負擔，使他們能夠專注於策略性倡議，而不是管理分散的安全孤島。消除傳統 VPN 顯著改善了混合工作體驗，減少了停機時間和挫折感，同時提高了遠端用戶的應用程式效能。

展示持續狀態評估和基於身分的存取控制的能力，簡化了 PCI DSS 和 GDPR 等框架的合規性報告，這在 Transport 和零售環境中尤為重要，因為這些環境中的持卡人資料和個人資料保護義務非常嚴格。部署了融合架構的組織一致報告，遏制安全事件的平均時間 (MTTC) 有所減少，因為雙向策略強制執行實現了自動隔離，而無需手動干預。

Schlüsseldefinitionen

Network Access Control (NAC)

Eine Sicherheitslösung, die Richtlinien für Geräte durchsetzt, die Zugriff auf eine Netzwerkinfrastruktur anfordern. Sie nutzt in der Regel IEEE 802.1X für die Authentifizierung und die Zustandsbewertung (Posture Assessment), um die VLAN-Zuweisung und die Zugriffsrechte zu bestimmen.

Entscheidend für die Absicherung von On-Premises-Umgebungen, um sicherzustellen, dass sich nur konforme und autorisierte Geräte mit Unternehmens-Switches und Wireless Access Points verbinden können. IT-Teams begegnen diesem Konzept bei der Verwaltung physischer Büro- und Standortnetzwerke.

Zero Trust Network Access (ZTNA)

Eine IT-Sicherheitslösung, die sicheren Remote-Zugriff auf Anwendungen und Dienste auf der Grundlage definierter Zugriffskontrollrichtlinien bietet. Sie arbeitet nach dem Prinzip der geringsten Rechte (Least Privilege) und der kontinuierlichen Identitätsprüfung anstelle des Netzwerkstandorts.

Ersetzt veraltete VPNs durch identitätsbasierte Mikrosegmentierung und gewährt Zugriff nur auf bestimmte Anwendungen statt auf das gesamte Netzwerk. Relevant bei der Absicherung von Remote-Mitarbeitern und dem Zugriff auf Cloud-Anwendungen.

Mikrosegmentierung

Die Praxis der Aufteilung eines Netzwerks in isolierte Segmente, um die Angriffsfläche zu verringern und laterale Bewegungen von Angreifern zu verhindern, angewendet auf Anwendungs- oder Workload-Ebene statt am Netzwerkperimeter.

ZTNA wendet dieses Konzept auf Anwendungsebene an, um sicherzustellen, dass ein kompromittierter Endpunkt nicht auf unbefugte Ressourcen zugreifen kann. IT-Teams begegnen diesem Konzept beim Entwurf von Zero-Trust-Architekturen.

Posture Assessment (Zustandsbewertung)

Der Prozess der Bewertung des Sicherheitsstatus eines Geräts – einschließlich OS-Version, aktivem Virenschutz, installierten Zertifikaten und Patch-Level – vor der Gewährung des Netzwerk- oder Anwendungszugriffs.

Eine Kernfunktion von NAC, die sicherstellt, dass anfällige oder kompromittierte Geräte unter Quarantäne gestellt oder bereinigt werden, bevor sie mit dem Unternehmensnetzwerk interagieren können. Relevant beim Onboarding von Geräten und der kontinuierlichen Überwachung.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Network Access Control, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten, unter Verwendung von EAP (Extensible Authentication Protocol) über das Netzwerkmedium.

Der Goldstandard für die Netzwerkauthentifizierung in Unternehmen, der eine robuste kryptografische Validierung der Geräteidentität bietet. IT-Teams begegnen diesem Standard bei der Konfiguration von Switches, Wireless-Controllern und RADIUS-Servern.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentralisierte AAA-Verwaltung (Authentication, Authorisation, and Accounting) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen. Es fungiert als Kommunikationsschicht zwischen NAC und Identity Providern.

Das Backend-Protokoll, das von NAC-Lösungen verwendet wird, um mit Identity Providern zu kommunizieren und Zugriffsrichtlinien durchzusetzen. Relevant bei der Integration von NAC mit Active Directory oder Cloud-IdPs.

MAC Authentication Bypass (MAB)

Eine Fallback-Authentifizierungsmethode, die von NAC-Lösungen für Geräte verwendet wird, die 802.1X nicht unterstützen. Sie basiert auf der MAC-Adresse des Geräts als Identifikator, um Netzwerkzugriffsrichtlinien zuzuweisen.

Erforderlich für die Integration von Headless-Geräten – wie Druckern, IoT-Sensoren, Digital Signage – in Unternehmensumgebungen. Weniger sicher als 802.1X und erfordert eine strikte VLAN-Segmentierung, um die Risiken von MAC-Spoofing zu minimieren.

Identity Provider (IdP)

Eine Systeminstanz, die Identitätsinformationen für Prinzipale erstellt, pflegt und verwaltet und gleichzeitig Authentifizierungsdienste für vertrauende Anwendungen innerhalb einer Föderation oder eines verteilten Netzwerks bereitstellt.

Die zentrale Single Source of Truth für Benutzeridentitäten, die sowohl in NAC als auch in ZTNA integriert wird, um konsistente Authentifizierungsrichtlinien zu gewährleisten. IT-Teams begegnen diesem Konzept bei der Konfiguration von SSO und MFA in Unternehmenssystemen.

VLAN (Virtual Local Area Network)

Eine logische Unterteilung eines physischen Netzwerks, die Geräte in isolierte Broadcast-Domänen gruppiert und so eine Datenverkehrsegmentierung ohne separate physische Infrastruktur ermöglicht.

Der primäre Mechanismus zur Isolierung verschiedener Geräteklassen – wie Unternehmen, Gäste, IoT – innerhalb eines gemeinsam genutzten physischen Netzwerks. Entscheidend für die Einhaltung der PCI-DSS-Anforderungen zur Isolierung von Karteninhaber-Datenumgebungen.

Ausgearbeitete Beispiele

Eine globale Einzelhandelskette mit 500 Standorten muss den sicheren Zugriff für Regionalleiter gewährleisten, die häufig zwischen Filialen, der Unternehmenszentrale und dem Homeoffice reisen. Derzeit kommt es bei ihnen zu häufigen VPN-Verbindungsabbrüchen und inkonsistentem Zugriff auf in der Cloud gehostete Bestandsverwaltungsanwendungen.

Implementieren Sie eine konvergierte NAC/ZTNA-Architektur an allen Standorten. Stellen Sie 802.1X über NAC bereit, um einen nahtlosen, sicheren Zugriff zu ermöglichen, wenn sich die Manager physisch in der Filiale oder in der Zentrale befinden, und authentifizieren Sie sie an einem zentralen RADIUS-Server, der in Azure AD integriert ist. Installieren Sie einen ZTNA-Client auf allen Firmen-Laptops. Integrieren Sie die NAC- und ZTNA-Richtlinien-Engines über eine API und konfigurieren Sie Webhook-Benachrichtigungen für sofortige Statusaktualisierungen. Wenn sich ein Manager mit dem Filialnetzwerk verbindet, authentifiziert die NAC das Gerät und teilt den Kontext „vertrauenswürdig intern“ mit dem ZTNA-Broker. Der ZTNA-Broker gewährt dann direkten, optimierten Zugriff auf die in der Cloud gehostete Bestandsanwendung, ohne dass ein VPN-Tunnel erforderlich ist, was die Latenz verringert und Verbindungsprobleme beseitigt. Wenn der Manager von zu Hause aus arbeitet, baut der ZTNA-Client einen sicheren Mikrotunnel zur Anwendung auf und behält dieselben Zugriffsrichtlinien bei, ohne auf den Perimeter des Unternehmensnetzwerks angewiesen zu sein. Gäste- und IoT-Geräte in der Filiale werden auf separaten VLANs isoliert, die über die Guest WiFi-Plattform von Purple verwaltet werden.

Kommentar des Prüfers: Dieser Ansatz löst die mit veralteten VPNs verbundenen Probleme bei der Benutzererfahrung, indem er einen nahtlosen, kontextabhängigen Zugriff unabhängig vom Standort bietet. Die API-Integration stellt sicher, dass der Sicherheitsstatus kontinuierlich bewertet wird, wodurch das Risiko minimiert wird, dass ein kompromittiertes Gerät auf kritische Anwendungen zugreift. Die wichtigste architektonische Entscheidung ist das „Local Edge“-Routing – im Unternehmensnetzwerk sollte der ZTNA-Datenverkehr an einen lokalen Broker geleitet werden, anstatt über einen Cloud-Broker geleitet zu werden (Hairpinning), was die Latenzvorteile zunichte machen würde.

Ein großes Konferenzzentrum muss sicheres WiFi für Unternehmensmitarbeiter bereitstellen und gleichzeitig Tausende von täglichen Gästeverbindungen und IoT-Geräte von Drittanbietern wie digitale Beschilderung, BLE-Beacons und Umgebungssensoren isolieren.

Implementieren Sie eine robuste NAC-Lösung, die mit einer strengen VLAN-Segmentierung über drei verschiedene Ebenen konfiguriert ist. Ebene eins: Geräte von Unternehmensmitarbeitern authentifizieren sich über 802.1X und werden einem sicheren internen VLAN mit vollem Zugriff auf interne Verwaltungssysteme zugewiesen. Ebene zwei: Implementieren Sie die Guest WiFi-Plattform von Purple, um den öffentlichen Zugriff zu verwalten, wertvolle Analysen zu erfassen und gleichzeitig eine vollständige Isolierung vom Unternehmensnetzwerk über ein dediziertes Gäste-VLAN mit reinem Internetzugang zu gewährleisten. Ebene drei: Verwenden Sie für IoT-Geräte von Drittanbietern den MAC Authentication Bypass (MAB) in Kombination mit einem detaillierten Geräte-Profiling – Analyse von DHCP-Fingerabdrücken, HTTP-User-Agents und Datenverkehrsmustern –, um Gerätetypen genau zu identifizieren und sie eingeschränkten VLANs mit reinem Internetzugang zuzuweisen. Integrieren Sie ZTNA für Unternehmensmitarbeiter, um von jedem Ort innerhalb des Veranstaltungsorts oder aus der Ferne sicher auf interne Verwaltungsanwendungen zuzugreifen. Informationen zur BLE-Beacon-Infrastruktur finden Sie im Leitfaden BLE Low Energy Explained for Enterprise für Integrationsaspekte.

Kommentar des Prüfers: Dieses Szenario verdeutlicht die Notwendigkeit, verschiedene Gerätetypen innerhalb einer einzigen physischen Umgebung zu verwalten. Das dreistufige Segmentierungsmodell ist der richtige Ansatz – der Versuch, alle Gerätetypen innerhalb eines einzigen Richtlinien-Frameworks zu verwalten, führt unweigerlich zu entweder zu laxen oder zu restriktiven Richtlinien. Die Nutzung der Guest WiFi-Plattform von Purple für die Gästeebene ist hier besonders relevant, da sie sowohl die für die Sicherheit erforderliche Isolierung als auch die für den Betrieb des Veranstaltungsorts erforderlichen Analysefunktionen bietet.

Übungsfragen

Q1. Ihre Organisation führt ZTNA ein, um ein veraltetes VPN zu ersetzen. Benutzer, die in das Unternehmensbüro zurückkehren, stellen jedoch Latenzen beim Zugriff auf Anwendungen fest, die lokal im On-Premises-Rechenzentrum gehostet werden, da der ZTNA-Traffic über einen in der Cloud gehosteten Broker geleitet wird. Was ist die empfohlene architektonische Lösung?

Hinweis: Berücksichtigen Sie, wie der ZTNA-Client den optimalen Pfad zur Anwendung basierend auf dem physischen Netzwerkkontext des Benutzers bestimmt.

Musterlösung anzeigen

Implementieren Sie einen Local Edge oder On-Premises ZTNA Broker im Rechenzentrum des Unternehmens. Konfigurieren Sie den ZTNA-Client so, dass er erkennt, wenn das Gerät über NAC im internen Unternehmensnetzwerk authentifiziert ist, und leiten Sie den Traffic direkt über den internen Broker zur lokalen Anwendung, anstatt ihn über den in der Cloud gehosteten Broker umzuleiten (Hairpinning). Dies reduziert die Latenz für On-Premises-Anwendungen, während dieselben identitätsbasierten Zugriffskontrollen beibehalten werden. Die gemeinsame Nutzung des NAC-Kontexts über API sollte dem ZTNA-Broker signalisieren, dass sich das Gerät in einem vertrauenswürdigen internen Netzwerk befindet, was die lokale Routing-Entscheidung ermöglicht.

Q2. Ein IT-Team im Krankenhaus muss Hunderte von vernetzten medizinischen Geräten sichern – Infusionspumpen, Patientenmonitore, Bildgebungsgeräte –, auf denen keine 802.1X-Supplicants oder ZTNA-Clients ausgeführt werden können. Wie sollten diese Geräte in einer konvergierten NAC/ZTNA-Architektur gesichert werden?

Hinweis: Berücksichtigen Sie Fallback-Authentifizierungsmethoden und das Prinzip der Isolierung auf Netzwerkebene für Geräte, die nicht an identitätsbasierten Kontrollen teilnehmen können.

Musterlösung anzeigen

Nutzen Sie MAC Authentication Bypass (MAB) auf der NAC-Lösung, kombiniert mit tiefgehendem Geräte-Profiling unter Verwendung von DHCP-Fingerprints, HTTP-User-Agents und Traffic-Verhaltensanalysen, um jeden medizinischen Gerätetyp genau zu identifizieren und zu klassifizieren. Nach der Identifizierung weist das NAC diese Geräte dynamisch stark eingeschränkten, isolierten VLANs zu, die nur die Kommunikation mit bestimmten, erforderlichen medizinischen Servern und Systemen zulassen – und blockiert standardmäßig allen anderen Traffic. ZTNA ist auf diese Geräte nicht anwendbar; die Sicherheit beruht vollständig auf einer strengen Netzwerksegmentierung und einer kontinuierlichen Traffic-Überwachung auf anormales Verhalten. Stellen Sie sicher, dass die VLANs der medizinischen Geräte vollständig von der Karteninhaber-Datenumgebung isoliert sind, um die PCI DSS-Compliance aufrechtzuerhalten.

Q3. Während eines Produktions-Deployments schlägt die API-Integration zwischen Ihren NAC- und ZTNA-Lösungen unbemerkt fehl – es werden keine Warnmeldungen ausgelöst. Der Laptop eines Benutzers im Unternehmensnetzwerk wird in der Folge mit Malware infiziert. Beschreiben Sie das erwartete Sicherheitsergebnis und identifizieren Sie die Sicherheitslücke in der Architektur, die dies ermöglicht hat.

Hinweis: Analysieren Sie die Auswirkungen einer fehlerhaften Kontextsynchronisierung auf jede Policy-Engine unabhängig voneinander und überlegen Sie, welche Überwachung hätte eingerichtet sein müssen.

Musterlösung anzeigen

Die NAC-Lösung wird den verschlechterten Sicherheitsstatus über die EDR-Integration erkennen und das Gerät im lokalen Netzwerk unter Quarantäne stellen, um eine laterale Bewegung innerhalb der Unternehmensumgebung zu verhindern. Da die API-Integration jedoch unbemerkt fehlgeschlagen ist, hat der ZTNA-Broker den aktualisierten Statuskontext nicht erhalten. Wenn der Benutzer versucht, auf eine Cloud-Anwendung zuzugreifen, kann der ZTNA-Client möglicherweise immer noch eine Verbindung herstellen, sofern das ursprüngliche Identitäts-Authentifizierungstoken noch gültig und nicht abgelaufen ist. Die architektonische Lücke ist zweifach: Erstens das Fehlen einer Zustandsüberwachung der API-Integration selbst; zweitens das Fehlen einer ausfallsicheren Richtlinie, die automatische Zugriffsbeschränkungen auslöst, wenn die Kontextsynchronisierung über einen definierten Schwellenwert hinaus verloren geht. Die Behebung besteht darin, eine dedizierte Überwachung mit Alarmierung für den Integrationszustand zu implementieren, den ZTNA-Broker so zu konfigurieren, dass er eine regelmäßige erneute Validierung des Sicherheitsstatus erfordert (nicht nur die anfängliche Authentifizierung), und eine Default-Deny-Richtlinie zu definieren, die aktiviert wird, wenn der NAC-Kontext-Feed länger als ein bestimmtes Intervall nicht verfügbar ist.

Weiterlesen in dieser Reihe

Mitarbeiter-WiFi vs. Gäste-WiFi: Best Practices für die Segmentierung von Unternehmensnetzwerken

Ein umfassender technischer Leitfaden für IT-Führungskräfte zur Segmentierung von Mitarbeiter- und Gäste-WiFi-Netzwerken. Er behandelt VLAN-Architektur, 802.1X-Authentifizierung, Firewall-Richtlinien und die geschäftlichen Auswirkungen eines sicheren Netzwerkdesigns.

WiFi-Lösungen für Apartments: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden behandelt die Architektur, die Bereitstellung und den Business Case für WiFi-Lösungen in Apartments in Build to Rent- und Multi-Dwelling Unit-Immobilien. Er erklärt, wie die iPSK-Technologie (Identity Pre-Shared Key) sichere, isolierte Netzwerkblasen für jeden Bewohner erstellt und gleichzeitig Smart-Geräte und IoT unterstützt. Immobilienentwickler, Vermieter und BTR-Betreiber finden hier praxisnahe Bereitstellungsanleitungen, ROI-Daten und ausgearbeitete Implementierungsszenarien.

Cox Business Managed WiFi: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden beschreibt detailliert, wie Immobilienentwickler und BTR-Betreiber skalierbare, sichere Netzwerke mit Cox Business Managed WiFi bereitstellen können. Er behandelt die Netzwerkarchitektur, die herstellerunabhängige Hardware-Bereitstellung und die geschäftlichen Auswirkungen des Übergangs von Konnektivität von einem betrieblichen Problem zu einer zuverlässigen Infrastruktur.