Sicherung hybrider Arbeit: Kombination von NAC mit ZTNA für nahtlosen Zugriff

Dieser maßgebliche technische Leitfaden behandelt die architektonische Konvergenz von Network Access Control (NAC) und Zero Trust Network Access (ZTNA) zur Sicherung hybrider Arbeitsumgebungen in Unternehmens-, Einzelhandels-, Gastgewerbe- und öffentlichen Bereichen. Er bietet einen phasenbasierten Bereitstellungsplan, praxisnahe Fallstudien und Compliance-Richtlinien für IT-Architekten und CTOs, die Sicherheitslücken schließen müssen, die durch isolierte On-Premises- und Cloud-Zugriffsdomänen entstehen.

📖 6 Min. Lesezeit📝 1,285 Wörter🔧 2 ausgearbeitete Beispiele❓ 3 Übungsfragen📚 9 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen

Willkommen beim Purple Enterprise Architecture Briefing. Ich bin Ihr Gastgeber, und heute widmen wir uns einer entscheidenden Herausforderung für IT-Führungskräfte: der Absicherung der hybriden Belegschaft. Konkret betrachten wir die architektonische Konvergenz von Network Access Control – oder NAC – und Zero Trust Network Access – ZTNA. Wenn Sie komplexe Netzwerke in Unternehmensstandorten, Einzelhandelsflächen oder Umgebungen des öffentlichen Sektors verwalten, ist dies genau das Richtige für Sie.

Legen wir den Kontext fest. Der traditionelle Perimeter ist tot. Das wissen wir alle. Die Absicherung einer Unternehmenszentrale mit robustem NAC, während man sich beim Remote-Zugriff auf veraltete VPNs verlässt, reicht einfach nicht mehr aus. Dies führt zu Reibungsverlusten für den Benutzer und blinden Flecken für die IT. Moderne Unternehmen benötigen eine einheitliche Sicherheitsstruktur, die die On-Premises-Infrastruktur nahtlos mit cloudnativen Anwendungen verbindet. Hier kommt die Kombination aus NAC und ZTNA ins Spiel.

Historisch gesehen waren dies isolierte Domänen. NAC, das Standards wie 802.1X nutzt, war hervorragend geeignet, um den physischen und drahtlosen Zugriff innerhalb des Gebäudes zu kontrollieren. Es überprüfte den Gerätestatus und wies VLANs zu. ZTNA hingegen wurde für das Cloud-Zeitalter entwickelt – es sichert den Remote-Zugriff basierend auf Identität und Kontext, nicht auf dem Netzwerkstandort. Das Problem entsteht, wenn sich ein hybrider Mitarbeiter zwischen diesen Domänen bewegt. Er authentifiziert sich zu Hause nahtlos über ZTNA, stößt aber im Büro auf eine Wand aus unzusammenhängenden Richtlinien. Das ist frustrierend, ineffizient und schafft ehrlich gesagt Sicherheitslücken, die Angreifer ausnutzen können.

Sprechen wir also über die technische Architektur. Die Lösung ist eine einheitliche Identitäts- und Kontext-Brokerage-Ebene. Wir müssen die Telemetrie zwischen den NAC- und ZTNA-Richtlinien-Engines synchronisieren. Stellen Sie sich das als eine kontinuierliche Statusbewertung vor, die dem Benutzer folgt, wo immer er sich befindet.

Und so funktioniert es in der Praxis. Wenn sich ein Gerät mit dem Unternehmensnetzwerk verbindet, führt NAC eine umfassende Statusprüfung durch – Betriebssystemversion, Antivirenstatus, Zertifikatsvalidierung. Es teilt diesen Kontext sofort über eine API-Integration mit dem ZTNA-Broker. Wenn sich der Status des Geräts verschlechtert – beispielsweise wenn Malware erkannt wird –, stellt NAC es im lokalen Netzwerk unter Quarantäne und weist gleichzeitig den ZTNA-Broker an, den Zugriff auf kritische Cloud-Anwendungen zu entziehen. Wenn der Benutzer vom Büro an einen Remote-Standort wechselt, behält der ZTNA-Client diesen etablierten Vertrauenskontext bei. Keine erneute Authentifizierung erforderlich. Die Benutzererfahrung ist nahtlos, aber die Sicherheit ist kontinuierlich.

Kommen wir nun zu den Standards, die dem zugrunde liegen. IEEE 802.1X ist der Goldstandard für die On-Premises-Authentifizierung. Es bietet eine kryptografische Validierung der Geräteidentität auf Port-Ebene. RADIUS fungiert als Backend-Protokoll für die Kommunikation zwischen der NAC-Lösung und Ihrem Identitätsanbieter. Auf der ZTNA-Seite nutzen Sie Identitätsanbieter wie Azure Active Directory oder Okta mit ZTNA-Brokern führender Anbieter. Der Schlüssel liegt darin, sicherzustellen, dass diese Systeme bidirektional kommunizieren können.

Für Betreiber von Veranstaltungsorten – Hotels, Konferenzzentren, Stadien – gibt es eine zusätzliche Komplexitätsebene. Sie verwalten Unternehmensmitarbeiter, Auftragnehmer, Gäste und eine wachsende Flotte von IoT-Geräten, und das alles auf derselben physischen Infrastruktur. NAC übernimmt die Segmentierung. Unternehmensmitarbeiter erhalten eine 802.1X-Authentifizierung und Zugriff auf interne Ressourcen. Gäste werden in einem dedizierten Netzwerk isoliert, das idealerweise über eine Plattform wie Guest WiFi von Purple verwaltet wird, die eine robuste Isolation bietet und gleichzeitig wertvolle Analysen erfasst. IoT-Geräte, die 802.1X nicht unterstützen können – wie digitale Beschilderungen, Umgebungssensoren, Point-of-Sale-Terminals –, werden über MAC Authentication Bypass (MAB) mit strenger VLAN-Segmentierung verwaltet, um potenzielle Sicherheitsverletzungen einzudämmen.

Lassen Sie mich ein reales Bereitstellungsszenario beschreiben. Stellen Sie sich eine globale Einzelhandelskette mit fünfhundert Standorten vor. Regionalleiter reisen ständig zwischen den Filialen, der Zentrale und dem Homeoffice hin und her. Sie haben mit VPN-Verbindungsabbrüchen und inkonsistentem Zugriff auf Bestandsverwaltungsanwendungen zu kämpfen. Die Lösung ist eine konvergente NAC- und ZTNA-Architektur. Wenn sich ein Manager in einer Filiale befindet, authentifiziert NAC das Gerät über 802.1X und teilt den vertrauenswürdigen internen Kontext mit dem ZTNA-Broker. Der Broker gewährt dann direkten, optimierten Zugriff auf die in der Cloud gehostete Bestandsanwendung – ganz ohne VPN-Tunnel. Wenn der Manager von zu Hause aus arbeitet, stellt der ZTNA-Client einen sicheren Mikrotunnel zur Anwendung her und behält dieselben Zugriffsrichtlinien bei. Das Ergebnis? Konsistenter Zugriff, weniger Helpdesk-Anrufe und ein messbar verbessertes Sicherheitsniveau.

Nun zur Implementierung. Ich empfehle einen dreiphasigen Ansatz. Phase eins ist die Sichtbarkeit. Stellen Sie NAC zunächst im Überwachungsmodus bereit. Erkennen und profilieren Sie alles in Ihrem Netzwerk – Laptops, BYOD-Geräte, IoT, Gästegeräte. Setzen Sie noch keine Richtlinien durch. Integrieren Sie gleichzeitig Ihre Identitätsanbieter sowohl in NAC als auch in ZTNA, um Benutzeridentitäten zu konsolidieren. Nutzen Sie Ihre ZTNA-Lösung, um Anwendungszugriffsmuster abzubilden. Dies liefert Ihnen die Daten, die Sie zum Erstellen sinnvoller Richtlinien benötigen.

Phase zwei ist die Richtliniendefinition. Definieren Sie Ihre grundlegenden Sicherheitsanforderungen für Unternehmensgeräte. Implementieren Sie eine ZTNA-Mikrosegmentierung basierend auf Benutzerrollen und der Sensibilität der Anwendungen. Und ganz wichtig: Richten Sie die API-Integration zwischen Ihren NAC- und ZTNA-Plattformen für den bidirektionalen Kontextaustausch ein. Testen Sie diese Integration gründlich, bevor Sie mit der Durchsetzung beginnen.

Phase drei ist die Durchsetzung. Aktivieren Sie die NAC-Durchsetzung schrittweise, beginnend mit einer Pilotgruppe. Überwachen Sie Authentifizierungsfehler und passen Sie die Richtlinien an. Rollen Sie ZTNA-Clients auf allen Unternehmens-Endpunkten aus. Und weiten Sie die Zero-Trust-Prinzipien mithilfe einer verwalteten Plattform auf Ihre Gästenetzwerke aus.

Lassen Sie mich Ihnen eine kurze Übersicht über die häufigsten Fallstricke geben. Erstens: Verzögerungen bei der Kontextsynchronisation. Wenn die API-Integration zwischen NAC und ZTNA Latenzen aufweist, behält ein kompromittiertes Gerät möglicherweise länger Zugriff auf Cloud-Anwendungen als akzeptabel. Die Lösung besteht darin, Webhook-basierte Push-Benachrichtigungen zu verwenden, anstatt sich auf Polling-Mechanismen zu verlassen. Dies gewährleistet Richtlinien-Updates in nahezu Echtzeit.

Zweitens: Übermäßig restriktive Richtlinien, die zu einem sprunghaften Anstieg der Helpdesk-Anfragen führen. Die Implementierung strenger Integritätsprüfungen ohne angemessene Benutzerkommunikation ist ein Rezept für Chaos. Nutzen Sie Captive Portals, um Benutzer über die Nichteinhaltung von Richtlinien zu informieren und eine Self-Service-Behebung anzubieten, bevor der Zugriff vollständig blockiert wird.

Drittens: Authentifizierungsfehler bei IoT-Geräten. Headless-IoT-Geräte können 802.1X- oder ZTNA-Clients schlichtweg nicht unterstützen. Die Lösung ist ein MAC Authentication Bypass in Kombination mit einer präzisen Geräteprofilierung und einer strengen VLAN-Segmentierung.

Viertens, und das ist ein wichtiger Punkt: Die mangelnde Überwachung des Zustands der API-Integration selbst. Wenn die Synchronisation zwischen NAC und ZTNA fehlschlägt, entsteht eine Sicherheitslücke. Implementieren Sie Monitoring und Alarmierung für den Zustand der Integration und definieren Sie Fail-Safe-Richtlinien, die greifen, wenn die Synchronisation länger als ein definierter Schwellenwert unterbrochen ist.

Wie sieht also der Return on Investment aus? Die geschäftlichen Argumente für diese Architektur sind überzeugend. Die Konsolidierung des Richtlinienmanagements entlastet die IT-Teams administrativ. Der Verzicht auf veraltete VPNs verbessert das hybride Arbeitserlebnis erheblich und reduziert Ausfallzeiten sowie Frustration. Und die Fähigkeit, kontinuierliche Integritätsprüfungen und identitätsbasierte Zugriffskontrollen nachzuweisen, vereinfacht die Compliance-Berichterstattung für Frameworks wie PCI DSS und GDPR – was besonders in Einzelhandels- und Gesundheitsumgebungen relevant ist.

Zusammenfassend die wichtigsten Erkenntnisse des heutigen Briefings: Identität ist der neue Perimeter, und Kontext ist der Schlüssel. Nutzen Sie NAC für das physische Netzwerk und ZTNA für die App. Vertrauen Sie niemals, verifizieren Sie immer – und zwar kontinuierlich. Implementieren Sie in Phasen: zuerst Sichtbarkeit, dann Richtlinien, dann Durchsetzung. Und vergessen Sie das Gästenetzwerk und die IoT-Infrastruktur nicht – sie müssen Teil Ihrer Sicherheitsarchitektur sein, kein nachträglicher Gedanke.

Wenn Sie tiefer in die KI-gesteuerte Zukunft der Netzwerksicherheit eintauchen möchten, lesen Sie den Leitfaden von Purple zu KI-gesteuertem NAC und Bedrohungserkennung. Und für diejenigen, die verteilte Standorte verwalten, ist unser Leitfaden SD-WAN versus MPLS absolut lesenswert.

Das war es mit dem heutigen Briefing. Vielen Dank fürs Zuhören und bis zum nächsten Mal.

Wichtigste Erkenntnisse

✓Hybrides Arbeiten hat den traditionellen Netzwerkperimeter aufgelöst – eine einheitliche NAC- und ZTNA-Architektur ist heute die Grundvoraussetzung für die Sicherheit von Unternehmen.
✓NAC sichert den physischen und drahtlosen Zugriff auf Layer 2 mithilfe von IEEE 802.1X, Geräte-Posture-Assessment und VLAN-Segmentierung.
✓ZTNA sichert den Anwendungszugriff auf Layer 7 durch identitätsbasierte Mikrosegmentierung und ersetzt veraltete VPNs durch kontextsensitive Mikrotunnel.
✓Die Integration von NAC und ZTNA über eine bidirektionale API ermöglicht eine kontinuierliche Posture-Synchronisierung – eine im lokalen Netzwerk erkannte Änderung entzieht sofort den Zugriff auf Cloud-Anwendungen.
✓Die Bereitstellung erfolgt in drei Phasen: zuerst Sichtbarkeit und Erkennung, dann Richtliniendefinition, dann schrittweise Durchsetzung – überspringen Sie niemals die Phase des Überwachungsmodus.
✓Gastnetzwerke und IoT-Geräte müssen in der Architektur explizit über isolierte VLANs und MAC-Authentication-Bypass adressiert und nicht als Nebensache behandelt werden.
✓Der Business Case ist klar: geringerer betrieblicher Aufwand, Eliminierung von VPN-Reibungsverlusten, verbesserte Compliance-Position und schnellere mittlere Zeit bis zur Eindämmung von Sicherheitsvorfällen.

Executive Summary

Für Netzwerkarchitekten in Unternehmen und CTOs, die verteilte Umgebungen verwalten, hat sich der klassische Perimeter unwiderruflich aufgelöst. Das traditionelle Modell, eine Unternehmenszentrale mit robuster Network Access Control (NAC) zu sichern, während man sich für den Fernzugriff auf veraltete VPNs verlässt, ist nicht mehr tragbar. Moderne Unternehmen benötigen ein einheitliches Sicherheitskonzept, das die On-Premises-Infrastruktur nahtlos mit cloudnativen Anwendungen verbindet. Dieser Leitfaden beschreibt die architektonische Integration von NAC und Zero Trust Network Access (ZTNA) und bietet einen Entwurf zur Absicherung hybrider Arbeitsumgebungen, ohne das Benutzererlebnis oder den Netzdurchsatz zu beeinträchtigen.

Durch die Kombination der Durchsetzung des Gerätestatus auf NAC-Ebene mit der identitätszentrierten Mikrosegmentierung von ZTNA können Unternehmen eine kontinuierliche Vertrauensprüfung unabhängig vom Standort des Benutzers erreichen. Diese Konvergenz ist besonders wichtig für Branchen mit hoher Kundenfrequenz und komplexen Compliance-Anforderungen, wie z. B. Einzelhandel , Gesundheitswesen und Gastgewerbe . Darüber hinaus kann die Nutzung von Plattformen wie der Guest WiFi -Infrastruktur von Purple diese Zero-Trust-Prinzipien auf Gastnetzwerke ausweiten und so eine robuste Isolierung und einen Datenschutz gewährleisten, der den GDPR- und PCI-DSS-Verpflichtungen entspricht.

Technischer Deep-Dive: Die Konvergenz-Architektur

Die Grenzen isolierter Sicherheitsdomänen

In der Vergangenheit fungierten NAC und ZTNA als isolierte Sicherheitsdomänen. NAC, das auf IEEE 802.1X und RADIUS basiert, war hervorragend geeignet, um den physischen und drahtlosen Zugriff innerhalb des Unternehmensperimeters zu kontrollieren. Es bot eine robuste Geräteprofilierung, Statusbewertung und VLAN-Zuweisung. Umgekehrt entstand ZTNA, um den Fernzugriff auf Cloud- und On-Premises-Anwendungen zu sichern, basierend auf dem Prinzip „Niemals vertrauen, immer überprüfen“ anhand von Benutzeridentität und Kontext, anstatt des Netzwerkstandorts.

Reibungsverluste entstehen, wenn hybride Mitarbeiter zwischen diesen Domänen wechseln. Ein Benutzer, der sich zu Hause nahtlos über ZTNA authentifiziert, erlebt im Büro oft einen Medienbruch, da die NAC-Richtlinien möglicherweise nicht mit seinem ZTNA-Kontext übereinstimmen. Diese Fragmentierung führt zu Sicherheitslücken und operativem Mehraufwand, was sich direkt auf die IT-Effizienz und die Produktivität der Endbenutzer auswirkt.

Einheitliches Identitäts- und Kontext-Brokerage

Die architektonische Lösung liegt in der Einrichtung einer einheitlichen Identitäts- und Kontext-Brokerage-Ebene, die Telemetriedaten zwischen den NAC- und ZTNA-Richtlinien-Engines synchronisiert. Diese Integration ermöglicht eine kontinuierliche Statusbewertung, die über Netzwerkgrenzen hinweg bestehen bleibt.

Die Integration erfolgt über drei zentrale Mechanismen. Erstens, Kontinuierliche Statusbewertung (Continuous Posture Assessment): Wenn sich ein Gerät mit dem Unternehmensnetzwerk verbindet, führt die NAC-Lösung eine umfassende Statusprüfung durch, die die OS-Version, den AV-Status und die Zertifikatsvalidierung abdeckt. Dieser Kontext wird über eine API-Integration sofort mit dem ZTNA-Broker geteilt. Zweitens, Dynamische Richtliniendurchsetzung: Wenn sich der Status des Geräts verschlechtert – beispielsweise wenn Malware erkannt wird –, isoliert das NAC-System das Gerät im lokalen Netzwerk und weist gleichzeitig den ZTNA-Broker an, den Zugriff auf kritische Cloud-Anwendungen zu entziehen. Drittens, Nahtloser Übergang: Wenn der Benutzer vom Büro an einen Remote-Standort wechselt, behält der ZTNA-Client den etablierten Vertrauenskontext bei, wodurch eine erneute Authentifizierung überflüssig wird und ein ununterbrochener Zugriff auf autorisierte Ressourcen gewährleistet ist.

Für ein tieferes Verständnis der zugrunde liegenden Wireless-Technologien, die diese Bereitstellungen unterstützen, lesen Sie unseren Leitfaden zu Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 .

Implementierungsleitfaden: Schritt-für-Schritt-Bereitstellung

Die Bereitstellung einer konvergenten NAC/ZTNA-Architektur erfordert einen phasenweisen Ansatz, um Störungen zu minimieren und eine robuste Richtliniendurchsetzung zu gewährleisten.

Phase 1: Identitäts- und Asset-Erfassung

Vor der Implementierung von Durchsetzungsrichtlinien müssen Sie vollständige Transparenz über Ihre Netzwerkumgebung erlangen. Stellen Sie Ihre NAC-Lösung im reinen Überwachungsmodus bereit – konfigurieren Sie sie so, dass sie alle verbundenen Geräte, einschließlich Unternehmens-Laptops, BYOD, IoT und Gastgeräte, erkennt und profiliert, ohne den Zugriff zu blockieren. Konsolidieren Sie Benutzeridentitäten, indem Sie sowohl die NAC- als auch die ZTNA-Lösung in einen zentralen Identity Provider wie Azure AD oder Okta integrieren. Dies gewährleistet konsistente Authentifizierungsrichtlinien über beide Domänen hinweg. Nutzen Sie gleichzeitig Ihre ZTNA-Lösung, um Anwendungszugriffsmuster zu überwachen, um festzustellen, welche Benutzer Zugriff auf bestimmte Anwendungen benötigen, und um die Grundlage für Ihre Mikrosegmentierungsrichtlinien zu schaffen.

Phase 2: Richtliniendefinition und Mikrosegmentierung

Gehen Sie von der reinen Sichtbarkeit zur Kontrolle über, indem Sie granulare Zugriffsrichtlinien basierend auf dem Prinzip der minimalen Rechtevergabe (Least Privilege) definieren. Legen Sie grundlegende Sicherheitsanforderungen für Unternehmensgeräte fest, einschließlich der minimalen OS-Version und Anforderungen an aktive EDR-Agenten, und konfigurieren Sie die NAC-Lösung so, dass diese Anforderungen für den Zugriff vor Ort erzwungen werden. Definieren Sie ZTNA-Richtlinien, die den Zugriff auf Anwendungen basierend auf der Benutzerrolle und dem Gerätekontext einschränken, um die Abstimmung mit den in der NAC-Lösung definierten Posture-Anforderungen sicherzustellen. Konfigurieren Sie vor allem die API-Integration zwischen Ihren NAC- und ZTNA-Plattformen, um einen bidirektionalen Kontextaustausch zu ermöglichen. So wird sichergestellt, dass eine von der NAC erkannte Änderung des Geräte-Postures sofort ein Richtlinien-Update im ZTNA-Broker auslöst.

Phase 3: Durchsetzung und Optimierung

Aktivieren Sie schrittweise den Durchsetzungsmodus, überwachen Sie Anomalien und verfeinern Sie die Richtlinien nach Bedarf. Überführen Sie die NAC-Lösung vom Überwachungsmodus in den Durchsetzungsmodus, beginnend mit einer Pilotgruppe von Benutzern oder Standorten, und überwachen Sie Authentifizierungsfehler. Rollen Sie den ZTNA-Client auf allen Unternehmens-Endpunkten aus, um einen nahtlosen Zugriff auf Cloud- und On-Premises-Anwendungen zu gewährleisten. Erweitern Sie robuste Richtlinien für den Gastzugriff mithilfe von Plattformen wie dem Guest WiFi von Purple, um sicherzustellen, dass der Gast-Traffic strikt von den Unternehmensressourcen isoliert ist. Nutzen Sie WiFi Analytics , um Nutzungsmuster zu überwachen und potenzielle Anomalien im gesamten Gästenetzwerk zu erkennen.

Best Practices für Enterprise-Umgebungen

Priorisieren Sie die Benutzererfahrung während des gesamten Deployments. Sicherheit darf die Produktivität nicht beeinträchtigen, und der Übergang zwischen On-Premises- und Remote-Zugriff muss für den Benutzer transparent sein, indem Single Sign-On und kontinuierliche Authentifizierungsmechanismen genutzt werden. Schreiben Sie für den Zugriff vor Ort die IEEE 802.1X-Authentifizierung für alle Unternehmensgeräte vor, da dies eine robuste kryptografische Validierung der Geräteidentität auf Port-Ebene bietet.

Integrieren Sie KI-gestützte Funktionen zur Bedrohungserkennung in Ihre NAC- und ZTNA-Lösungen, um anormales Verhalten zu identifizieren und kompromittierte Geräte automatisch unter Quarantäne zu stellen. Für eine zukunftsweisende Perspektive auf diese Funktion siehe The Future of Wi-Fi Security: AI-Driven NAC and Threat Detection und das spanischsprachige Äquivalent El Futuro de la Seguridad Wi-Fi: NAC Impulsado por IA y Detección de Amenazas . Für verteilte Unternehmen kann die Integration von ZTNA mit SD-WAN das Anwendungs-Routing optimieren und die Leistung an mehreren Standorten verbessern – lesen Sie dazu unseren Vergleich unter SD WAN vs MPLS: The 2026 Enterprise Network Guide .

Fehlerbehebung & Risikominderung

Verzögerungen bei der Kontext-Synchronisation stellen das kritischste Fehlerszenario dar. Wenn die API-Integration zwischen NAC und ZTNA Latenzen aufweist, behält ein kompromittiertes Gerät möglicherweise länger als akzeptabel Zugriff auf Cloud-Anwendungen. Die Lösung besteht darin, Webhook-basierte Push-Benachrichtigungen zu implementieren, anstatt sich ausschließlich auf Polling-Mechanismen zu verlassen, um Richtlinien-Updates in nahezu Echtzeit zu gewährleisten.

Übermäßig restriktive Richtlinien können zu einem erheblichen Anstieg von Helpdesk-Tickets führen, wenn strenge Statusprüfungen ohne angemessene Benutzerkommunikation eingeführt werden. Nutzen Sie Captive Portals, um Benutzer über die Nichteinhaltung von Richtlinien zu informieren und Anweisungen zur Selbsthilfe bereitzustellen, bevor der Zugriff vollständig gesperrt wird.

Fehlgeschlagene Authentifizierungen von IoT-Geräten sind in Veranstaltungsort-Umgebungen unvermeidlich. Headless-IoT-Geräte können weder 802.1X noch ZTNA-Clients unterstützen. Die Lösung ist ein MAC Authentication Bypass (MAB) in Kombination mit einer präzisen Geräteprofilierung und einer strengen VLAN-Segmentierung, um den IoT-Datenverkehr von Unternehmensressourcen zu isolieren.

Die Überwachung des Zustands der API-Integration wird häufig übersehen. Wenn die Synchronisation zwischen NAC und ZTNA unterbrochen wird, entsteht eine Sicherheitslücke, die keines der beiden Systeme unabhängig voneinander schließen kann. Implementieren Sie eine dedizierte Überwachung und Alarmierung für den Zustand der Integration und definieren Sie ausfallsichere Richtlinien, die automatische Zugriffsbeschränkungen auslösen, wenn die Synchronisation länger als ein definierter Schwellenwert unterbrochen ist.

ROI & geschäftliche Auswirkungen

Die Konvergenz von NAC und ZTNA liefert einen messbaren geschäftlichen Mehrwert, der über die Risikominderung hinausgeht. Die Konsolidierung des Richtlinienmanagements entlastet die IT-Teams und ermöglicht es ihnen, sich auf strategische Initiativen zu konzentrieren, anstatt isolierte Sicherheitssysteme zu verwalten. Die Abschaffung veralteter VPNs verbessert das hybride Arbeitserlebnis erheblich, verringert Ausfallzeiten sowie Frustrationen und steigert gleichzeitig die Anwendungsleistung für Remote-Benutzer.

Die Fähigkeit, kontinuierliche Statusprüfungen und identitätsbasierte Zugriffskontrollen nachzuweisen, vereinfacht die Compliance-Berichterstattung für Frameworks wie PCI DSS und GDPR. Dies ist besonders relevant in Transport- und Einzelhandelsumgebungen, in denen strenge Verpflichtungen zum Schutz von Karteninhaberdaten und personenbezogenen Daten bestehen. Unternehmen, die konvergente Architekturen implementiert haben, berichten durchgehend von einer Verkürzung der mittleren Zeit bis zur Eindämmung (MTTC) von Sicherheitsvorfällen, da die bidirektionale Durchsetzung von Richtlinien eine automatisierte Quarantäne ohne manuelles Eingreifen ermöglicht.

Schlüsseldefinitionen

Network Access Control (NAC)

Eine Sicherheitslösung, die Richtlinien für Geräte durchsetzt, die Zugriff auf eine Netzwerkinfrastruktur anfordern. Sie nutzt in der Regel IEEE 802.1X für die Authentifizierung und die Zustandsbewertung (Posture Assessment), um die VLAN-Zuweisung und die Zugriffsrechte zu bestimmen.

Entscheidend für die Absicherung von On-Premises-Umgebungen, um sicherzustellen, dass sich nur konforme und autorisierte Geräte mit Unternehmens-Switches und Wireless Access Points verbinden können. IT-Teams begegnen diesem Konzept bei der Verwaltung physischer Büro- und Standortnetzwerke.

Zero Trust Network Access (ZTNA)

Eine IT-Sicherheitslösung, die sicheren Remote-Zugriff auf Anwendungen und Dienste auf der Grundlage definierter Zugriffskontrollrichtlinien bietet. Sie arbeitet nach dem Prinzip der geringsten Rechte (Least Privilege) und der kontinuierlichen Identitätsprüfung anstelle des Netzwerkstandorts.

Ersetzt veraltete VPNs durch identitätsbasierte Mikrosegmentierung und gewährt Zugriff nur auf bestimmte Anwendungen statt auf das gesamte Netzwerk. Relevant bei der Absicherung von Remote-Mitarbeitern und dem Zugriff auf Cloud-Anwendungen.

Mikrosegmentierung

Die Praxis der Aufteilung eines Netzwerks in isolierte Segmente, um die Angriffsfläche zu verringern und laterale Bewegungen von Angreifern zu verhindern, angewendet auf Anwendungs- oder Workload-Ebene statt am Netzwerkperimeter.

ZTNA wendet dieses Konzept auf Anwendungsebene an, um sicherzustellen, dass ein kompromittierter Endpunkt nicht auf unbefugte Ressourcen zugreifen kann. IT-Teams begegnen diesem Konzept beim Entwurf von Zero-Trust-Architekturen.

Posture Assessment (Zustandsbewertung)

Der Prozess der Bewertung des Sicherheitsstatus eines Geräts – einschließlich OS-Version, aktivem Virenschutz, installierten Zertifikaten und Patch-Level – vor der Gewährung des Netzwerk- oder Anwendungszugriffs.

Eine Kernfunktion von NAC, die sicherstellt, dass anfällige oder kompromittierte Geräte unter Quarantäne gestellt oder bereinigt werden, bevor sie mit dem Unternehmensnetzwerk interagieren können. Relevant beim Onboarding von Geräten und der kontinuierlichen Überwachung.

IEEE 802.1X

Ein IEEE-Standard für portbasierte Network Access Control, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten, unter Verwendung von EAP (Extensible Authentication Protocol) über das Netzwerkmedium.

Der Goldstandard für die Netzwerkauthentifizierung in Unternehmen, der eine robuste kryptografische Validierung der Geräteidentität bietet. IT-Teams begegnen diesem Standard bei der Konfiguration von Switches, Wireless-Controllern und RADIUS-Servern.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentralisierte AAA-Verwaltung (Authentication, Authorisation, and Accounting) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen. Es fungiert als Kommunikationsschicht zwischen NAC und Identity Providern.

Das Backend-Protokoll, das von NAC-Lösungen verwendet wird, um mit Identity Providern zu kommunizieren und Zugriffsrichtlinien durchzusetzen. Relevant bei der Integration von NAC mit Active Directory oder Cloud-IdPs.

MAC Authentication Bypass (MAB)

Eine Fallback-Authentifizierungsmethode, die von NAC-Lösungen für Geräte verwendet wird, die 802.1X nicht unterstützen. Sie basiert auf der MAC-Adresse des Geräts als Identifikator, um Netzwerkzugriffsrichtlinien zuzuweisen.

Erforderlich für die Integration von Headless-Geräten – wie Druckern, IoT-Sensoren, Digital Signage – in Unternehmensumgebungen. Weniger sicher als 802.1X und erfordert eine strikte VLAN-Segmentierung, um die Risiken von MAC-Spoofing zu minimieren.

Identity Provider (IdP)

Eine Systeminstanz, die Identitätsinformationen für Prinzipale erstellt, pflegt und verwaltet und gleichzeitig Authentifizierungsdienste für vertrauende Anwendungen innerhalb einer Föderation oder eines verteilten Netzwerks bereitstellt.

Die zentrale Single Source of Truth für Benutzeridentitäten, die sowohl in NAC als auch in ZTNA integriert wird, um konsistente Authentifizierungsrichtlinien zu gewährleisten. IT-Teams begegnen diesem Konzept bei der Konfiguration von SSO und MFA in Unternehmenssystemen.

VLAN (Virtual Local Area Network)

Eine logische Unterteilung eines physischen Netzwerks, die Geräte in isolierte Broadcast-Domänen gruppiert und so eine Datenverkehrsegmentierung ohne separate physische Infrastruktur ermöglicht.

Der primäre Mechanismus zur Isolierung verschiedener Geräteklassen – wie Unternehmen, Gäste, IoT – innerhalb eines gemeinsam genutzten physischen Netzwerks. Entscheidend für die Einhaltung der PCI-DSS-Anforderungen zur Isolierung von Karteninhaber-Datenumgebungen.

Ausgearbeitete Beispiele

Eine globale Einzelhandelskette mit 500 Standorten muss den sicheren Zugriff für Regionalleiter gewährleisten, die häufig zwischen Filialen, der Unternehmenszentrale und dem Homeoffice reisen. Derzeit kommt es bei ihnen zu häufigen VPN-Verbindungsabbrüchen und inkonsistentem Zugriff auf in der Cloud gehostete Bestandsverwaltungsanwendungen.

Implementieren Sie eine konvergierte NAC/ZTNA-Architektur an allen Standorten. Stellen Sie 802.1X über NAC bereit, um einen nahtlosen, sicheren Zugriff zu ermöglichen, wenn sich die Manager physisch in der Filiale oder in der Zentrale befinden, und authentifizieren Sie sie an einem zentralen RADIUS-Server, der in Azure AD integriert ist. Installieren Sie einen ZTNA-Client auf allen Firmen-Laptops. Integrieren Sie die NAC- und ZTNA-Richtlinien-Engines über eine API und konfigurieren Sie Webhook-Benachrichtigungen für sofortige Statusaktualisierungen. Wenn sich ein Manager mit dem Filialnetzwerk verbindet, authentifiziert die NAC das Gerät und teilt den Kontext „vertrauenswürdig intern“ mit dem ZTNA-Broker. Der ZTNA-Broker gewährt dann direkten, optimierten Zugriff auf die in der Cloud gehostete Bestandsanwendung, ohne dass ein VPN-Tunnel erforderlich ist, was die Latenz verringert und Verbindungsprobleme beseitigt. Wenn der Manager von zu Hause aus arbeitet, baut der ZTNA-Client einen sicheren Mikrotunnel zur Anwendung auf und behält dieselben Zugriffsrichtlinien bei, ohne auf den Perimeter des Unternehmensnetzwerks angewiesen zu sein. Gäste- und IoT-Geräte in der Filiale werden auf separaten VLANs isoliert, die über die Guest WiFi-Plattform von Purple verwaltet werden.

Kommentar des Prüfers: Dieser Ansatz löst die mit veralteten VPNs verbundenen Probleme bei der Benutzererfahrung, indem er einen nahtlosen, kontextabhängigen Zugriff unabhängig vom Standort bietet. Die API-Integration stellt sicher, dass der Sicherheitsstatus kontinuierlich bewertet wird, wodurch das Risiko minimiert wird, dass ein kompromittiertes Gerät auf kritische Anwendungen zugreift. Die wichtigste architektonische Entscheidung ist das „Local Edge“-Routing – im Unternehmensnetzwerk sollte der ZTNA-Datenverkehr an einen lokalen Broker geleitet werden, anstatt über einen Cloud-Broker geleitet zu werden (Hairpinning), was die Latenzvorteile zunichte machen würde.

Ein großes Konferenzzentrum muss sicheres WiFi für Unternehmensmitarbeiter bereitstellen und gleichzeitig Tausende von täglichen Gästeverbindungen und IoT-Geräte von Drittanbietern wie digitale Beschilderung, BLE-Beacons und Umgebungssensoren isolieren.

Implementieren Sie eine robuste NAC-Lösung, die mit einer strengen VLAN-Segmentierung über drei verschiedene Ebenen konfiguriert ist. Ebene eins: Geräte von Unternehmensmitarbeitern authentifizieren sich über 802.1X und werden einem sicheren internen VLAN mit vollem Zugriff auf interne Verwaltungssysteme zugewiesen. Ebene zwei: Implementieren Sie die Guest WiFi-Plattform von Purple, um den öffentlichen Zugriff zu verwalten, wertvolle Analysen zu erfassen und gleichzeitig eine vollständige Isolierung vom Unternehmensnetzwerk über ein dediziertes Gäste-VLAN mit reinem Internetzugang zu gewährleisten. Ebene drei: Verwenden Sie für IoT-Geräte von Drittanbietern den MAC Authentication Bypass (MAB) in Kombination mit einem detaillierten Geräte-Profiling – Analyse von DHCP-Fingerabdrücken, HTTP-User-Agents und Datenverkehrsmustern –, um Gerätetypen genau zu identifizieren und sie eingeschränkten VLANs mit reinem Internetzugang zuzuweisen. Integrieren Sie ZTNA für Unternehmensmitarbeiter, um von jedem Ort innerhalb des Veranstaltungsorts oder aus der Ferne sicher auf interne Verwaltungsanwendungen zuzugreifen. Informationen zur BLE-Beacon-Infrastruktur finden Sie im Leitfaden BLE Low Energy Explained for Enterprise für Integrationsaspekte.

Kommentar des Prüfers: Dieses Szenario verdeutlicht die Notwendigkeit, verschiedene Gerätetypen innerhalb einer einzigen physischen Umgebung zu verwalten. Das dreistufige Segmentierungsmodell ist der richtige Ansatz – der Versuch, alle Gerätetypen innerhalb eines einzigen Richtlinien-Frameworks zu verwalten, führt unweigerlich zu entweder zu laxen oder zu restriktiven Richtlinien. Die Nutzung der Guest WiFi-Plattform von Purple für die Gästeebene ist hier besonders relevant, da sie sowohl die für die Sicherheit erforderliche Isolierung als auch die für den Betrieb des Veranstaltungsorts erforderlichen Analysefunktionen bietet.

Übungsfragen

Q1. Ihre Organisation führt ZTNA ein, um ein veraltetes VPN zu ersetzen. Benutzer, die in das Unternehmensbüro zurückkehren, stellen jedoch Latenzen beim Zugriff auf Anwendungen fest, die lokal im On-Premises-Rechenzentrum gehostet werden, da der ZTNA-Traffic über einen in der Cloud gehosteten Broker geleitet wird. Was ist die empfohlene architektonische Lösung?

Hinweis: Berücksichtigen Sie, wie der ZTNA-Client den optimalen Pfad zur Anwendung basierend auf dem physischen Netzwerkkontext des Benutzers bestimmt.

Musterlösung anzeigen

Implementieren Sie einen Local Edge oder On-Premises ZTNA Broker im Rechenzentrum des Unternehmens. Konfigurieren Sie den ZTNA-Client so, dass er erkennt, wenn das Gerät über NAC im internen Unternehmensnetzwerk authentifiziert ist, und leiten Sie den Traffic direkt über den internen Broker zur lokalen Anwendung, anstatt ihn über den in der Cloud gehosteten Broker umzuleiten (Hairpinning). Dies reduziert die Latenz für On-Premises-Anwendungen, während dieselben identitätsbasierten Zugriffskontrollen beibehalten werden. Die gemeinsame Nutzung des NAC-Kontexts über API sollte dem ZTNA-Broker signalisieren, dass sich das Gerät in einem vertrauenswürdigen internen Netzwerk befindet, was die lokale Routing-Entscheidung ermöglicht.

Q2. Ein IT-Team im Krankenhaus muss Hunderte von vernetzten medizinischen Geräten sichern – Infusionspumpen, Patientenmonitore, Bildgebungsgeräte –, auf denen keine 802.1X-Supplicants oder ZTNA-Clients ausgeführt werden können. Wie sollten diese Geräte in einer konvergierten NAC/ZTNA-Architektur gesichert werden?

Hinweis: Berücksichtigen Sie Fallback-Authentifizierungsmethoden und das Prinzip der Isolierung auf Netzwerkebene für Geräte, die nicht an identitätsbasierten Kontrollen teilnehmen können.

Musterlösung anzeigen

Nutzen Sie MAC Authentication Bypass (MAB) auf der NAC-Lösung, kombiniert mit tiefgehendem Geräte-Profiling unter Verwendung von DHCP-Fingerprints, HTTP-User-Agents und Traffic-Verhaltensanalysen, um jeden medizinischen Gerätetyp genau zu identifizieren und zu klassifizieren. Nach der Identifizierung weist das NAC diese Geräte dynamisch stark eingeschränkten, isolierten VLANs zu, die nur die Kommunikation mit bestimmten, erforderlichen medizinischen Servern und Systemen zulassen – und blockiert standardmäßig allen anderen Traffic. ZTNA ist auf diese Geräte nicht anwendbar; die Sicherheit beruht vollständig auf einer strengen Netzwerksegmentierung und einer kontinuierlichen Traffic-Überwachung auf anormales Verhalten. Stellen Sie sicher, dass die VLANs der medizinischen Geräte vollständig von der Karteninhaber-Datenumgebung isoliert sind, um die PCI DSS-Compliance aufrechtzuerhalten.

Q3. Während eines Produktions-Deployments schlägt die API-Integration zwischen Ihren NAC- und ZTNA-Lösungen unbemerkt fehl – es werden keine Warnmeldungen ausgelöst. Der Laptop eines Benutzers im Unternehmensnetzwerk wird in der Folge mit Malware infiziert. Beschreiben Sie das erwartete Sicherheitsergebnis und identifizieren Sie die Sicherheitslücke in der Architektur, die dies ermöglicht hat.

Hinweis: Analysieren Sie die Auswirkungen einer fehlerhaften Kontextsynchronisierung auf jede Policy-Engine unabhängig voneinander und überlegen Sie, welche Überwachung hätte eingerichtet sein müssen.

Musterlösung anzeigen

Die NAC-Lösung wird den verschlechterten Sicherheitsstatus über die EDR-Integration erkennen und das Gerät im lokalen Netzwerk unter Quarantäne stellen, um eine laterale Bewegung innerhalb der Unternehmensumgebung zu verhindern. Da die API-Integration jedoch unbemerkt fehlgeschlagen ist, hat der ZTNA-Broker den aktualisierten Statuskontext nicht erhalten. Wenn der Benutzer versucht, auf eine Cloud-Anwendung zuzugreifen, kann der ZTNA-Client möglicherweise immer noch eine Verbindung herstellen, sofern das ursprüngliche Identitäts-Authentifizierungstoken noch gültig und nicht abgelaufen ist. Die architektonische Lücke ist zweifach: Erstens das Fehlen einer Zustandsüberwachung der API-Integration selbst; zweitens das Fehlen einer ausfallsicheren Richtlinie, die automatische Zugriffsbeschränkungen auslöst, wenn die Kontextsynchronisierung über einen definierten Schwellenwert hinaus verloren geht. Die Behebung besteht darin, eine dedizierte Überwachung mit Alarmierung für den Integrationszustand zu implementieren, den ZTNA-Broker so zu konfigurieren, dass er eine regelmäßige erneute Validierung des Sicherheitsstatus erfordert (nicht nur die anfängliche Authentifizierung), und eine Default-Deny-Richtlinie zu definieren, die aktiviert wird, wenn der NAC-Kontext-Feed länger als ein bestimmtes Intervall nicht verfügbar ist.

Weiterlesen in dieser Reihe

Hotel Guest WiFi Management: Integration von PMS, Portalen und Markenstandards

Dieser technische Leitfaden beschreibt detailliert die Architektur von WiFi-Netzwerken der Enterprise-Klasse für Hotels, mit Schwerpunkt auf VLAN-Segmentierung, PMS-Integration für automatisiertes Sitzungsmanagement und Captive Portal-Optimierung für die GDPR-konforme Datenerfassung.

How to Set Up Guest WiFi: A Secure Enterprise Configuration Guide

Dieser maßgebliche Leitfaden bietet IT-Leitern und Netzwerkarchitekten eine definitive Vorlage für die Bereitstellung von sicherem Enterprise-Guest-WiFi. Er behandelt die wesentliche Architektur, die WPA3-Migration, VLAN-Segmentierung und die Integration von Captive Portals, um interne Systeme zu schützen und gleichzeitig DSGVO-konforme First-Party-Daten zu erfassen.

Verwalten der Bandbreite für Staff WiFi: Shaping, QoS und Verkehrsreduzierung

Dieser Leitfaden beschreibt praktische Methoden zur Verwaltung der Bandbreite für Staff WiFi in großen Unternehmen. Er behandelt Traffic Shaping, QoS-Implementierung und wie der Einsatz von Purple Shield die Netzwerklast reduziert, ohne dass Infrastruktur-Upgrades erforderlich sind.