La tua rete ha probabilmente già più identità di quante il tuo team riesca a gestire comodamente. Laptop aziendali, telefoni personali, stampanti, smart TV, terminali POS, scanner, tablet, apparecchiature mediche, dispositivi per gli ospiti, contractor, residenti, chioschi. Il problema non è solo se possono connettersi. È se ciascuno di essi debba connettersi, a cosa e a quali condizioni.
È qui che si comincia a porre una domanda molto pratica: che cos'è il controllo dell'accesso alla rete, in realtà? Non la versione delle slide dei vendor. La versione operativa.
La risposta breve è semplice. Il controllo dell'accesso alla rete (NAC) è il livello di policy che decide chi e cosa accede alla rete, applicando poi il corretto livello di accesso. Una buona implementazione NAC non si limita a controllare un nome utente per far passare il traffico. Identifica il dispositivo, verifica se soddisfa la policy e lo colloca nella parte corretta della rete, oppure non lo ammette affatto.
Questo è ancora più importante oggi, poiché le organizzazioni britanniche si trovano a gestire ambienti ad alta densità, alta velocità e ad uso misto. Il Cyber Security Breaches Survey 2024 del governo del Regno Unito ha rilevato che il 50% delle aziende britanniche ha segnalato una violazione o un attacco alla sicurezza informatica nei 12 mesi precedenti, una percentuale che sale al 74% per le grandi imprese ( dati sulle violazioni nel Regno Unito citati qui ). In questo contesto, consentire l'accesso di default alla rete a qualsiasi cosa abbia un segnale WiFi o una porta Ethernet significa cercare guai.
Il buttafuori digitale: perché ogni rete ha bisogno del controllo degli accessi
Pensa a un edificio ben gestito, con una reception, tornelli, pass per il personale, badge per i visitatori e piani riservati. L'addetto alla sicurezza non si limita a verificare se qualcuno si è presentato. Controlla l'identità, lo scopo e dove a quella persona sia consentito andare.
Il NAC fa lo stesso lavoro per la rete.
Un firewall è ancora importante, ma da solo non basta. Un firewall governa principalmente il flusso di traffico. Il NAC governa l'ammissione. Si posiziona nel punto in cui un dispositivo tenta di accedere alla rete e pone una serie di domande diverse: chi è questo, cos'è questo dispositivo, è conforme e cosa gli deve essere consentito raggiungere?
Perché il vecchio modello fallisce
Molte reti sono state costruite su un presupposto semplice. Se un dispositivo riusciva a entrare all'interno, era ampiamente considerato attendibile. Questo modello crolla nei moderni ambienti in cui l'"interno" include telefoni non gestiti, kit IoT, traffico ospiti e utenti temporanei.
Alcuni esempi comuni:
- Il laptop di un contractor si connette alla stessa rete wireless utilizzata dal personale amministrativo.
- Un dispositivo ospite atterra su una rete che non è stata segmentata in modo pulito dai servizi interni.
- Un tablet condiviso si autentica con credenziali valide, ma mancano i controlli richiesti dalla tua policy.
- Un endpoint compromesso ottiene un accesso normale e inizia a effettuare scansioni laterali.
Nessuno di questi è uno scenario insolito. Sono normali realtà operative.
Regola pratica: Se non puoi decidere l'accesso a livello di edge, finirai per cercare di risolvere problemi di attendibilità più in profondità nella rete, dove sono più difficili da contenere.
In termini britannici, questo è il motivo per cui NAC si adatta naturalmente a un approccio di accesso alla rete Zero Trust . Smetti di dare per scontato che la posizione corrisponda all'attendibilità. Essere all'interno della sede, sull'SSID o sul cavo non significa che un utente o un dispositivo debba ottenere un accesso ampio.
Cosa cambia in pratica il NAC
Il cambiamento più grande introdotto dal NAC è questo: la connessione non equivale all'attendibilità.
Invece di dare ai dispositivi un'ampia portata e affidarsi a controlli a valle per risolvere la situazione, il NAC può:
- Autenticare utenti e dispositivi prima che venga concesso l'accesso normale
- Profilare gli endpoint in modo che i dispositivi sconosciuti o non gestiti non si confondano con gli altri
- Applicare l'accesso basato sui ruoli in modo che il personale, gli ospiti e i dispositivi non condividano la stessa esperienza di rete
- Mettere in quarantena i sistemi non conformi invece di lasciarli interagire con le risorse di produzione
Questo rende il NAC un controllo in prima linea, non un livello di pulizia a posteriori. È particolarmente utile in luoghi in cui molte persone e dispositivi condividono la stessa infrastruttura fisica, ma non dovrebbero mai condividere lo stesso livello di attendibilità.
Comprendere i componenti principali del NAC
Il NAC può sembrare complesso perché diversi sistemi agiscono insieme. Un modello mentale utile è il sistema di traffico automatizzato di una città. Un sistema decide le regole, uno convalida chi è autorizzato a passare e uno controlla le barriere e i cambi di corsia sul campo.
Questi elementi sono il motore dei criteri (policy engine), il server di autenticazione e il punto di applicazione (enforcement point).
Il motore dei criteri
Questo è il decisore. Riceve input sull'utente, sul dispositivo, sulla posizione, sul tipo di connessione e sullo stato di conformità, quindi li associa a un risultato di accesso.
In parole povere, il motore dei criteri risponde a domande come:
- Si tratta di un laptop del personale, del telefono di un ospite o di una stampante?
- L'utente fa parte del gruppo corretto?
- Questo dispositivo è noto e conforme?
- Questa sessione deve ottenere l'accesso completo, l'accesso solo a Internet o l'accesso di ripristino?
Il motore delle regole è fondamentale perché il NAC non è solo un controllo di autenticazione. È un sistema di applicazione delle regole. Due persone possono presentare identità valide e ricevere comunque percorsi di rete diversi perché il motore delle regole gestisce il contesto in modo differente.
Il server di autenticazione
Questo è il verificatore di identità. In molti ambienti, ciò significa RADIUS, spesso collegato a sistemi di directory e identità.
Quando un dispositivo tenta di connettersi, il server di autenticazione verifica le credenziali o il certificato presentati e risponde con un'approvazione, un rifiuto o attributi aggiuntivi che la rete può utilizzare. Tali attributi possono includere il ruolo, l'assegnazione della VLAN o le condizioni di accesso.
Un malinteso comune tra i non specialisti è che NAC e RADIUS siano la stessa cosa. Non è così. RADIUS fa solitamente parte del flusso di lavoro. Il NAC utilizza quel flusso di lavoro, quindi vi applica sopra regole e controlli.
Un buon design NAC separa la prova d'identità dall'intento di accesso. L'autenticazione dice chi è l'utente. Il NAC decide cosa tale identità può fare su questa rete, in questa sessione.
Il punto di applicazione
La rete esegue la sua funzione di applicazione. Il punto di applicazione è solitamente lo switch, il controller wireless o l'access point che concede, limita o nega la connettività.
Se la regola stabilisce "solo internet", il punto di applicazione può indirizzare l'endpoint in una VLAN guest o in un ruolo limitato. Se la regola prevede la "quarantena", l'endpoint viene isolato. Se la regola dice "nega", l'endpoint non va da nessuna parte.
Una visione semplice si presenta così:
| Componente | Funzione principale | Esempio tipico |
|---|---|---|
| Motore delle regole | Applica la logica di accesso | Piattaforma NAC |
| Server di autenticazione | Verifica l'identità | Servizio RADIUS |
| Punto di applicazione | Modifica l'accesso alla rete | Switch, AP, controller |
Ciò che conta a livello operativo è il passaggio di consegne tra questi componenti. Se i dati di identità sono deboli, le regole diventano supposizioni. Se l'applicazione è debole, le regole diventano pura facciata.
Esplorare i tipi di NAC e i meccanismi di applicazione
Non tutte le distribuzioni NAC si comportano allo stesso modo. Alcuni controlli avvengono prima che un dispositivo ottenga un accesso significativo. Altri continuano dopo la connessione e regolano l'accesso al variare delle condizioni. Le migliori implementazioni di solito combinano entrambi gli aspetti.
Nelle reti aziendali del Regno Unito, il NAC viene implementato il più delle volte come livello di applicazione delle policy attorno a IEEE 802.1X e RADIUS, dove lo switch o il controller wireless blocca un dispositivo alla porta digitale e utilizza RADIUS per verificarne le credenziali e lo stato di salute prima che il NAC decida se tale dispositivo debba essere inserito in una VLAN specifica, in una rete con restrizioni o se debba essergli negato completamente l'accesso ( panoramica tecnica del NAC con 802.1X e RADIUS ).
Controllo pre-accesso e post-accesso
Il controllo pre-accesso è il modello più lineare. Il dispositivo dimostra l'identità e soddisfa le policy prima di ottenere l'accesso effettivo. Se fallisce, la rete può bloccarlo o inserirlo in un segmento strettamente limitato.
Il controllo post-accesso presuppone che la connessione iniziale non sia l'intera storia. I dispositivi possono perdere la conformità, gli account possono cambiare e il comportamento può diventare sospetto dopo il login. I controlli post-accesso consentono al NAC di rivalutare e limitare l'accesso durante la sessione.
Un confronto pratico:
| Approccio | Cosa fa bene | Dove può riscontrare difficoltà |
|---|---|---|
| Pre-accesso | Blocca l'accesso non autorizzato in anticipo | Più difficile con dispositivi legacy e non gestiti |
| Post-accesso | Risponde alle mutevoli condizioni | Richiede una buona visibilità e trigger chiari |
I team spesso si concentrano eccessivamente sul primo sbarramento dimenticando il controllo della sessione. Questo è un errore. Un dispositivo idoneo alle 9:00 potrebbe non esserlo più tardi se il suo stato di sicurezza cambia o se muta il contesto di rischio.
Basato su agent e agentless
Alcune piattaforme NAC utilizzano un agent sull'endpoint per segnalare lo stato di sicurezza in modo più affidabile. Ciò può essere utile per i laptop aziendali del personale gestito e altri dispositivi aziendali.
Altri scenari richiedono tecniche agentless. I telefoni degli ospiti, i dispositivi consumer e molti endpoint IoT non installeranno il tuo agent e forzarne uno di solito crea più attriti che valore. In questi casi, la profilazione, i controlli dei certificati, i flussi del portale o i metadati di rete tendono a essere più realistici.
Nessuno dei due modelli è universalmente migliore. La domanda giusta da porsi è quali classi di dispositivi possiedi e quali di esse controlli.
Gli strumenti di enforcement che contano
Quando le persone chiedono cos'è il controllo degli accessi alla rete, spesso si aspettano un unico meccanismo. In realtà, il NAC è un insieme di metodi di applicazione delle policy.
Alcuni dei più comuni:
802.1X
Lo standard per il controllo dell'accesso basato su porta. Questo è il percorso preferito quando i dispositivi lo supportano correttamente, perché offre un'ammissione più forte basata sull'identità su reti cablate e wireless.Assegnazione VLAN dinamica
Il NAC può inserire utenti e dispositivi in diverse VLAN in base alle policy. Stessa porta dello switch o SSID, diverso risultato di rete.Controllo dell'accesso basato sui ruoli
Un laptop del reparto finanziario, un telefono ospite e una stampante non dovrebbero ereditare lo stesso livello di fiducia. Il RBAC consente alla policy di riflettere la funzione lavorativa e il tipo di dispositivo anziché solo la posizione di connessione.Reti di quarantena
Utili quando un dispositivo è noto ma non conforme. Piuttosto che una decisione del tipo "tutto o niente", il NAC può posizionarlo in un'area in cui può essere ripristinato senza raggiungere sistemi sensibili.Bypass dell'autenticazione MAC
Spesso utilizzato per dispositivi che non supportano lo standard 802.1X, come alcune stampanti, scanner o apparecchiature specialistiche. Funziona, ma è meno sicuro rispetto ai metodi basati su certificati o utenti, quindi richiede policy più severe.Captive Portal e autenticazione web
Comuni negli ambienti di accesso per gli ospiti. Vanno bene per un accesso temporaneo, ma sono macchinosi per gli utenti abituali e non ideali come soluzione a lungo termine per il personale o i dispositivi aziendali.
Per le organizzazioni che stanno valutando le opzioni della piattaforma, è utile confrontare le soluzioni di controllo dell'accesso alla rete in base a quali di questi modelli di applicazione supportano al meglio, e non solo in base agli elenchi delle funzionalità principali.
Come il NAC si integra con il tuo stack IT esistente
Il NAC è più utile quando non agisce da solo. Da solo, può controllare una richiesta di connessione e applicare una regola locale. Se integrato correttamente, diventa un punto decisionale di accesso alimentato da identità, affidabilità del dispositivo e contesto operativo.
Questo cambia la qualità della decisione.
Piattaforme di identità e directory
La maggior parte delle organizzazioni non desidera che il NAC gestisca un universo separato di utenti e ruoli. Preferiscono che sia collegato ai sistemi che definiscono già l'identità del personale. In pratica, questo significa solitamente l'integrazione con Microsoft Entra ID, Google Workspace, Okta o i servizi di directory esistenti.
Ciò consente al NAC di porre domande più utili:
- Questo utente è attuale e attivo?
- In quale gruppo o ruolo si trova?
- L'accesso è stato revocato a livello centrale?
- Questa persona deve essere trattata come dipendente, collaboratore esterno, ospite o residente?
Quando la policy di accesso segue la directory reale, l'onboarding e l'offboarding diventano molto più lineari. Se le modifiche all'identità gestite dalle risorse umane influiscono sulle decisioni di accesso, la rete smette di rimanere indietro rispetto al resto del piano di controllo.
Certificati, postura e accesso senza password
I migliori ambienti NAC non si affidano a password condivise per gli SSID o a credenziali statiche che durano troppo a lungo. Utilizzano i certificati e i segnali di attendibilità dei dispositivi per identificare l'endpoint stesso.
Questo è fondamentale perché un account utente racconta solo una parte della storia. Un utente valido su un dispositivo sconosciuto rappresenta comunque un rischio.
Consiglio sul campo: se l'accesso del personale dipende ancora da una password WiFi condivisa, non disponi di un controllo di ammissione significativo. Hai solo un'impostazione di comodità.
In questo ambito il NAC inizia a sovrapporsi alla moderna rete senza password. L'accesso guidato dall'identità può andare oltre la vecchia esperienza del Captive Portal. Per gli ambienti di ospitalità e i grandi spazi, tecnologie come OpenRoaming e Passpoint si muovono verso una connessione sicura e automatica con meno attriti. L'accesso richiede comunque una policy, semplicemente non ha bisogno del vecchio e macchinoso percorso utente.
Il NAC in azione: casi d'uso comuni
Il NAC assume più senso quando si osservano i problemi operativi che risolve. Il motore di policy e il flusso RADIUS sono importanti, ma la maggior parte degli acquirenti si preoccupa di una sola cosa: migliora il controllo senza compromettere l'esperienza utente?
Hospitality
Gli hotel sono pieni di zone di attendibilità sovrapposte. I telefoni e i laptop degli ospiti hanno bisogno di accedere a Internet. I dispositivi dello staff devono accedere ai sistemi operativi. TV, sistemi per le porte, chioschi e apparecchiature del back-office necessitano di connettività, ma per impostazione predefinita non tra di loro.
Un buon design NAC separa nettamente queste classi, anche quando condividono la stessa infrastruttura fisica. Gli ospiti usufruiscono di un onboarding semplice e dell'accesso a Internet. I dispositivi dello staff si autenticano tramite lo stack di identità dell'organizzazione. I dispositivi operativi si collocano in segmenti strettamente definiti.
La soluzione pigra non funziona: un unico SSID generico, una sola password e l'idea che "terremo le parti sensibili da un'altra parte". Nel settore dell'ospitalità, questo si traduce solitamente in problemi di risoluzione dei guasti e in una responsabilità non chiara.
Retail
Gli ambienti retail spesso mescolano WiFi pubblico, tablet del personale, sistemi POS, scanner, segnaletica digitale e apparecchiature gestite dai fornitori. Se il NAC non è implementato, i negozi rischiano di ritrovarsi con sistemi che si fidano l'uno dell'altro solo perché sono fisicamente vicini.
Il controllo di maggior valore in questo caso è l'ammissione segmentata. I sistemi POS dovrebbero comunicare solo con ciò di cui hanno bisogno. Il traffico degli ospiti non dovrebbe mai trovarsi in una rete adiacente con attendibilità implicita. I kit dei fornitori devono essere identificabili e limitati.
Una buona configurazione NAC nel retail riduce anche l'ambiguità operativa. Quando sulla rete appare qualcosa di insolito, il team può classificarlo più velocemente e applicare una policy nota invece di improvvisare durante l'orario di apertura.
Sanità
La sanità è il settore in cui il NAC dimostra rapidamente il suo valore. Le strutture ospitano medici, personale amministrativo, ospiti, appaltatori, dispositivi medici non gestiti e apparecchiature specialistiche obsolete che non sempre supportano un'autenticazione moderna in modo pulito.
Le linee guida del settore pubblico del Regno Unito fornite dal NCSC si allineano con i principi NAC consigliando alle organizzazioni di adottare un approccio Zero Trust, verificando ogni utente e dispositivo prima di concedere l'accesso e utilizzando la segmentazione per limitare l'impatto di una compromissione ( Allineamento Zero Trust e NAC nelle linee guida del settore pubblico del Regno Unito ).
Negli ospedali e nelle cliniche, la parte difficile non è la teoria. È gestire classi di dispositivi miste senza appiattire la fiducia all'interno dell'intera infrastruttura.
Residenze multi-tenant e studentati
I gestori residenziali hanno bisogno di un modello di rete che risulti semplice per i residenti ma che rimanga isolato dietro le quinte. Un residente non dovrebbe essere in grado di rilevare i dispositivi di un altro residente solo perché si trovano sulla stessa infrastruttura dell'edificio.
Le policy NAC, l'assegnazione di reti private e approcci come l'iPSK offrono grande utilità in queste situazioni. I residenti ottengono un'esperienza simile a quella domestica. I dispositivi legacy possono comunque connettersi. Il gestore mantiene la separazione e il controllo.
Questo è un problema molto diverso rispetto al NAC per gli uffici aziendali, ma si applica la stessa logica di ammissione. L'identità, il tipo di dispositivo e la policy determinano ciò che la rete diventa per quell'utente.
Best Practice di Implementazione e Considerazioni sul ROI
La maggior parte dei fallimenti dei progetti NAC non è causata da una tecnologia debole. È causata da policy troppo ambiziose, infrastrutture disordinate e team che cercano di applicare troppe regole troppo presto.
Un approccio migliore è disciplinato e leggermente noioso. Questo di solito è un complimento nella sicurezza di rete.
Cosa tende a funzionare
Inizia osservando prima di bloccare. Esegui il NAC in modalità di monitoraggio o a basso impatto, se possibile, crea una panoramica realistica dei tipi di dispositivi, quindi stringi le policy in modo graduale.
Una sequenza utile è la seguente:
Prima l'inventario
Scopri cosa si sta connettendo. Le organizzazioni scoprono spesso più dispositivi non gestiti o classificati in modo errato del previsto.Inizia con una policy semplice
I dispositivi aziendali gestiti, gli ospiti, le stampanti e i dispositivi sconosciuti sono sufficienti per un modello iniziale. Potrai aggiungere sfumature in seguito.Pianifica esplicitamente le eccezioni
I dispositivi legacy, le apparecchiature cliniche, l'IoT specialistico e i sistemi strutturali hanno bisogno di un percorso dedicato. Fingere che si adattino al modello pulito fa solo perdere tempo.Tratta cablato e wireless insieme
Se la policy è forte sul WiFi e debole sulle porte degli switch, le persone troveranno il punto debole.
La privacy e la conformità nel Regno Unito sono parte integrante del design
Questa parte viene spesso tralasciata negli articoli sul NAC, ma è importante nel Regno Unito. Il NAC raccoglie e valuta gli attributi dei dispositivi e degli utenti, e questo solleva questioni di governance. In base ai principi del UK GDPR sulla minimizzazione dei dati e sulla limitazione della conservazione, le organizzazioni dovrebbero raccogliere ciò di cui hanno bisogno per uno scopo definito e conservarlo solo per il tempo necessario. Ciò significa che la progettazione del NAC dovrebbe definire quali attributi sono essenziali per le decisioni di accesso, cosa viene registrato, per quanto tempo vengono conservati i log e come i dati di sicurezza vengono separati dall'uso di marketing o analytics ( UK-focused discussion of NAC and privacy-by-design considerations ).
Questo non rende il NAC problematico. Significa solo che il modello di dati ha bisogno di disciplina.
Non costruire il NAC come un aspirapolvere per ogni attributo di identità e dispositivo disponibile. Costruiscilo come un sistema decisionale con un set di prove giustificato.
Il ROI è più ampio della semplice riduzione delle violazioni
Gli acquirenti di sicurezza spesso chiedono il ritorno sull'investimento e poi lo inquadrano in modo troppo restrittivo. Il valore non sta solo nel fatto che "il NAC ha fermato un incidente". Si manifesta anche nelle operazioni quotidiane.
Le aree comuni di ritorno includono:
- Minore attrito nel supporto perché il personale e gli ospiti raggiungono lo stato di accesso corretto in modo più coerente
- Risoluzione dei problemi più rapida perché la rete ha un contesto di identità e policy più chiaro
- Offboarding più pulito quando l'accesso dipende dall'identità centrale e dallo stato del certificato
- Meno gestione manuale delle eccezioni una volta che i ruoli ripetibili e le classi di dispositivi sono mappati correttamente
Questo è anche il punto in cui le opzioni cloud-managed e identity-first possono avere senso. Alcune organizzazioni desiderano ancora un NAC on-premises legato a RADIUS locale e switching. Altre preferiscono una minore spesa di infrastruttura. Piattaforme come i network and wireless security services from Purple si adattano a quest'ultimo modello combinando l'accesso basato sull'identità, flussi di lavoro senza password e integrazione dei vendor senza richiedere il vecchio carico operativo di password condivise e flussi di ospiti fortemente manuali.
Il futuro dell'accesso - Dal NAC all'Identity Networking
Il NAC tradizionale è ancora importante. Rimane il livello di ammissione che indica alla rete chi e cosa deve essere considerato attendibile, a quali condizioni e con quale livello di accesso.
Ma l'esperienza utente legata al NAC sta cambiando.
A partire da gennaio 2024, il 96% degli edifici nel Regno Unito aveva accesso alla banda larga compatibile con il gigabit ( aggiornamento sulla connettività del Regno Unito riportato qui ). Questo livello di connettività si traduce in un maggior numero di dispositivi, più sessioni e una maggiore aspettativa che l'accesso sia immediato. Il vecchio modello di password condivise, Captive Portal complessi ed eccezioni manuali non è facilmente scalabile in un simile contesto.
La direzione del cambiamento è l'identity networking. La decisione di accesso segue ancora i principi del NAC, ma l'implementazione diventa più fluida. Il personale si autentica con una fiducia basata sull'identità e di livello certificato. Gli ospiti si connettono tramite standard che riducono gli attriti e migliorano la crittografia fin dal primo pacchetto. Le strutture multi-tenant e a uso misto ottengono l'isolamento senza che ogni utente debba lottare con i passaggi di login.
Questa è la risposta attuale a cosa sia il controllo dell'accesso alla rete oggi. Non è più solo un guardiano legacy. È la base per un accesso passwordless e guidato dall'identità che può essere sicuro, segmentato e fruibile allo stesso tempo.
Purple aiuta le organizzazioni a passare da un accesso WiFi di base a un identity-based networking, sostituendo le password condivise e i Captive Portal con un accesso sicuro e passwordless per ospiti, personale e ambienti multi-tenant. Se stai valutando come i principi NAC possano supportare OpenRoaming, Passpoint, l'accesso del personale basato su certificati o la connettività isolata per i residenti, Purple è l'unica piattaforma da esaminare.
