Securing Hybrid Work: Seamless Access के लिए ZTNA के साथ NAC का संयोजन
यह आधिकारिक तकनीकी गाइड कॉर्पोरेट, रिटेल, हॉस्पिटैलिटी और पब्लिक-सेक्टर स्थानों पर हाइब्रिड वर्क वातावरण को सुरक्षित करने के लिए Network Access Control (NAC) और Zero Trust Network Access (ZTNA) के आर्किटेक्चरल कन्वर्जेंस को कवर करती है। यह उन IT आर्किटेक्ट्स और CTOs के लिए एक चरणबद्ध परिनियोजन ब्लूप्रिंट, वास्तविक दुनिया के केस स्टडीज और अनुपालन मार्गदर्शन प्रदान करती है, जिन्हें अलग-थलग ऑन-प्रिमाइसेस और क्लाउड एक्सेस डोमेन द्वारा बनाए गए सुरक्षा अंतरालों को समाप्त करने की आवश्यकता है।
इस गाइड को सुनें
पॉडकास्ट ट्रांसक्रिप्ट देखें
- कार्यकारी सारांश (Executive Summary)
- तकनीकी गहन विश्लेषण: अभिसरित आर्किटेक्चर (Converged Architecture)
- पृथक सुरक्षा डोमेन की सीमाएं
- एकीकृत पहचान और संदर्भ ब्रोकर (Unified Identity and Context Broker)
- कार्यान्वयन मार्गदर्शिका: चरणबद्ध डिप्लॉयमेंट
- चरण 1: पहचान और संपत्ति की खोज
- चरण 2: नीति परिभाषा और माइक्रो-सेगमेंटेशन
- चरण 3: प्रवर्तन और अनुकूलन (Enforcement and Optimisation)
- एंटरप्राइज वातावरण के लिए सर्वोत्तम अभ्यास
- समस्या निवारण और जोखिम न्यूनीकरण
- ROI और व्यावसायिक प्रभाव

कार्यकारी सारांश (Executive Summary)
वितरित वातावरण का प्रबंधन करने वाले एंटरप्राइज नेटवर्क आर्किटेक्ट और CTOs के लिए, नेटवर्क की कोई निश्चित सीमा (perimeter) अब मौजूद नहीं है। मजबूत Network Access Control (NAC) के साथ कॉर्पोरेट मुख्यालय की रक्षा करने और रिमोट एक्सेस के लिए पुराने VPN पर निर्भर रहने का पारंपरिक मॉडल अब व्यावहारिक नहीं है। आधुनिक उद्यमों को एक एकीकृत सुरक्षा स्थिति की आवश्यकता है जो ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर को क्लाउड-नेटिव एप्लिकेशन्स के साथ सहजता से जोड़ती है। यह गाइड NAC और Zero Trust Network Access (ZTNA) के आर्किटेक्चरल अभिसरण (convergence) का विवरण देती है, जो उपयोगकर्ता अनुभव या नेटवर्क थ्रूपुट से समझौता किए बिना हाइब्रिड वर्क वातावरण को सुरक्षित करने का एक खाका प्रदान करती है।
NAC के डिवाइस-स्तरीय पोस्चर प्रवर्तन को ZTNA के पहचान-केंद्रित माइक्रो-सेगमेंटेशन के साथ जोड़कर, उद्यम निरंतर विश्वास सत्यापन (trust verification) प्राप्त कर सकते हैं, चाहे उपयोगकर्ता कहीं भी स्थित हों। यह अभिसरण विशेष रूप से उन उद्योगों में महत्वपूर्ण है जहां ग्राहकों की संख्या अधिक है और अनुपालन आवश्यकताएं जटिल हैं, जैसे कि रिटेल , स्वास्थ्य सेवा और हॉस्पिटैलिटी । इसके अलावा, Purple के Guest WiFi इन्फ्रास्ट्रक्चर जैसे प्लेटफॉर्म का लाभ उठाने से इन ज़ीरो-ट्रस्ट सिद्धांतों को गेस्ट नेटवर्क तक विस्तारित किया जा सकता है, जिससे GDPR और PCI-DSS दायित्वों के अनुरूप मजबूत अलगाव और डेटा सुरक्षा सुनिश्चित होती है।
तकनीकी गहन विश्लेषण: अभिसरित आर्किटेक्चर (Converged Architecture)
पृथक सुरक्षा डोमेन की सीमाएं
ऐतिहासिक रूप से, NAC और ZTNA ने पृथक सुरक्षा डोमेन के रूप में काम किया है। NAC, IEEE 802.1X और RADIUS का लाभ उठाते हुए, कॉर्पोरेट सीमा के भीतर भौतिक और वायरलेस एक्सेस को नियंत्रित करने में उत्कृष्ट है। यह मजबूत डिवाइस प्रोफाइलिंग, पोस्चर मूल्यांकन और VLAN असाइनमेंट प्रदान करता है। इसके विपरीत, ZTNA क्लाउड और ऑन-प्रिमाइसेस एप्लिकेशन्स तक रिमोट एक्सेस को सुरक्षित करने के लिए उभरा है, जो नेटवर्क स्थान के बजाय उपयोगकर्ता पहचान और संदर्भ के आधार पर "कभी भरोसा न करें, हमेशा सत्यापित करें" के सिद्धांत पर काम करता है।
घर्षण तब उत्पन्न होता है जब हाइब्रिड कर्मचारी इन डोमेन के बीच आते-जाते हैं। एक उपयोगकर्ता रोजाना ZTNA के माध्यम से घर पर सहजता से प्रमाणित होता है, लेकिन कॉर्पोरेट कार्यालय में प्रवेश करने पर अक्सर उसे एक असंबद्ध अनुभव का सामना करना पड़ता है, क्योंकि स्थानीय NAC नीतियां उनके ZTNA संदर्भ के साथ संरेखित नहीं हो सकती हैं। यह विखंडन सुरक्षा कमियों और परिचालन ओवरहेड को जन्म देता है, जो सीधे IT दक्षता और अंतिम-उपयोगकर्ता उत्पादकता को प्रभावित करता है।
एकीकृत पहचान और संदर्भ ब्रोकर (Unified Identity and Context Broker)
आर्किटेक्चरल समाधान एक एकीकृत पहचान और संदर्भ ब्रोकरेज परत स्थापित करने में निहित है जो NAC और ZTNA नीति इंजनों के बीच टेलीमेट्री को सिंक्रोनाइज़ करता है। यह एकीकरण निरंतर पोस्चर मूल्यांकन की अनुमति देता है जो नेटवर्क सीमाओं के पार भी बना रहता है।

यह एकीकरण तीन प्रमुख तंत्रों के माध्यम से काम करता है। पहला, निरंतर स्थिति मूल्यांकन: जब कोई डिवाइस कॉर्पोरेट नेटवर्क से जुड़ता है, तो NAC समाधान OS संस्करण, एंटीवायरस स्थिति और प्रमाणपत्र सत्यापन को कवर करते हुए एक व्यापक स्थिति जांच करता है। यह संदर्भ API एकीकरण के माध्यम से ZTNA ब्रोकर के साथ तुरंत साझा किया जाता है। दूसरा, डायनेमिक नीति प्रवर्तन: यदि किसी डिवाइस की सुरक्षा स्थिति खराब हो जाती है (उदाहरण के लिए, मैलवेयर का पता चलता है), तो NAC सिस्टम स्थानीय नेटवर्क पर डिवाइस को क्वारंटीन कर देता है और साथ ही ZTNA ब्रोकर को महत्वपूर्ण क्लाउड अनुप्रयोगों तक पहुंच रद्द करने का निर्देश देता है। तीसरा, निर्बाध परिवर्तन: जैसे ही उपयोगकर्ता कार्यालय से किसी दूरस्थ स्थान पर जाता है, ZTNA क्लाइंट स्थापित ट्रस्ट संदर्भ को बनाए रखता है, जिससे पुनः प्रमाणीकरण की आवश्यकता समाप्त हो जाती है और अधिकृत संसाधनों तक निर्बाध पहुंच सुनिश्चित होती है।
इन डिप्लॉयमेंट का समर्थन करने वाली बुनियादी वायरलेस तकनीकों के बारे में गहराई से जानने के लिए, हमारी गाइड देखें: WiFi Frequencies: The 2026 Guide to WiFi Bands ।

कार्यान्वयन मार्गदर्शिका: चरणबद्ध डिप्लॉयमेंट
एक कन्वर्ज्ड NAC/ZTNA आर्किटेक्चर को डिप्लॉय करने के लिए व्यवधान को कम करने और मजबूत नीति प्रवर्तन सुनिश्चित करने के लिए चरणबद्ध दृष्टिकोण की आवश्यकता होती है।
चरण 1: पहचान और संपत्ति की खोज
प्रवर्तन नीतियों को लागू करने से पहले, आपको अपने नेटवर्क वातावरण की पूर्ण दृश्यता प्राप्त करनी होगी। अपने NAC समाधान को केवल-निगरानी मोड में डिप्लॉय करें - इसे पहुंच को अवरुद्ध किए बिना कॉर्पोरेट लैपटॉप, BYOD, IoT और अतिथि उपकरणों सहित सभी जुड़े उपकरणों को खोजने और प्रोफाइल करने के लिए कॉन्फ़िगर करें। NAC और ZTNA दोनों समाधानों को Azure AD या Okta जैसे केंद्रीय पहचान प्रदाता के साथ एकीकृत करके उपयोगकर्ता पहचान को मजबूत करें। यह दोनों डोमेन में लगातार प्रमाणीकरण नीतियां सुनिश्चित करता है। इसके समानांतर, एप्लिकेशन एक्सेस पैटर्न की निगरानी के लिए अपने ZTNA समाधान का उपयोग करें, यह पहचानें कि किन उपयोगकर्ताओं को विशिष्ट अनुप्रयोगों तक पहुंच की आवश्यकता है और आपके माइक्रो-सेगमेंटेशन नीतियों का आधार तैयार करें।
चरण 2: नीति परिभाषा और माइक्रो-सेगमेंटेशन
न्यूनतम विशेषाधिकार (least privilege) के सिद्धांत के आधार पर विस्तृत एक्सेस नीतियां निर्धारित करके विजिबिलिटी से कंट्रोल की ओर बढ़ें। कॉर्पोरेट डिवाइसेस के लिए बुनियादी सुरक्षा आवश्यकताएं स्थापित करें, जिसमें न्यूनतम OS वर्जन और एक एक्टिव EDR एजेंट की आवश्यकता शामिल हो, और लोकल एक्सेस के लिए इन्हें लागू करने के लिए NAC समाधान को कॉन्फ़िगर करें। ऐसी ZTNA नीतियां परिभाषित करें जो उपयोगकर्ता की भूमिका और डिवाइस कॉन्टेक्स्ट के आधार पर एप्लिकेशन एक्सेस को सीमित करती हैं, जिससे NAC समाधान में परिभाषित पोस्चर आवश्यकताओं के साथ तालमेल सुनिश्चित हो सके। महत्वपूर्ण रूप से, NAC और ZTNA प्लेटफॉर्म के बीच द्विदिशीय (bidirectional) कॉन्टेक्स्ट शेयरिंग को सक्षम करने के लिए API इंटीग्रेशन को कॉन्फ़िगर करें, जिससे यह सुनिश्चित हो सके कि NAC द्वारा पता लगाए गए डिवाइस पोस्चर में बदलाव तुरंत real time में ZTNA ब्रोकर में पॉलिसी अपडेट को ट्रिगर करें।
चरण 3: प्रवर्तन और अनुकूलन (Enforcement and Optimisation)
विसंगतियों की निगरानी करते हुए और आवश्यकतानुसार नीतियों में सुधार करते हुए धीरे-धीरे एनफोर्समेंट मोड को सक्षम करें। एक पायलट यूजर ग्रुप या लोकेशन से शुरुआत करते हुए, NAC समाधान को मॉनिटर मोड से एनफोर्समेंट मोड में बदलें, और ऑथेंटिकेशन विफलताओं पर नज़र रखें। सभी कॉर्पोरेट एंडपॉइंट्स पर ZTNA क्लाइंट को रोल आउट करें, जिससे क्लाउड और ऑन-प्रिमाइसेस दोनों एप्लिकेशन्स तक निर्बाध पहुंच सुनिश्चित हो सके। Purple के Guest WiFi जैसे प्लेटफॉर्म का उपयोग करके मजबूत गेस्ट एक्सेस नीतियों का विस्तार करें, जिससे यह सुनिश्चित हो सके कि गेस्ट ट्रैफ़िक कॉर्पोरेट संसाधनों से पूरी तरह से अलग रहे। उपयोग के पैटर्न की निगरानी करने और पूरे गेस्ट एस्टेट में संभावित विसंगतियों का पता लगाने के लिए WiFi Analytics का लाभ उठाएं।
एंटरप्राइज वातावरण के लिए सर्वोत्तम अभ्यास
पूरे डिप्लॉयमेंट के दौरान यूजर एक्सपीरियंस को प्राथमिकता दें। सुरक्षा से उत्पादकता में बाधा नहीं आनी चाहिए, और सिंगल साइन-ऑन और निरंतर ऑथेंटिकेशन तंत्र का लाभ उठाते हुए, ऑन-प्रिमाइसेस और रिमोट एक्सेस के बीच का बदलाव उपयोगकर्ताओं के लिए पारदर्शी होना चाहिए। ऑन-प्रिमाइसेस एक्सेस के लिए, सभी कॉर्पोरेट डिवाइसेस के लिए IEEE 802.1X ऑथेंटिकेशन को अनिवार्य करें, क्योंकि यह पोर्ट स्तर पर डिवाइस की पहचान का मजबूत क्रिप्टोग्राफिक वेरिफिकेशन प्रदान करता है।
असामान्य व्यवहार की पहचान करने और प्रभावित डिवाइसेस को स्वचालित रूप से क्वारंटाइन करने के लिए अपने NAC और ZTNA समाधानों में AI-संचालित थ्रेट डिटेक्शन क्षमताओं को एकीकृत करें। इस क्षमता पर भविष्य के दृष्टिकोण के लिए, The Future of Wi-Fi Security: AI-Driven NAC and Threat Detection और इसके स्पैनिश समकक्ष El Futuro de la Seguridad Wi-Fi: NAC Impulsado por IA y Detección de Amenazas को देखें। वितरित उद्यमों के लिए, SD-WAN के साथ ZTNA को एकीकृत करना एप्लिकेशन रूटिंग को अनुकूलित कर सकता है और कई साइटों पर प्रदर्शन में सुधार कर सकता है - SD WAN vs MPLS: The 2026 Enterprise Network Guide पर हमारी तुलना देखें।
समस्या निवारण और जोखिम न्यूनीकरण
Context synchronisation latency सबसे महत्वपूर्ण विफलता मोड का प्रतिनिधित्व करता है। यदि NAC और ZTNA के बीच API एकीकरण में देरी होती है, तो एक समझौता किया गया डिवाइस स्वीकार्य समय से अधिक समय तक क्लाउड अनुप्रयोगों तक पहुंच बनाए रख सकता है। इसका समाधान केवल पोलिंग तंत्र पर भरोसा करने के बजाय webhook-आधारित पुश नोटिफिकेशन लागू करना है, जिससे वास्तविक समय के करीब पॉलिसी अपडेट सुनिश्चित हो सकें।
अत्यधिक प्रतिबंधात्मक नीतियां हेल्प-डेस्क टिकटों की संख्या में भारी वृद्धि का कारण बन सकती हैं जब पर्याप्त उपयोगकर्ता संचार के बिना सख्त पॉस्चर जांच लागू की जाती है। उपयोगकर्ताओं को गैर-अनुपालन के बारे में सूचित करने और पहुंच को पूरी तरह से अवरुद्ध करने से पहले स्वयं-सेवा सुधार निर्देश प्रदान करने के लिए एक Captive Portal का उपयोग करें।
IoT डिवाइस प्रमाणीकरण विफलताएं वेन्यू वातावरण में अपरिहार्य हैं। बिना स्क्रीन वाले IoT डिवाइस 802.1X या ZTNA क्लाइंट का समर्थन नहीं कर सकते हैं। इसका समाधान कॉर्पोरेट संसाधनों से IoT ट्रैफ़िक को अलग करने के लिए सख्त डिवाइस प्रोफाइलिंग और कठोर VLAN सेगमेंटेशन के साथ संयुक्त MAC Authentication Bypass (MAB) को अपनाना है।
API एकीकरण स्वास्थ्य निगरानी की अक्सर अनदेखी की जाती है। यदि NAC और ZTNA के बीच सिंक्रोनाइजेशन टूट जाता है, तो एक सुरक्षा अंतर पैदा हो जाता है जिसे कोई भी सिस्टम स्वतंत्र रूप से हल नहीं कर सकता है। एकीकरण स्वास्थ्य के लिए समर्पित निगरानी और अलर्ट लागू करें, और ऐसी फ़ेल-सेफ़ नीतियां परिभाषित करें जो एक निश्चित सीमा से अधिक सिंक्रोनाइजेशन खो जाने पर स्वचालित पहुंच प्रतिबंधों को सक्रिय करती हैं।
ROI और व्यावसायिक प्रभाव
NAC और ZTNA का अभिसरण जोखिम शमन से परे मापने योग्य व्यावसायिक मूल्य प्रदान करता है। एकीकृत नीति प्रबंधन IT टीमों पर प्रशासनिक बोझ को कम करता है, जिससे वे खंडित सुरक्षा सिलोस के प्रबंधन के बजाय रणनीतिक पहलों पर ध्यान केंद्रित कर सकते हैं। लीगेसी VPNs को समाप्त करने से हाइब्रिड कार्य अनुभव में महत्वपूर्ण सुधार होता है, डाउनटाइम और निराशा कम होती है जबकि दूरस्थ उपयोगकर्ताओं के लिए एप्लिकेशन प्रदर्शन में सुधार होता है।
निरंतर पॉस्चर मूल्यांकन और पहचान-आधारित पहुंच नियंत्रण प्रदर्शित करने की क्षमता PCI-DSS और GDPR जैसे फ्रेमवर्क के लिए अनुपालन रिपोर्टिंग को सरल बनाती है, जो परिवहन और खुदरा वातावरण में विशेष रूप से महत्वपूर्ण है जहां कार्डधारक डेटा और व्यक्तिगत डेटा सुरक्षा दायित्व कड़े हैं। वे संगठन जिन्होंने एक अभिसरण आर्किटेक्चर तैनात किया है, लगातार सुरक्षा घटनाओं को रोकने के औसत समय (MTTC) में कमी की रिपोर्ट करते हैं, क्योंकि द्विदिश नीति प्रवर्तन मैन्युअल हस्तक्षेप के बिना स्वचालित क्वारंटाइनिंग को सक्षम बनाता है।
मुख्य परिभाषाएं
नेटवर्क एक्सेस कंट्रोल (NAC)
एक सुरक्षा समाधान जो नेटवर्क इन्फ्रास्ट्रक्चर तक पहुंच चाहने वाले उपकरणों पर पॉलिसी लागू करता है, आमतौर पर प्रमाणीकरण और VLAN असाइनमेंट व एक्सेस अधिकारों को निर्धारित करने के लिए आसन मूल्यांकन (posture assessment) के लिए IEEE 802.1X का उपयोग करता है।
ऑन-प्रिमाइसेस वातावरण को सुरक्षित रखने के लिए महत्वपूर्ण, यह सुनिश्चित करता है कि केवल अनुपालन करने वाले और अधिकृत उपकरण ही कॉर्पोरेट स्विच और वायरलेस एक्सेस पॉइंट्स से जुड़ सकें। IT टीमें भौतिक कार्यालय और वेन्यू नेटवर्क का प्रबंधन करते समय इसका सामना करती हैं।
जीरो ट्रस्ट नेटवर्क एक्सेस (ZTNA)
एक IT सुरक्षा समाधान जो परिभाषित एक्सेस कंट्रोल पॉलिसियों के आधार पर अनुप्रयोगों और सेवाओं तक सुरक्षित रिमोट एक्सेस प्रदान करता है, जो नेटवर्क स्थान के बजाय न्यूनतम विशेषाधिकार और निरंतर पहचान सत्यापन के सिद्धांत पर काम करता है।
पहचान-आधारित माइक्रो-सेगमेंटेशन प्रदान करके पुराने VPNs को बदल देता है, जिससे पूरे नेटवर्क के बजाय केवल विशिष्ट अनुप्रयोगों तक पहुंच मिलती है। रिमोट कर्मचारियों और क्लाउड एप्लिकेशन एक्सेस को सुरक्षित करते समय प्रासंगिक।
माइक्रो-सेगमेंटेशन
हमले के दायरे को कम करने और थ्रेट एक्टर्स द्वारा नेटवर्क के भीतर अनधिकृत गतिविधियों को रोकने के लिए नेटवर्क को अलग-अलग हिस्सों में विभाजित करने की प्रक्रिया, जिसे नेटवर्क परिधि के बजाय एप्लिकेशन या वर्कलोड स्तर पर लागू किया जाता है।
ZTNA इस अवधारणा को एप्लिकेशन स्तर पर लागू करता है, जिससे यह सुनिश्चित होता है कि कोई समझौता किया गया एंडपॉइंट अनधिकृत संसाधनों तक पहुंचने के लिए आगे नहीं बढ़ सकता है। जीरो-ट्रस्ट आर्किटेक्चर को डिजाइन करते समय IT टीमें इसका सामना करती हैं।
पोस्चर असेसमेंट (आसन मूल्यांकन)
नेटवर्क या एप्लिकेशन एक्सेस प्रदान करने से पहले किसी डिवाइस की सुरक्षा स्थिति का मूल्यांकन करने की प्रक्रिया - जिसमें OS संस्करण, सक्रिय एंटीवायरस, इंस्टॉल किए गए सर्टिफिकेट और पैच स्तर शामिल हैं।
NAC का एक मुख्य कार्य, यह सुनिश्चित करना कि संवेदनशील या प्रभावित उपकरणों को कॉर्पोरेट नेटवर्क के साथ इंटरैक्ट करने से पहले क्वारंटीन या ठीक किया जाए। डिवाइस ऑनबोर्डिंग और निरंतर निगरानी के दौरान प्रासंगिक।
IEEE 802.1X
पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल के लिए एक IEEE मानक, जो नेटवर्क माध्यम पर EAP (एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल) का उपयोग करके LAN या WLAN से जुड़ने के इच्छुक उपकरणों को एक प्रमाणीकरण तंत्र प्रदान करता है।
एंटरप्राइज नेटवर्क प्रमाणीकरण के लिए स्वर्ण मानक, जो डिवाइस की पहचान का मजबूत क्रिप्टोग्राफिक सत्यापन प्रदान करता है। IT टीमें स्विच, वायरलेस कंट्रोलर और RADIUS सर्वर को कॉन्फ़िगर करते समय इसका सामना करती हैं।
RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस)
एक नेटवर्किंग प्रोटोकॉल जो नेटवर्क सेवा से जुड़ने और उसका उपयोग करने वाले उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखांकन (AAA) प्रबंधन प्रदान करता है, जो NAC और पहचान प्रदाताओं के बीच संचार परत के रूप में कार्य करता है।
पहचान प्रदाताओं (identity providers) के साथ संचार करने और एक्सेस पॉलिसियों को लागू करने के लिए NAC समाधानों द्वारा उपयोग किया जाने वाला बैकएंड प्रोटोकॉल। Active Directory या क्लाउड IdPs के साथ NAC को एकीकृत करते समय प्रासंगिक।
MAC ऑथेंटिकेशन बाईपास (MAB)
उन उपकरणों के लिए NAC समाधानों द्वारा उपयोग की जाने वाली एक फॉलबैक प्रमाणीकरण विधि जो 802.1X का समर्थन नहीं करते हैं, जो नेटवर्क एक्सेस पॉलिसियों को सौंपने के लिए एक पहचानकर्ता के रूप में डिवाइस के MAC पते पर निर्भर करती है।
एंटरप्राइज वातावरण में हेडलेस उपकरणों - जैसे प्रिंटर, IoT सेंसर, डिजिटल साइनेज - को समायोजित करने के लिए आवश्यक। 802.1X की तुलना में कम सुरक्षित और MAC स्पूफिंग जोखिमों को कम करने के लिए सख्त VLAN सेगमेंटेशन की आवश्यकता होती है।
आइडेंटिटी प्रोवाइडर (IdP)
एक सिस्टम इकाई जो एक संघ (federation) या वितरित नेटवर्क के भीतर भरोसा करने वाले एप्लिकेशनों को प्रमाणीकरण सेवाएं प्रदान करते हुए प्रिंसिपल के लिए पहचान की जानकारी बनाती है, बनाए रखती है और प्रबंधित करती है।
उपयोगकर्ता पहचानों के लिए सच्चाई का केंद्रीय स्रोत, जो लगातार प्रमाणीकरण नीतियों को सुनिश्चित करने के लिए NAC और ZTNA दोनों के साथ एकीकृत होता है। IT टीमें एंटरप्राइज सिस्टम में SSO और MFA को कॉन्फ़िगर करते समय इसका सामना करती हैं।
VLAN (Virtual Local Area Network)
एक भौतिक नेटवर्क का एक तार्किक उपविभाजन जो डिवाइसों को पृथक ब्रॉडकास्ट डोमेन में समूहित करता है, जिससे अलग भौतिक बुनियादी ढांचे की आवश्यकता के बिना ट्रैफ़िक विभाजन सक्षम होता है।
एक साझा भौतिक नेटवर्क के भीतर विभिन्न डिवाइस श्रेणियों - कॉर्पोरेट, गेस्ट, IoT - को अलग करने का प्राथमिक तंत्र। कार्डधारक डेटा परिवेश अलगाव के लिए PCI-DSS आवश्यकताओं के अनुपालन के लिए महत्वपूर्ण।
हल किए गए उदाहरण
500 स्थानों वाली एक वैश्विक रिटेल चेन को उन क्षेत्रीय प्रबंधकों के लिए सुरक्षित पहुंच सुनिश्चित करने की आवश्यकता है जो अक्सर स्टोरों, कॉर्पोरेट मुख्यालयों और दूरस्थ घरेलू कार्यालयों के बीच यात्रा करते हैं। वे वर्तमान में बार-बार VPN डिस्कनेक्शन और क्लाउड-होस्टेड इन्वेंट्री प्रबंधन अनुप्रयोगों तक असंगत पहुंच का अनुभव करते हैं।
सभी स्थानों पर एक कन्वर्ज्ड NAC/ZTNA आर्किटेक्चर लागू करें। जब प्रबंधक भौतिक रूप से स्टोर में या मुख्यालय पर हों, तो Microsoft Entra ID के साथ एकीकृत एक केंद्रीकृत RADIUS सर्वर के विरुद्ध प्रमाणित करते हुए, सहज और सुरक्षित पहुंच के लिए NAC के माध्यम से 802.1X तैनात करें। सभी कॉर्पोरेट लैपटॉप पर एक ZTNA क्लाइंट तैनात करें। तत्काल पोस्चर अपडेट के लिए वेबहुक नोटिफिकेशन कॉन्फ़िगर करते हुए, API के माध्यम से NAC और ZTNA पॉलिसी इंजनों को एकीकृत करें। जब कोई प्रबंधक स्टोर के नेटवर्क से कनेक्ट होता है, तो NAC डिवाइस को प्रमाणित करता है और ZTNA ब्रोकर के साथ 'विश्वसनीय आंतरिक' संदर्भ साझा करता है। ZTNA ब्रोकर तब VPN टनल की आवश्यकता के बिना क्लाउड-होस्टेड इन्वेंट्री एप्लिकेशन तक सीधी, अनुकूलित पहुंच प्रदान करता है, जिससे लेटेंसी कम होती है और डिस्कनेक्शन की समस्याएं समाप्त होती हैं। जब प्रबंधक घर से काम करता है, तो ZTNA क्लाइंट कॉर्पोरेट नेटवर्क परिधि पर भरोसा किए बिना समान एक्सेस नीतियों को बनाए रखते हुए, एप्लिकेशन के लिए एक सुरक्षित माइक्रो-टनल स्थापित करता है। स्टोर में मौजूद गेस्ट और IoT उपकरणों को Purple के Guest WiFi प्लेटफॉर्म के माध्यम से प्रबंधित अलग VLANs पर अलग किया जाता है।
एक बड़े सम्मेलन केंद्र को कॉर्पोरेट कर्मचारियों के लिए सुरक्षित WiFi प्रदान करने की आवश्यकता है, जबकि डिजिटल साइनेज, BLE बीकन और पर्यावरणीय सेंसर सहित हजारों दैनिक गेस्ट कनेक्शन और तीसरे पक्ष के विक्रेता IoT उपकरणों को अलग करना है।
तीन अलग-अलग स्तरों पर सख्त VLAN सेगमेंटेशन के साथ कॉन्फ़िगर किया गया एक मजबूत NAC समाधान तैनात करें। स्तर एक: कॉर्पोरेट कर्मचारी उपकरण 802.1X के माध्यम से प्रमाणित होते हैं और आंतरिक प्रबंधन प्रणालियों तक पूर्ण पहुंच के साथ एक सुरक्षित आंतरिक VLAN को सौंपे जाते हैं। स्तर दो: सार्वजनिक पहुंच को प्रबंधित करने के लिए Purple के Guest WiFi प्लेटफॉर्म को लागू करें, केवल-इंटरनेट पहुंच वाले एक समर्पित गेस्ट VLAN के माध्यम से कॉर्पोरेट नेटवर्क से पूर्ण अलगाव सुनिश्चित करते हुए मूल्यवान एनालिटिक्स कैप्चर करें। स्तर तीन: विक्रेता IoT उपकरणों के लिए, डिवाइस के प्रकारों की सटीक पहचान करने और उन्हें प्रतिबंधित, केवल-इंटरनेट VLANs में असाइन करने के लिए DHCP फ़िंगरप्रिंट, HTTP उपयोगकर्ता एजेंटों और ट्रैफ़िक पैटर्न का विश्लेषण करने वाले डीप डिवाइस प्रोफाइलिंग के साथ संयुक्त MAC Authentication Bypass (MAB) का उपयोग करें। कॉर्पोरेट कर्मचारियों के लिए आयोजन स्थल के भीतर किसी भी स्थान से या दूरस्थ रूप से आंतरिक प्रबंधन अनुप्रयोगों को सुरक्षित रूप से एक्सेस करने के लिए ZTNA को एकीकृत करें। BLE बीकन इन्फ्रास्ट्रक्चर के लिए, एकीकरण विचारों के लिए BLE Low Energy Explained for Enterprise पर गाइड देखें।
अभ्यास प्रश्न
Q1. आपका संगठन लीगेसी VPN को बदलने के लिए ZTNA को तैनात कर रहा है। हालांकि, कॉर्पोरेट कार्यालय में लौटने वाले उपयोगकर्ताओं को ऑन-प्रिमाइसेस डेटा सेंटर में स्थानीय रूप से होस्ट किए गए एप्लिकेशनों तक पहुँचने के दौरान विलंबता (latency) का अनुभव हो रहा है, क्योंकि ZTNA ट्रैफ़िक क्लाउड-होस्टेड ब्रोकर के माध्यम से रूट हो रहा है। इसके लिए अनुशंसित आर्किटेक्चरल समाधान क्या है?
संकेत: विचार करें कि ZTNA क्लाइंट उपयोगकर्ता के भौतिक नेटवर्क संदर्भ के आधार पर एप्लिकेशन के लिए इष्टतम पथ कैसे निर्धारित करता है।
मॉडल उत्तर देखें
कॉर्पोरेट डेटा सेंटर के भीतर एक लोकल एज या ऑन-प्रिमाइसेस ZTNA ब्रोकर लागू करें। ZTNA क्लाइंट को यह पता लगाने के लिए कॉन्फ़िगर करें कि डिवाइस कब NAC के माध्यम से आंतरिक कॉर्पोरेट नेटवर्क पर प्रमाणित होता है और ट्रैफ़िक को क्लाउड-होस्टेड ब्रोकर के माध्यम से हेयर-पिनिंग करने के बजाय आंतरिक ब्रोकर के माध्यम से सीधे स्थानीय एप्लिकेशन पर रूट करें। यह समान पहचान-आधारित एक्सेस कंट्रोल को बनाए रखते हुए ऑन-प्रिमाइसेस एप्लिकेशनों के लिए विलंबता को कम करता है। API के माध्यम से साझा किए जाने वाले NAC संदर्भ को ZTNA ब्रोकर को संकेत देना चाहिए कि डिवाइस एक विश्वसनीय आंतरिक नेटवर्क पर है, जिससे स्थानीय रूटिंग निर्णय सक्षम हो सके।
Q2. एक अस्पताल की IT टीम को सैकड़ों जुड़े हुए चिकित्सा उपकरणों - इन्फ्यूजन पंप, रोगी मॉनिटर, इमेजिंग उपकरण - को सुरक्षित करने की आवश्यकता है जो 802.1X सप्लीकेंट्स या ZTNA क्लाइंट नहीं चला सकते हैं। इन डिवाइसों को एक कनवर्ज्ड NAC/ZTNA आर्किटेक्चर के भीतर कैसे सुरक्षित किया जाना चाहिए?
संकेत: उन डिवाइसों के लिए फ़ॉलबैक प्रमाणीकरण विधियों और नेटवर्क-स्तरीय अलगाव के सिद्धांत पर विचार करें जो पहचान-आधारित नियंत्रणों में भाग नहीं ले सकते।
मॉडल उत्तर देखें
प्रत्येक चिकित्सा उपकरण प्रकार की सटीक पहचान और वर्गीकरण करने के लिए DHCP फिंगरप्रिंट, HTTP उपयोगकर्ता एजेंटों और ट्रैफ़िक व्यवहार विश्लेषण का उपयोग करके गहन डिवाइस प्रोफाइलिंग के साथ संयुक्त NAC समाधान पर MAC Authentication Bypass (MAB) का उपयोग करें। एक बार पहचान हो जाने के बाद, NAC इन डिवाइसों को गतिशील रूप से अत्यधिक प्रतिबंधित, पृथक VLANs में असाइन करता है जो केवल विशिष्ट, आवश्यक चिकित्सा सर्वर और सिस्टम के साथ संचार की अनुमति देते हैं - डिफ़ॉल्ट रूप से अन्य सभी ट्रैफ़िक को ब्लॉक करते हैं। ZTNA इन डिवाइसों पर लागू नहीं होता है; सुरक्षा पूरी तरह से सख्त नेटवर्क विभाजन और असामान्य व्यवहार के लिए निरंतर ट्रैफ़िक निगरानी पर निर्भर करती है। PCI-DSS अनुपालन बनाए रखने के लिए सुनिश्चित करें कि चिकित्सा उपकरण VLANs कार्डधारक डेटा परिवेश से पूरी तरह से अलग हैं।
Q3. प्रोडक्शन डिप्लॉयमेंट के दौरान, आपके NAC और ZTNA समाधानों के बीच API एकीकरण चुपचाप विफल हो जाता है - कोई अलर्ट ट्रिगर नहीं होता है। इसके बाद कॉर्पोरेट नेटवर्क पर एक उपयोगकर्ता का लैपटॉप मैलवेयर से संक्रमित हो जाता है। अपेक्षित सुरक्षा परिणाम का वर्णन करें और उस आर्किटेक्चरल कमी की पहचान करें जिसने इसकी अनुमति दी।
संकेत: प्रत्येक पॉलिसी इंजन पर स्वतंत्र रूप से टूटे हुए संदर्भ सिंक्रनाइज़ेशन के प्रभाव का विश्लेषण करें, और विचार करें कि कौन सी निगरानी लागू होनी चाहिए थी।
मॉडल उत्तर देखें
NAC समाधान EDR एकीकरण के माध्यम से खराब स्थिति का पता लगाएगा और कॉर्पोरेट परिवेश के भीतर लेटरल मूवमेंट को रोकते हुए स्थानीय नेटवर्क पर डिवाइस को क्वारंटाइन कर देगा। हालांकि, क्योंकि API एकीकरण चुपचाप विफल हो गया है, ZTNA ब्रोकर को अपडेट की गई स्थिति का विवरण नहीं मिला है। यदि उपयोगकर्ता किसी क्लाउड एप्लिकेशन तक पहुँचने का प्रयास करता है, तो भी ZTNA क्लाइंट कनेक्शन स्थापित कर सकता है यदि प्रारंभिक पहचान प्रमाणीकरण टोकन मान्य रहता है और समाप्त नहीं हुआ है। आर्किटेक्चरल कमी दोहरी है: पहला, API एकीकरण पर ही हेल्थ मॉनिटरिंग की अनुपस्थिति; दूसरा, एक फ़ेल-सेफ़ नीति की कमी जो एक परिभाषित सीमा से अधिक संदर्भ सिंक्रनाइज़ेशन खो जाने पर स्वचालित रूप से एक्सेस प्रतिबंधों को ट्रिगर करती है। इसका समाधान एकीकरण की हेल्थ पर अलर्ट के साथ समर्पित मॉनिटरिंग लागू करना, ZTNA ब्रोकर को समय-समय पर स्थिति के पुन: सत्यापन (न केवल प्रारंभिक प्रमाणीकरण) की आवश्यकता के लिए कॉन्फ़िगर करना, और एक डिफ़ॉल्ट-अस्वीकार नीति को परिभाषित करना है जो सक्रिय हो जाती है यदि NAC संदर्भ फ़ीड एक निर्दिष्ट अंतराल से अधिक समय के लिए अनुपलब्ध है।
इस श्रृंखला में आगे पढ़ें
Staff WiFi बनाम Guest WiFi: कॉर्पोरेट नेटवर्क सेगमेंटेशन के लिए सर्वोत्तम प्रथाएं
IT लीडर्स के लिए स्टाफ और गेस्ट WiFi नेटवर्क को विभाजित करने पर एक व्यापक तकनीकी गाइड। इसमें VLAN आर्किटेक्चर, 802.1X ऑथेंटिकेशन, फ़ायरवॉल नीतियां और सुरक्षित नेटवर्क डिज़ाइन का व्यावसायिक प्रभाव शामिल है।
अपार्टमेंट WiFi समाधान: व्यवसायों के लिए एक व्यापक गाइड
यह गाइड Build to Rent और multi-dwelling unit संपत्तियों में अपार्टमेंट WiFi समाधानों के लिए आर्किटेक्चर, परिनियोजन और व्यावसायिक मामले को कवर करती है। यह बताती है कि कैसे Identity Pre-Shared Key (iPSK) तकनीक स्मार्ट उपकरणों और IoT का समर्थन करते हुए प्रत्येक निवासी के लिए सुरक्षित, पृथक नेटवर्क बबल बनाती है। प्रॉपर्टी डेवलपर्स, मकान मालिकों और BTR ऑपरेटरों को व्यावहारिक परिनियोजन मार्गदर्शन, ROI डेटा और व्यावहारिक कार्यान्वयन परिदृश्य मिलेंगे।
Cox Business managed WiFi: व्यवसायों के लिए एक व्यापक गाइड
यह गाइड विवरण देती है कि कैसे प्रॉपर्टी डेवलपर्स और BTR ऑपरेटर Cox Business managed WiFi का उपयोग करके स्केलेबल, सुरक्षित नेटवर्क तैनात कर सकते हैं। इसमें नेटवर्क आर्किटेक्चर, वेंडर-तटस्थ हार्डवेयर परिनियोजन, और कनेक्टिविटी को एक परिचालन सिरदर्द से विश्वसनीय बुनियादी ढांचे में बदलने के व्यावसायिक प्रभाव को शामिल किया गया है।