Vai al contenuto principale
Italiano

Device Posture Assessment per il Network Access Control

Questa guida tecnica spiega come funziona il Device Posture Assessment per il Network Access Control (NAC), descrivendo in dettaglio l'architettura, l'integrazione MDM e i flussi di remediation necessari per implementare il Zero Trust WiFi in ambienti aziendali e grandi sedi.

📖 8 minuti di lettura📝 1,920 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Device Posture Assessment per il Network Access Control. Un briefing tecnico di Purple. Benvenuti. Sono il vostro ospite per il briefing di oggi e, se state ascoltando, probabilmente siete un architetto della sicurezza IT, un ingegnere di rete o un CTO a cui è stato chiesto di rafforzare il controllo degli accessi alla rete in tutta l'organizzazione. Potreste gestire un patrimonio alberghiero, una catena di negozi, un centro congressi o una struttura del settore pubblico, e siete giunti al punto in cui verificare semplicemente chi si connette alla rete non è più sufficiente. Dovete sapere cosa si sta connettendo e se quel dispositivo è in uno stato idoneo per essere considerato affidabile. Questo è esattamente ciò di cui parleremo oggi. Device Posture Assessment per il controllo degli accessi alla rete: cos'è, come funziona a livello tecnico, come integrarlo con l'infrastruttura RADIUS esistente e le piattaforme MDM e, soprattutto, cosa fare con i dispositivi che non superano il controllo. Entriamo nel vivo. Sezione uno. Contesto e perché il Device Posture Assessment è importante oggi. Negli ultimi dieci anni, la maggior parte delle distribuzioni WiFi aziendali si è affidata al controllo degli accessi basato sull'identità. Si autentica l'utente, tramite 802.1X, un Captive Portal o una chiave precondivisa, e se le credenziali sono corrette, si concede l'accesso. Il problema è che la sola verifica dell'identità non dice nulla sullo stato di sicurezza del dispositivo stesso. Un nome utente e una password validi possono essere inseriti su un laptop con un sistema operativo non aggiornato da tre anni, privo di antivirus, connesso alla vostra VLAN aziendale. Quel dispositivo rappresenta un rischio nel momento stesso in cui tocca la vostra rete. Il passaggio all'architettura Zero Trust ha cambiato radicalmente le carte in tavola. Il Zero Trust opera sul principio del non fidarsi mai, verificare sempre, e tale verifica deve estendersi oltre l'identità per comprendere lo stato di salute del dispositivo. È qui che entra in gioco il Device Posture Assessment. Il controllo della posture interroga l'endpoint al momento dell'autenticazione, verifica una serie definita di criteri di salute e inserisce tale risultato nella decisione di controllo degli accessi. Il risultato è un accesso alla rete basato sulla posture, un modello in cui ciò che si può fare sulla rete è determinato non solo da chi si è, ma dallo stato di sicurezza del dispositivo che si sta utilizzando. Dal punto di vista della conformità, questo è estremamente importante. La versione 4.0 del PCI DSS richiede esplicitamente che le organizzazioni controllino quali dispositivi possono accedere agli ambienti dei dati dei titolari di carta. Il principio di accountability del GDPR impone alle organizzazioni di implementare misure tecniche adeguate per proteggere i dati personali, e consentire a dispositivi non aggiornati e non gestiti di accedere a reti che trasportano dati personali è sempre più difficile da difendere in sede di audit. Per gli ambienti sanitari, si applica la stessa logica secondo i requisiti del NHS Cyber Essentials e, nel contesto statunitense, dell'HIPAA. Sezione due. Approfondimento tecnico: come funziona effettivamente il Device Posture Assessment. Lasciate che vi illustri i meccanismi. Fondamentalmente, il Device Posture Assessment è un processo che viene eseguito durante o immediatamente dopo l'handshake di autenticazione, prima che venga concesso l'accesso completo alla rete. Esistono tre modelli architetturali principali che incontrerete. Il primo è il Device Posture Assessment basato su agenti. Un agente software leggero, installato sull'endpoint, spesso come parte della piattaforma MDM o di endpoint detection and response, raccoglie i dati di telemetria sullo stato di salute e li presenta al motore di policy NAC. Questo è l'approccio più completo. L'agente può verificare la versione del sistema operativo, il livello di patch cumulativo, l'aggiornamento delle firme antivirus, lo stato del firewall, lo stato di crittografia del disco, se sono in esecuzione specifiche applicazioni vietate e se il dispositivo è registrato nel vostro MDM. L'agente comunica questi dati al server RADIUS o a un motore di policy dedicato tramite un protocollo come RADIUS CoA (Change of Authorization) o attraverso un'integrazione API specifica del fornitore. Il secondo modello è il Device Posture Assessment agentless. In questo caso, il sistema NAC tenta di dedurre lo stato di salute del dispositivo senza un agente locale, in genere interrogando direttamente la piattaforma MDM. Quando un dispositivo si connette e si autentica, il motore di policy interroga Microsoft Intune, Jamf o VMware Workspace ONE tramite API, recupera lo stato di conformità del dispositivo e lo utilizza come segnale di posture. Questo funziona bene per i dispositivi aziendali gestiti che sono già registrati nell'MDM. Il limite è ovvio: i dispositivi non gestiti o BYOD non avranno un record MDM, quindi è necessaria una policy di fallback per questi ultimi. Il terzo modello è la valutazione basata sulla rete. Il sistema NAC scansiona il dispositivo connesso utilizzando tecniche come query SNMP, chiamate WMI sulla rete o fingerprinting passivo dei modelli di traffico. Questo è il metodo meno affidabile e viene generalmente utilizzato solo come controllo supplementare o per ambienti legacy in cui la distribuzione di agenti non è fattibile. Ora parliamo dell'integrazione con RADIUS e 802.1X nello specifico, perché è qui che l'architettura si fa interessante. In una distribuzione 802.1X standard, il supplicant (ovvero il dispositivo) presenta le credenziali all'authenticator, che è il vostro access point wireless o switch, il quale inoltra la richiesta di autenticazione al server RADIUS. Il server RADIUS convalida le credenziali e restituisce un Access-Accept o un Access-Reject. In una distribuzione orientata alla posture, questo flusso viene esteso. Dopo che l'autenticazione iniziale ha avuto successo, il server RADIUS (o un motore di policy co-locato come Cisco ISE, Aruba ClearPass o Forescout) avvia una valutazione della posture. Il dispositivo viene inizialmente inserito in una VLAN limitata, talvolta chiamata VLAN di posture o VLAN di quarantena, mentre viene eseguita la valutazione. Se il dispositivo supera tutti i controlli di posture, viene inviato un messaggio di Change of Authorization di RADIUS all'access point, spostando il dispositivo nella VLAN di produzione appropriata. Se fallisce, rimane nella VLAN limitata e viene indirizzato a un portale di remediation. Il metodo EAP è fondamentale in questo contesto. EAP-TLS, che utilizza l'autenticazione reciproca tramite certificati, rappresenta il gold standard per l'accesso ai dispositivi aziendali perché consente al server RADIUS di convalidare non solo l'utente ma anche il certificato del dispositivo, confermando che si tratta di un endpoint noto e gestito. EAP-PEAP o EAP-TTLS con MSCHAPv2 sono comuni per l'autenticazione basata su credenziali utente, ma offrono di per sé una minore garanzia a livello di dispositivo. Affinché il Device Posture Assessment sia davvero robusto, è preferibile combinare EAP-TLS con il controllo di conformità MDM: questa combinazione offre sia l'identità crittografica del dispositivo sia un segnale sullo stato di salute in tempo reale. Quali attributi specifici valuta in genere un controllo di posture? L'elenco principale per la maggior parte delle distribuzioni aziendali copre: versione del sistema operativo e numero di build (il dispositivo esegue una versione supportata del sistema operativo?), livello di patch (le patch critiche e ad alta gravità sono state applicate entro una finestra definita, in genere 30 giorni?), stato dell'antivirus o dell'endpoint detection and response (è installato un prodotto di sicurezza riconosciuto, in esecuzione e con firme aggiornate?), firewall host (è abilitato?), crittografia del disco (BitLocker o FileVault sono attivi?), registrazione MDM (il dispositivo è registrato sulla piattaforma di gestione?). Inoltre, le organizzazioni aggiungono sempre più spesso controlli per il software vietato (è presente un'applicazione notoriamente vulnerabile?) e per la validità dei certificati. Sezione tre. Raccomandazioni per l'implementazione ed errori comuni. Lasciate che vi fornisca indicazioni pratiche derivanti dalla distribuzione di questi sistemi in ambienti alberghieri, retail e del settore pubblico. In primo luogo, iniziate con la visibilità prima dell'applicazione delle regole. Prima di impostare i controlli di posture in modalità di blocco, eseguiteli in modalità di solo monitoraggio per almeno quattro settimane. Questo vi fornirà una baseline dell'effettivo stato dei vostri dispositivi: quale percentuale di dispositivi non è conforme, quali attributi di posture falliscono più frequentemente e se le soglie delle vostre policy sono calibrate correttamente. Passare direttamente all'applicazione delle regole senza questa baseline è l'errore più comune, e si traduce in un'ondata di ticket di assistenza e utenti frustrati fin dal primo giorno. In secondo luogo, progettate la segmentazione delle VLAN prima di configurare le policy di posture. Avete bisogno di almeno tre segmenti di rete: una VLAN aziendale ad accesso completo per i dispositivi gestiti conformi, una VLAN di remediation con accesso a Internet e accesso alla vostra infrastruttura di gestione delle patch e MDM ma a nient'altro, e una VLAN guest per i dispositivi personali non gestiti. Alcune organizzazioni ne aggiungono una quarta: una VLAN aziendale limitata per i dispositivi gestiti che non superano la posture ma hanno bisogno di un accesso limitato a risorse specifiche durante la remediation. Mappate queste VLAN ai risultati della posture prima di scrivere una singola regola di policy. In terzo luogo, gestite esplicitamente il problema dei dispositivi BYOD e guest. Negli ambienti alberghieri in particolare, e questo vale altrettanto per hotel, centri congressi e aree di sosta del personale retail, avrete una popolazione significativa di dispositivi personali che non saranno mai registrati in un MDM. La vostra policy di posture deve prevedere un percorso definito per questi dispositivi. L'approccio tipico consiste nell'instradare automaticamente i dispositivi non registrati verso una VLAN guest, con adeguati controlli della larghezza di banda e filtraggio dei contenuti, anziché bloccarli del tutto. Bloccare i dispositivi personali in un hotel o in un centro congressi crea un problema operativo immediato che il personale di reception avvertirà prima ancora del team di sicurezza. In quarto luogo, impostate timeout di remediation realistici. Quando un dispositivo non supera la posture e viene inserito nella VLAN di remediation, è necessario definire quanto tempo ha a disposizione per l'autocorrezione prima di essere spostato in quarantena o bloccato. Per i problemi legati alle patch, una finestra da 24 a 48 ore è ragionevole per un dispositivo aziendale gestito: abbastanza lunga da consentire al dispositivo di scaricare gli aggiornamenti, abbastanza breve da mantenere la sicurezza. Per i problemi relativi all'antivirus, la finestra dovrebbe essere più breve, da quattro a otto ore, perché un dispositivo senza protezione endpoint attiva rappresenta un rischio più immediato. In quinto luogo, testate a fondo il flusso di Change of Authorization. Il CoA è il meccanismo che sposta un dispositivo dalla VLAN di remediation alla VLAN di produzione dopo il superamento della posture. È anche il meccanismo che può riportare un dispositivo in quarantena se un controllo periodico fallisce. Gli errori di CoA, in cui il server RADIUS invia il messaggio CoA ma l'access point non lo esegue, sono una causa comune di reclami da parte degli utenti. Testate questo aspetto end-to-end nel vostro laboratorio prima della distribuzione in produzione e monitorate i tassi di successo del CoA nei log RADIUS dopo la distribuzione. Ora, una parola sulle insidie specifiche degli ambienti di grandi dimensioni. In uno stadio o in un centro congressi con migliaia di connessioni simultanee, il Device Posture Assessment aggiunge latenza al flusso di autenticazione. I controlli basati su agenti che richiedono all'agente di raccogliere la telemetria e inviare il report possono aggiungere da due a cinque secondi al tempo di connessione. Su larga scala, questo è evidente. Ottimizzate pre-memorizzando nella cache i risultati della posture: la maggior parte dei motori di policy consente di memorizzare nella cache il risultato della posture di un dispositivo per un periodo definito, in genere da una a quattro ore, in modo che la riautenticazione non attivi ogni volta una valutazione completa. Questa è un'ottimizzazione delle prestazioni fondamentale per gli ambienti ad alta densità. Sezione quattro. Domande a risposta rapida. Domanda: Posso eseguire il Device Posture Assessment senza distribuire agenti su ogni dispositivo? Sì, tramite l'integrazione delle API MDM per i dispositivi registrati e il fingerprinting basato sulla rete per gli altri, ma la copertura e l'accuratezza saranno inferiori rispetto all'uso degli agenti. Per un ambiente misto, un approccio ibrido (agenti sui dispositivi aziendali, API MDM per i dispositivi BYOD registrati, fingerprinting di rete come fallback) è la risposta più pragmatica. Domanda: Il Device Posture Assessment funziona con WPA3? Sì. WPA3 Enterprise utilizza lo stesso framework di autenticazione 802.1X di WPA2 Enterprise, quindi il Device Posture Assessment si integra allo stesso modo. Le funzioni PMF (Protected Management Frames) e l'autenticazione SAE più forti di WPA3 completano in realtà il controllo della posture, blindando il livello di autenticazione su cui si basa la posture stessa. Domanda: Qual è la differenza tra Device Posture Assessment e NAC? Il NAC (Network Access Control) è il framework più ampio per controllare quali dispositivi possono accedere a quali risorse di rete. Il Device Posture Assessment è uno degli elementi che contribuiscono alla decisione del NAC, nello specifico il segnale sullo stato di salute del dispositivo. È possibile avere il NAC senza il Device Posture Assessment (ad esempio, un controllo degli accessi basato solo sull'identità), ma non è possibile avere un controllo degli accessi basato sulla posture senza un framework NAC che ne applichi i risultati. Domanda: Come si integra questo sistema con una piattaforma come Purple? La piattaforma di Purple gestisce l'identità dei dispositivi e le policy di accesso a livello di WiFi. Il Device Posture Assessment rappresenta il livello di controllo successivo: arricchisce la decisione di accesso con i dati sullo stato di salute del dispositivo. Per gli operatori attenti alla sicurezza, l'integrazione dei segnali di posture del vostro MDM nel motore di policy di Purple consente di applicare un accesso differenziato basato sia sull'identità sia sullo stato di conformità del dispositivo. Sezione cinque. Riepilogo e prossimi passi. Per riassumere i punti chiave del briefing di oggi. Il Device Posture Assessment è la pratica di valutare lo stato di salute dell'endpoint (versione del sistema operativo, livello di patch, stato dell'antivirus, registrazione MDM) al momento dell'autenticazione e utilizzare tale segnale per determinare i diritti di accesso alla rete. L'architettura combina l'autenticazione 802.1X, un motore di policy RADIUS, l'integrazione delle API MDM e la segmentazione delle VLAN per creare un sistema di controllo degli accessi basato sulla posture. I tre risultati della posture (accesso completo, VLAN di remediation e quarantena) devono essere progettati e testati prima di abilitare l'applicazione delle regole. Iniziate con la modalità di monitoraggio, create la vostra baseline, quindi passate all'applicazione delle regole. Questo passaggio non è facoltativo se si desidera una distribuzione senza problemi. Per i gestori di grandi sedi, la popolazione di dispositivi BYOD e guest richiede una gestione esplicita delle policy: l'instradamento verso una VLAN guest anziché il blocco è la scelta predefinita più sensata dal punto di vista operativo. I vostri prossimi passi immediati: verificate l'attuale architettura delle VLAN e confermate di disporre dei segmenti necessari per l'instradamento basato sulla posture. Valutate le funzionalità API della vostra piattaforma MDM per l'esportazione dei dati di posture. Esaminate le funzionalità delle policy di posture del vostro server RADIUS o della piattaforma NAC. E se state partendo da zero, considerate un approccio graduale: distribuite prima l'802.1X, aggiungete il controllo della posture in modalità di monitoraggio, quindi passate all'applicazione delle regole nell'arco di 90 giorni. Grazie per l'ascolto. Per ulteriori informazioni sull'architettura di autenticazione 802.1X e sulla distribuzione del WiFi Zero Trust, visitate la libreria delle guide di Purple. Se state valutando il controllo degli accessi basato sulla posture per la rete della vostra sede, il team di Purple può guidarvi attraverso una valutazione della distribuzione. Alla prossima.

header_image.png

Executive Summary

Con la dissoluzione del perimetro della rete aziendale, la tradizionale autenticazione basata sull'identità non è più sufficiente. Convalidare che un utente sia chi dichiara di essere tramite 802.1X o un Captive Portal non elimina il rischio rappresentato dal dispositivo che sta utilizzando. La valutazione dello stato di sicurezza del dispositivo (device posture assessment) rappresenta il livello di difesa successivo e cruciale in un'architettura Zero Trust, interrogando lo stato di salute e conformità di un endpoint prima di concedere l'accesso alla rete.

Per i responsabili IT e i network architect che gestiscono ambienti complessi come hotel, catene retail, stadi e strutture del settore pubblico, l'accesso alla rete basato sullo stato di sicurezza garantisce che i dispositivi non aggiornati, non gestiti o compromessi non possano spostarsi lateralmente all'interno delle VLAN aziendali. Questa guida fornisce un modello pratico e indipendente dai singoli vendor per implementare il device posture assessment per il controllo degli accessi alla rete. Copre i modelli architetturali, i punti di integrazione con RADIUS e le piattaforme di Mobile Device Management (MDM), nonché i flussi di lavoro di remediation fondamentali per gestire i dispositivi non conformi senza sovraccaricare l'helpdesk IT. Al termine di questa guida, disporrai di un framework chiaro per implementare i controlli di conformità degli endpoint su WiFi, riducendo la superficie di attacco e mantenendo una conformità continua con framework come PCI DSS e GDPR.

Approfondimento Tecnico: L'Architettura del Posture Assessment

Il device posture assessment altera radicalmente il tradizionale flusso di autenticazione di rete. Invece di una decisione binaria di autorizzazione/negazione basata sulle credenziali, il sistema di Network Access Control (NAC) introduce uno stato condizionale in cui l'accesso è subordinato al soddisfacimento di specifici criteri di integrità da parte del dispositivo.

I Tre Modelli Architetturali

L'implementazione del device posture assessment richiede la scelta di un modello architetturale in linea con la strategia di gestione degli endpoint. Esistono tre approcci principali:

  1. Posture Assessment basato su Agente (Agent-Based): Questo è il metodo più completo. Un agente software leggero installato sull'endpoint raccoglie dati telemetrici dettagliati, come la versione del sistema operativo, il livello di patch, lo stato dell'antivirus e i processi in esecuzione, e trasmette questi dati al motore di policy del NAC. La comunicazione avviene in genere tramite un protocollo sicuro o un'API subito dopo l'autenticazione 802.1X iniziale. Sebbene la valutazione basata su agente fornisca dati ad altissima fedeltà, richiede il controllo amministrativo sull'endpoint per distribuire l'agente, rendendola inadatta per ambienti non gestiti o BYOD.
  2. Posture Assessment senza Agente (Integrato con MDM): In questo modello, il sistema NAC deduce lo stato di salute del dispositivo interrogando una piattaforma di Mobile Device Management (MDM) o Unified Endpoint Management (UEM) tramite API. Quando un dispositivo si autentica, il server RADIUS interroga piattaforme come Microsoft Intune o Jamf per recuperare il record di conformità del dispositivo. Questo approccio è altamente efficace per i dispositivi aziendali gestiti ed elimina la necessità di un agente NAC dedicato. Tuttavia, si affida al fatto che la piattaforma MDM disponga di informazioni aggiornate; se il dispositivo è rimasto offline, lo stato di conformità potrebbe non essere aggiornato.
  3. Valutazione basata sulla Rete (Network-Based): Questo approccio passivo prevede che il sistema NAC esegua una scansione del dispositivo di connessione utilizzando tecniche quali query SNMP, chiamate WMI o fingerprinting del traffico. Non richiede alcun agente o registrazione MDM, il che lo rende utile per profilare i dispositivi IoT o i sistemi legacy. Tuttavia, la profondità delle informazioni è significativamente limitata rispetto agli altri modelli e non consente di determinare in modo affidabile i livelli di patch o l'aggiornamento delle firme antivirus.

Il Flusso di Integrazione RADIUS e 802.1X

L'integrazione del posture assessment con l'autenticazione 802.1X è il punto in cui l'architettura diventa operativa. Il processo si basa fortemente sul protocollo RADIUS e, in particolare, sul meccanismo Change of Authorization (CoA) definito in RFC 5176.

Quando un supplicant (il dispositivo) avvia una connessione 802.1X, presenta le credenziali all'authenticator (l'access point wireless o lo switch). L'authenticator le inoltra al server RADIUS. In caso di verifica dell'identità riuscita, il server RADIUS restituisce un messaggio di Access-Accept. Tuttavia, in un ambiente sensibile allo stato di sicurezza dei dispositivi, questa accettazione iniziale colloca il dispositivo in uno stato limitato, spesso una VLAN di quarantena o di posture dedicata.

Mentre si trova in questa VLAN limitata, avviene la valutazione dello stato di sicurezza. Il motore delle policy valuta il dispositivo rispetto al set di regole configurato. Se il dispositivo supera il controllo, il motore delle policy invia un messaggio RADIUS CoA all'authenticator, istruendolo a spostare il dispositivo dalla VLAN di posture alla VLAN di produzione appropriata. Se il dispositivo non supera il controllo, rimane nella VLAN limitata o viene spostato in una VLAN di remediation dove può accedere ai server di aggiornamento necessari.

Per una sicurezza ottimale, questo flusso dovrebbe utilizzare EAP-TLS. EAP-TLS fornisce un'autenticazione reciproca basata su certificati, consentendo al server RADIUS di verificare crittograficamente l'identità del dispositivo prima ancora che inizi il controllo dello stato di sicurezza. Ciò garantisce che i dati sullo stato provengano da un endpoint noto e attendibile anziché da un indirizzo MAC contraffatto. Per ulteriori letture sulla protezione dell'accesso ai dispositivi, consulta la nostra guida su 802.1X Authentication: Securing Network Access on Modern Devices .

posture_assessment_architecture.png

Guida all'Implementazione: Distribuire l'Accesso basato sullo Stato di Sicurezza

La distribuzione del device posLa valutazione della postura in un ambiente aziendale di produzione richiede una pianificazione meticolosa per evitare di interrompere le attività operative. Il seguente approccio graduale è raccomandato per ambienti che spaziano dagli uffici aziendali alle strutture ricettive di Hospitality .

Fase 1: Visibilità di base (Modalità Monitor)

Il passo più critico nell'implementazione è stabilire una baseline. Non abilitare mai politiche di blocco o di remediation il primo giorno. Configura invece il sistema NAC per eseguire i controlli di postura in modalità di solo monitoraggio. Durante questa fase, il sistema valuta i dispositivi e registra i risultati, ma non modifica le assegnazioni delle VLAN né limita l'accesso.

Esegui questa fase per un minimo di quattro settimane. Analizza i log per identificare la percentuale di dispositivi non conformi, gli attributi specifici che falliscono più frequentemente (ad es. OS obsoleto rispetto a firewall disabilitato) e la distribuzione dei fallimenti tra i diversi tipi di dispositivi. Questi dati ti consentono di calibrare le soglie delle tue policy. Ad esempio, se il 40% della tua flotta non soddisfa un requisito di patch a 14 giorni, potrebbe essere necessario regolare inizialmente la soglia a 30 giorni per evitare di sovraccaricare l'helpdesk.

Fase 2: Progettazione della segmentazione VLAN

Prima di applicare le policy, devi progettare i segmenti di rete che gestiranno i diversi stati di postura. Un'architettura di accesso alla rete basata sulla postura richiede almeno tre VLAN distinte:

  1. VLAN di Produzione: Accesso completo alle risorse aziendali per i dispositivi gestiti e conformi.
  2. VLAN di Remediation: Accesso limitato che consente la comunicazione solo con i server di aggiornamento (ad es. Windows Update, WSUS), le piattaforme MDM e il portale di remediation del NAC. Nessun accesso alle subnet interne o alla navigazione internet generale.
  3. VLAN Guest/BYOD: Accesso segmentato alla sola rete internet per dispositivi personali non gestiti sui quali non è possibile effettuare il controllo di postura.

Assicurati che i tuoi access point wireless e gli switch core siano configurati per supportare l'assegnazione dinamica della VLAN tramite attributi RADIUS. Comprendere il ruolo dei tuoi access point è fondamentale in questo contesto; per un ripasso, consulta Wireless Access Points Definition Your Ultimate 2026 Guide .

Fase 3: Definizione del set di regole di postura

Sviluppa un set di regole pragmatico basato sui dati della modalità monitor e sui requisiti di conformità. Una baseline aziendale standard include:

  • Sistema Operativo: Deve essere una versione supportata (ad es. Windows 10 22H2 o successivo, macOS 13 o successivo).
  • Livello di Patch: Aggiornamenti di sicurezza critici applicati negli ultimi 30 giorni.
  • Protezione Endpoint: Agente antivirus/EDR riconosciuto installato, in esecuzione e con firme aggiornate negli ultimi 7 giorni.
  • Host Firewall: Abilitato per tutti i profili di rete.
  • Crittografia del disco: BitLocker o FileVault abilitato per l'unità di sistema.

Fase 4: Applicazione dei flussi di lavoro di Remediation

Quando un dispositivo non supera il controllo di postura, il flusso di lavoro di remediation deve essere automatizzato e chiaro per l'utente. Al dispositivo viene assegnata la VLAN di Remediation e il traffico HTTP/HTTPS deve essere reindirizzato a un Captive Portal. Questo portale deve informare esplicitamente l'utente sul motivo per cui il suo dispositivo è stato messo in quarantena (ad es. "Il tuo antivirus non è aggiornato") e fornire passaggi pratici o link per risolvere il problema.

Configura un timeout di remediation. Ad esempio, a un dispositivo potrebbero essere concesse 24 ore nella VLAN di remediation per scaricare le patch necessarie. Se il dispositivo non raggiunge la conformità entro questa finestra temporale, deve essere spostato in una VLAN di Quarantena restrittiva con tutti gli accessi bloccati fino all'intervento dell'IT.

remediation_flow_diagram.png

Best Practice per ambienti complessi

L'implementazione della valutazione della postura in ambienti complessi come il Retail o grandi spazi pubblici introduce sfide uniche, in particolare per quanto riguarda la diversità e la scala dei dispositivi.

Gestione di BYOD e IoT

In ambienti con volumi elevati di dispositivi non gestiti, come gli hub di Transport o gli spazi commerciali che offrono Guest WiFi , tentare di imporre controlli di postura su ogni dispositivo è operativamente impraticabile. È necessario stabilire policy esplicite per i dispositivi che non possono essere valutati.

La best practice consiste nell'utilizzare il MAC Authentication Bypass (MAB) o la profilazione dell'identità per categorizzare questi dispositivi all'inizio del flusso di autenticazione. I dispositivi BYOD non gestiti devono essere instradati automaticamente alla VLAN Guest. I dispositivi IoT (sensori, display) devono essere collocati in VLAN dedicate e micro-segmentate con Access Control List (ACL) rigide che limitano la loro comunicazione a controller specifici. La piattaforma di Purple può aiutare a identificare e gestire questi diversi tipi di dispositivi; esplora le nostre funzionalità Sensors per maggiori informazioni.

Ottimizzazione per spazi ad alta densità

In ambienti ad alta densità come gli stadi, la latenza introdotta dalla valutazione della postura può causare timeout di autenticazione e fallimenti di connessione. I controlli basati su agent possono aggiungere diversi secondi al processo di connessione.

Per mitigare questo problema, implementa il caching della postura. Configura l'engine delle policy NAC per memorizzare nella cache lo stato di conformità di un dispositivo per un periodo definito (ad es. da 4 a 8 ore). Quando un dispositivo si sposta tra diversi access point o si disconnette brevemente, il server RADIUS può utilizzare il risultato della postura memorizzato nella cache per concedere l'accesso immediato, evitando il sovraccarico di una valutazione completa. Questo è essenziale per mantenere il throughput e un'esperienza utente positiva. Anche l'architettura di rete sottostante gioca un ruolo; considera i vantaggi discussi in The Core SD WAN Benefits for Modern Businesses .

Risoluzione dei problemi e mitigazione dei rischi

Anche con una pianificazione attenta, il controllo dell'accesso basato sulla postura può fallire. Comprendere le modalità di guasto comuni è fondamentale per mantenere la disponibilità della rete.

Errori CoA

Il problema tecnico più frequente è il fallimento del messaggio RADIUS Change of Authorization (CoA). Se il NASe il sistema determina che un dispositivo è conforme ma l'access point scarta o ignora il pacchetto CoA, il dispositivo rimane bloccato nella VLAN limitata.

Mitigazione: Assicurarsi che il CoA sia esplicitamente abilitato su tutti i dispositivi di accesso alla rete e che il server RADIUS sia configurato come client CoA attendibile. Verificare che la porta UDP 3799 (la porta CoA standard) non sia bloccata da firewall tra il server RADIUS e gli access point. Monitorare i tassi di riconoscimento (ACK) del CoA nei log di RADIUS.

Limitazione della frequenza delle API MDM

Nelle distribuzioni senza agenti, un improvviso afflusso di dispositivi in fase di autenticazione (ad esempio, dipendenti che arrivano alle 9:00) può causare il sovraccarico della piattaforma MDM con richieste API da parte del sistema NAC. Ciò può attivare la limitazione della frequenza delle API, causando il fallimento o il timeout dei controlli di postura.

Mitigazione: Implementare il raggruppamento (batching) o la memorizzazione nella cache delle richieste API all'interno della piattaforma NAC. Se l'MDM supporta i webhook, configurare l'MDM per inviare proattivamente le modifiche dello stato di conformità al sistema NAC, anziché fare in modo che il sistema NAC interroghi l'MDM a ogni autenticazione.

ROI e impatto aziendale

L'impatto aziendale derivante dall'implementazione della valutazione della postura dei dispositivi va oltre la semplice riduzione immediata del rischio. Altera fondamentalmente la postura di sicurezza dell'organizzazione e fornisce ritorni misurabili.

Mitigazione del rischio e conformità

Il ROI principale è la prevenzione del movimento laterale da parte di endpoint compromessi. Garantendo che solo i dispositivi integri accedano alla rete aziendale, le organizzazioni riducono significativamente la probabilità di propagazione dei ransomware. Inoltre, la valutazione automatizzata della postura fornisce il monitoraggio continuo richiesto per soddisfare i requisiti di audit per PCI DSS, HIPAA e GDPR, riducendo i costi e l'impegno della reportistica di conformità manuale.

Efficienza operativa

Sebbene la distribuzione iniziale richieda impegno, un sistema di valutazione della postura ben calibrato riduce l'onere operativo per l'IT. I flussi di lavoro di remediation automatizzati consentono agli utenti di risolvere problemi di conformità minori (come firme non aggiornate) senza dover aprire ticket di assistenza. Integrando i controlli di postura con analisi di rete più ampie, come WiFi Analytics , i team IT ottengono una visibilità senza precedenti sullo stato di salute del parco dispositivi, consentendo una gestione proattiva anziché reattiva. Per le strutture che desiderano migliorare l'esperienza complessiva della propria rete, consultate i nostri approfondimenti su Modern Hospitality WiFi Solutions Your Guests Deserve .

Definizioni chiave

Device Posture Assessment

Il processo di valutazione dello stato di sicurezza e conformità di un endpoint (ad es. versione del sistema operativo, livello di patch, stato dell'antivirus) prima o durante l'autenticazione alla rete.

Fondamentale per l'architettura Zero Trust, garantisce che i dispositivi compromessi o vulnerabili non possano accedere a segmenti di rete sensibili, anche se l'utente dispone di credenziali valide.

RADIUS CoA (Change of Authorization)

Un'estensione del protocollo RADIUS (RFC 5176) che consente a un server RADIUS di modificare dinamicamente gli attributi di autorizzazione di una sessione attiva, come il cambio della VLAN di un dispositivo.

Il meccanismo essenziale nel Device Posture Assessment che sposta un dispositivo da una VLAN di quarantena/remediation a una VLAN di produzione una volta superato il controllo dello stato di salute.

Remediation VLAN

Un segmento di rete limitato progettato specificamente per i dispositivi che non superano i controlli di posture. Fornisce un accesso limitato solo alle risorse necessarie per risolvere il problema di conformità (ad es. server di aggiornamento, MDM).

Utilizzata per isolare i dispositivi vulnerabili consentendo loro di autocorreggersi senza richiedere l'intervento manuale del reparto IT.

Agentless Posture Assessment

Valutazione dello stato di salute del dispositivo senza installare software NAC dedicato sull'endpoint, in genere interrogando una piattaforma MDM/UEM tramite API per ottenere lo stato di conformità del dispositivo.

Preferito per gli ambienti aziendali con distribuzioni MDM solide, in quanto riduce il sovraccarico di software sugli endpoint e semplifica la gestione.

Dissolvable Agent

Un'applicazione temporanea e leggera scaricata tramite un Captive Portal che esegue un controllo di posture e poi si rimuove dal dispositivo.

Comunemente utilizzato in ambienti BYOD o guest in cui l'installazione permanente di un agente è impossibile o non accettata dall'utente.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Un metodo di autenticazione 802.1X che richiede sia al server che al client (dispositivo) di presentare certificati digitali validi per la mutua autenticazione.

La base più sicura per il Device Posture Assessment, poiché dimostra crittograficamente l'identità del dispositivo prima che vengano valutati i controlli dello stato di salute.

Posture Caching

Memorizzazione del risultato di un controllo di posture andato a buon fine per un periodo definito, in modo che le autenticazioni successive (ad es. il roaming tra AP) non richiedano una rivalutazione completa.

Vitale per mantenere le prestazioni della rete e ridurre la latenza in ambienti ad alta densità come stadi o grandi uffici.

Zero Trust Network Access (ZTNA)

Un framework di sicurezza che richiede che tutti gli utenti e i dispositivi, sia all'interno che all'esterno della rete dell'organizzazione, siano autenticati, autorizzati e continuamente convalidati prima di ottenere l'accesso.

Il Device Posture Assessment è un pilastro fondamentale di ZTNA, fornendo la 'validazione continua' dello stato del dispositivo.

Esempi pratici

Un ufficio aziendale con 500 utenti sta implementando il Device Posture Assessment. Attualmente utilizzano 802.1X (PEAP-MSCHAPv2) per tutti i laptop aziendali. Vogliono garantire che nessun laptop si connetta a meno che il suo agente CrowdStrike Falcon non sia in esecuzione e Windows sia completamente aggiornato. Come dovrebbero progettare l'integrazione e il flusso di remediation?

  1. Scelta dell'architettura: Poiché tutti i laptop sono gestiti a livello aziendale, si consiglia un approccio agentless tramite integrazione MDM (ad es. Intune) per evitare di distribuire un agente NAC separato. Il motore di policy NAC interrogherà Intune per verificare lo stato di conformità.
  2. Progettazione delle VLAN: Creare tre VLAN: VLAN 10 (Produzione Aziendale), VLAN 20 (Remediation), VLAN 30 (Guest).
  3. Configurazione delle Policy: Configurare le policy di conformità di Intune per richiedere CrowdStrike in esecuzione e gli aggiornamenti di Windows entro 30 giorni. Configurare il motore di policy NAC per mappare lo stato 'Compliant' di Intune sulla VLAN 10 e 'Non-Compliant' sulla VLAN 20.
  4. Flusso di Autenticazione: Quando un laptop si autentica tramite PEAP, il server RADIUS lo inserisce nella VLAN 20 e interroga Intune. Se Intune restituisce 'Compliant', il server RADIUS invia un messaggio CoA all'access point per spostare la porta/sessione sulla VLAN 10.
  5. Remediation: Se Intune restituisce 'Non-Compliant', il laptop rimane nella VLAN 20. Il DHCP fornisce un IP e le regole DNS/firewall reindirizzano il traffico HTTP a un portale che spiega il motivo del mancato superamento del controllo e consente l'accesso solo ai server CrowdStrike e Windows Update.
Commento dell'esaminatore: Questo approccio sfrutta l'infrastruttura esistente (Intune) anziché introdurre nuovi agenti. Il fattore critico di successo qui è la configurazione del CoA e la garanzia che la VLAN di Remediation disponga degli ACL del firewall esatti necessari per raggiungere i server di aggiornamento: se troppo restrittivi, il dispositivo non può eseguire la remediation; se troppo aperti, la quarantena risulta inefficace.

Un grande campus universitario desidera implementare i controlli di posture, ma l'80% dei dispositivi è costituito da laptop e telefoni BYOD degli studenti. Non possono imporre l'arruolamento MDM su questi dispositivi. Come dovrebbero affrontare il Device Posture Assessment?

  1. Scelta dell'architettura: È necessario un approccio ibrido. Utilizzare controlli agentless/MDM per i dispositivi aziendali del personale e dei docenti, e un Captive Portal con un agente dissolvibile o una valutazione basata sulla rete per i dispositivi BYOD degli studenti.
  2. Flusso BYOD: Gli studenti si connettono all'SSID 'Student-WiFi'. Si autenticano tramite un Captive Portal utilizzando le credenziali dell'università.
  3. Agente Dissolvibile: Al momento dell'accesso, il portale invita l'utente a eseguire un'applet leggera e temporanea (agente dissolvibile) che verifica la posture di base (ad es. versione minima del sistema operativo, firewall attivo) senza richiedere diritti di amministratore o installazione permanente.
  4. Applicazione delle Regole: Se l'agente dissolvibile segnala il superamento del controllo, al dispositivo viene concesso l'accesso alla VLAN degli studenti. In caso di esito negativo, il portale mostra le istruzioni su come aggiornare il sistema operativo.
  5. Alternativa (Basata sulla Rete): Se gli agenti dissolvibili causano troppi attriti, utilizzare la profilazione passiva della rete (DHCP fingerprinting, parsing dell'user-agent HTTP) per rilevare versioni di sistemi operativi gravemente obsolete e bloccarle, accettando un livello di garanzia inferiore per il BYOD.
Commento dell'esaminatore: Negli ambienti ad alta densità di BYOD, l'attrito per l'utente è il principale nemico della sicurezza. Imporre l'MDM o agenti persistenti agli studenti fallirà. L'agente dissolvibile rappresenta un compromesso ragionevole, verificando gli attributi critici dello stato di salute al momento della connessione senza intrusioni permanenti.

Domande di esercitazione

Q1. La tua organizzazione sta implementando il Device Posture Assessment per 2.000 laptop aziendali. Hai configurato la policy per richiedere Windows 11 e un agente EDR attivo. Lunedì mattina prevedi di abilitare la policy in modalità di applicazione (enforcement). Quale passaggio critico hai dimenticato?

Suggerimento: Considera l'impatto sull'helpdesk se le tue ipotesi sullo stato di salute del parco dispositivi sono errate.

Visualizza risposta modello

Hai saltato la fase di 'Monitor Mode'. Prima di applicare una policy di blocco, il sistema deve funzionare in modalità di solo monitoraggio per diverse settimane per stabilire una baseline di conformità. Abilitare l'applicazione delle regole dal primo giorno senza questi dati causerà probabilmente un picco enorme di ticket di assistenza da parte di utenti che inaspettatamente non superano il controllo di posture.

Q2. Un dispositivo si autentica correttamente tramite 802.1X e supera il controllo di posture MDM. I log del server RADIUS mostrano un Access-Accept e una valutazione della posture riuscita, ma l'utente riferisce di non riuscire ancora ad accedere a Internet o alle risorse aziendali. Qual è il punto di errore più probabile nell'architettura?

Suggerimento: Pensa a come viene istruito il dispositivo di accesso alla rete (l'AP o lo switch) per modificare il livello di accesso dell'utente al termine del controllo di posture.

Visualizza risposta modello

L'errore più probabile riguarda il Change of Authorization (CoA) di RADIUS. Il dispositivo è stato probabilmente inserito inizialmente in una VLAN di posture limitata. Anche se il controllo di posture è stato superato lato server, se il messaggio CoA è stato perso, bloccato da un firewall o non elaborato dall'access point, il dispositivo rimarrà bloccato nella VLAN limitata.

Q3. Gestisci il WiFi per una catena di negozi. I dispositivi aziendali sono gestiti tramite Intune, ma i direttori dei negozi collegano spesso iPad personali alla rete del personale. Desideri implementare controlli di posture per i dispositivi aziendali. Come dovresti gestire gli iPad personali?

Suggerimento: Considera se è possibile eseguire controlli agentless o basati su agenti su dispositivi che non possiedi.

Visualizza risposta modello

Non è possibile eseguire in modo affidabile controlli approfonditi di posture su dispositivi personali non gestiti senza causare notevoli attriti per l'utente. L'approccio migliore consiste nell'utilizzare la profilazione dell'identità o il MAB per identificare gli iPad personali e instradarli automaticamente verso una VLAN Guest o BYOD segmentata con solo accesso a Internet, aggirando i severi requisiti di posture applicati ai dispositivi aziendali.

Continua a leggere questa serie

Come configurare SCEP per la registrazione automatica dei certificati WiFi aziendali

Questa guida spiega come configurare SCEP (Simple Certificate Enrollment Protocol) per la registrazione automatica dei certificati WiFi aziendali, coprendo l'intera architettura, da PKI e NDES fino alla distribuzione dei profili MDM e alla convalida RADIUS. Si rivolge a responsabili IT, architetti di rete e CTO di hotel, catene di vendita al dettaglio, stadi, centri congressi e organizzazioni del settore pubblico che hanno l'esigenza di superare le chiavi precondivise e implementare un'autenticazione 802.1X EAP-TLS scalabile e basata sull'identità. La piattaforma cloud overlay di Purple, indipendente dall'hardware, si integra direttamente con questa architettura, fornendo il livello WiFi per ospiti e BYOD che si affianca alla rete del personale autenticata tramite certificato.

Leggi la guida →

La guida enterprise a SCEP: implementare il Simple Certificate Enrollment Protocol per la sicurezza automatizzata del WiFi nei campus

Questa guida di riferimento tecnico fornisce un modello architetturale definitivo e una strategia di implementazione passo-passo per la distribuzione dei certificati WiFi aziendali tramite SCEP. Copre le differenze cruciali tra SCEP e PKCS, l'esatta sequenza di implementazione necessaria per il successo e le strategie reali di mitigazione del rischio per i leader IT.

Leggi la guida →

Come implementare SCEP per l'assegnazione automatizzata dei certificati WiFi

Questa guida spiega come implementare SCEP (Simple Certificate Enrollment Protocol) per l'assegnazione automatizzata dei certificati WiFi nelle sedi aziendali. Copre l'intero schema architetturale - dalla progettazione PKI e integrazione MDM alla sequenza obbligatoria di implementazione in tre passaggi - e mostra ai manager IT e agli architetti di rete come eliminare le credenziali condivise, automatizzare la gestione del ciclo di vita dei certificati e soddisfare i requisiti PCI DSS e GDPR su scala globale.

Leggi la guida →