Vai al contenuto principale

Il ruolo di SCEP e NAC nelle moderne infrastrutture MDM

Questa guida offre un'analisi tecnica completa di come SCEP e NAC si integrano con le piattaforme MDM per fornire un accesso alla rete sicuro e zero-touch su scala aziendale. Copre l'intera architettura, dall'emissione dei certificati fino all'applicazione di 802.1X, con scenari di implementazione reali tratti dai settori dell'ospitalità e del retail. Progettata per i responsabili IT di grandi strutture che hanno l'esigenza di eliminare le vulnerabilità legate alle password, automatizzare il provisioning dei dispositivi e soddisfare i requisiti di conformità in questo trimestre.

📖 7 minuti di lettura📝 1,710 parole🔧 2 esempi pratici3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuti al Purple Technical Briefing. Sono il vostro ospite e oggi approfondiremo un tema di architettura fondamentale per le reti aziendali: il ruolo di SCEP e NAC nelle moderne infrastrutture MDM. Se siete direttori IT, architetti di rete o gestite le operazioni in una grande struttura - che si tratti di uno stadio, di un ospedale o di una catena retail - conoscete bene la complessità di associare i dispositivi in modo sicuro. I giorni delle chiavi pre-condivise sono finiti. Oggi parliamo di autenticazione basata su certificati. Esploreremo come il Simple Certificate Enrolment Protocol, o SCEP, si integri con il Network Access Control, o NAC, per automatizzare il provisioning dei dispositivi e imporre un accesso zero-trust. Entriamo subito nel vivo. Analizziamo l'architettura. Al centro abbiamo tre livelli: il livello dei dispositivi, il motore dei criteri e il livello di accesso alla rete. Quando un nuovo dispositivo aziendale o un endpoint BYOD necessita di accesso, si registra prima sulla piattaforma di Mobile Device Management. Ma l'MDM da solo non garantisce l'accesso alla rete. È qui che entra in gioco SCEP. SCEP funge da corriere automatizzato tra il vostro MDM e la vostra Certificate Authority. Invece di richiedere a un amministratore IT di generare e installare manualmente un certificato X.509 su ogni dispositivo, l'MDM invia un payload al dispositivo. Il dispositivo genera una Certificate Signing Request, o CSR, e la invia al server SCEP. La CA rilascia il certificato e il dispositivo dispone ora di un'identità crittograficamente sicura. Nessuna password da intercettare tramite phishing, nessuna chiave condivisa che possa trapelare. Ma un certificato è solo una carta d'identità. Serve comunque un buttafuori alla porta. Questo è il vostro NAC. Quando il dispositivo tenta di connettersi al WiFi - in genere utilizzando 802.1X EAP-TLS - l'access point wireless inoltra la richiesta al server RADIUS, governato dal motore dei criteri NAC. Il NAC controlla il certificato: è valido? È stato revocato? Ma il NAC moderno va oltre. Verifica lo stato del dispositivo sull'MDM: il sistema operativo è aggiornato? Il firewall è attivo? In caso positivo, il NAC indica allo switch o all'access point di inserire il dispositivo nella VLAN corretta. In caso negativo, lo sposta in una rete di remediation. Questa integrazione è fondamentale per ambienti come grandi catene retail o strutture sanitarie, dove coesistono laptop aziendali, dispositivi IoT e reti per gli ospiti. A proposito di reti ospiti, è proprio qui che piattaforme come il Guest WiFi e il WiFi Analytics di Purple si integrano perfettamente con i vostri SSID aziendali sicuri, garantendo che l'accesso pubblico sia isolato dalla vostra infrastruttura sicura e supportata da certificati. Quindi, come distribuire tutto questo senza compromettere la rete? Primo consiglio: utilizzate sempre EAP-TLS. Richiede certificati sia sul server che sul client, fornendo un'autenticazione reciproca. Secondo, prestate attenzione alle Certificate Revocation Lists, o CRL, e a OCSP. Se un dispositivo viene compromesso o un dipendente lascia l'azienda, revocare il certificato nella CA è inutile se il NAC non controlla lo stato di revoca in tempo reale. Un errore comune che riscontriamo nel settore dell'ospitalità e nei grandi locali è la mancata considerazione dei dispositivi IoT. Non tutti i sensori IoT o le smart TV supportano 802.1X o SCEP. Per questi, avrai bisogno di una strategia di fallback come il MAC Authentication Bypass, o MAB, strettamente controllato dal tuo NAC su porte di switch specifiche o VLAN isolate. Un altro errore riguarda i periodi di validità dei certificati. Non impostarli a 10 anni, ma non impostarli nemmeno a 30 giorni, a meno che il rinnovo automatico tramite SCEP non sia a prova di bomba. Una validità di un anno con rinnovo automatico al trentesimo giorno rappresenta un solido standard di settore. Rispondiamo ora a un paio di domande rapide che riceviamo spesso dai CTO. Domanda numero uno: possiamo usare il nostro Active Directory Certificate Services esistente per SCEP? Sì, Microsoft AD CS include un ruolo Network Device Enrollment Service, o NDES, che funge da server SCEP. Assicurati solo che sia adeguatamente protetto ed esposto al tuo MDM. Domanda numero due: questo sostituisce il nostro firewall? Assolutamente no. SCEP e NAC gestiscono l'autenticazione e il controllo degli accessi all'edge - Layer 2. Il firewall gestisce l'ispezione del traffico e la prevenzione delle minacce ai Layer da 3 a 7. Lavorano insieme. Per riassumere, la combinazione di SCEP, NAC e MDM offre un edge di rete zero-touch e altamente sicuro. Elimina i ticket di supporto legati alle password e garantisce che solo i dispositivi conformi accedano alla tua infrastruttura critica. Per i gestori di grandi locali, questo significa che le operazioni di back-of-house si svolgono in modo sicuro, consentendo di concentrarsi sull'esperienza front-of-house - che puoi potenziare con gli strumenti di analisi e di engagement di Purple. Inizia controllando le tue attuali funzionalità MDM e assicurandoti che la tua infrastruttura RADIUS supporti EAP-TLS. Mappa le tipologie di dispositivi ed esegui prima un progetto pilota con i dispositivi del tuo team IT. Grazie per aver seguito questo briefing tecnico. Rimani al sicuro e ci vediamo al prossimo appuntamento.

header_image.png

Executive Summary

Per le sedi aziendali - dagli stadi da 80.000 posti alle catene di vendita al dettaglio multisede - la sicurezza del perimetro di rete è andata decisamente oltre le chiavi pre-condivise e la gestione manuale delle credenziali. La proliferazione di endpoint aziendali, dispositivi BYOD e infrastrutture IoT richiede un'architettura zero-trust che si adatti alle diverse esigenze senza gravare sull'help desk IT.

Questa guida illustra in dettaglio l'architettura tecnica per l'integrazione del Simple Certificate Enrolment Protocol (SCEP) e del Network Access Control (NAC) con l'infrastruttura Mobile Device Management (MDM). Sfruttando SCEP per automatizzare la distribuzione dei certificati X.509 e il NAC per applicare l'autenticazione IEEE 802.1X EAP-TLS, le organizzazioni possono ottenere un provisioning zero-touch, eliminare i percorsi di furto delle credenziali e imporre un accesso alla rete dinamico basato sulla postura. Mentre l'accesso rivolto al pubblico è gestito tramite una soluzione dedicata di Guest WiFi , questa architettura protegge le operazioni critiche di back-of-house che mantengono in funzione la struttura. Il risultato è una drastica riduzione dei costi generali IT, una maggiore conformità ai requisiti PCI-DSS e GDPR e l'applicazione proattiva dei principi zero-trust sul perimetro di rete.


Approfondimento Tecnico

L'Architettura a Tre Livelli

La moderna sicurezza di rete si basa sull'identità crittografica piuttosto che sulla conoscenza dell'utente. Lo stack SCEP-NAC-MDM opera su tre livelli principali:

Livello Componenti Funzione
Gestione dei dispositivi MDM / UEM Autorità centrale per la configurazione, la conformità e il ciclo di vita dei dispositivi
Identità ed emissione PKI / SCEP / CA Genera, emette e gestisce i certificati digitali
Applicazione dell'accesso NAC / RADIUS Valuta i certificati e la postura dei dispositivi prima di concedere l'accesso alla rete

Questi livelli non sono sequenziali - operano in un ciclo di feedback continuo. L'MDM informa il NAC sullo stato di conformità in tempo reale, mentre il NAC può attivare flussi di lavoro di rimedio dell'MDM quando un dispositivo non supera un controllo di postura.

architecture_overview.png

Come SCEP Automatizza la PKI su Scala

La distribuzione manuale dei certificati è operativamente impossibile su larga scala. Un parco di 500 dispositivi richiederebbe a un amministratore IT di generare, firmare e installare un singolo certificato X.509 su ogni dispositivo - un processo che richiede diversi minuti per dispositivo e introduce un rischio significativo di errore umano. SCEP elimina completamente questo problema.

Quando un dispositivo si registra nel MDM, il MDM invia un profilo di configurazione contenente un payload SCEP. Il payload indica al dispositivo di generare localmente una coppia di chiavi - aspetto fondamentale, la chiave privata non lascia mai il dispositivo - e di inviare una richiesta di firma del certificato (CSR) al server SCEP. Il server SCEP (solitamente il Network Device Enrolment Service (NDES) di Microsoft o un equivalente basato su cloud) convalida la richiesta confrontandola con il MDM per confermare che il dispositivo sia autorizzato. Successivamente, inoltra la CSR alla Certificate Authority (CA), che emette il certificato X.509 firmato. Il certificato viene restituito al dispositivo e installato nella sua enclave sicura o nel keystore di sistema.

L'intero processo avviene in background, via etere, senza alcuna interazione da parte dell'utente. Per un'implementazione su 1.000 dispositivi, l'intero parco certificati può essere fornito entro poche ore dal completamento della registrazione nel MDM.

NAC e 802.1X EAP-TLS: Lo Strato di Esecuzione delle Policy

Una volta che un dispositivo possiede un certificato valido, tenta di connettersi all'SSID aziendale o alla porta cablata utilizzando lo standard IEEE 802.1X. L'access point o lo switch funge da autenticatore, inoltrando la richiesta a un server RADIUS gestito dal motore di policy del NAC. Il metodo EAP più sicuro è EAP-TLS, che richiede l'autenticazione reciproca - sia il client che il server RADIUS devono presentare certificati validi, prevenendo attacchi man-in-the-middle tramite access point fraudolenti. Il NAC esegue diversi controlli critici in sequenza:

  1. Validazione crittografica: Il certificato è matematicamente valido e firmato da una CA radice attendibile?
  2. Verifica della revoca: Il certificato è inserito in una Certificate Revocation List (CRL) o segnalato tramite l'Online Certificate Status Protocol (OCSP)?
  3. Valutazione dello stato di sicurezza: Interrogando il MDM tramite API, il NAC verifica: Il dispositivo è conforme? Il sistema operativo è aggiornato con le patch richieste? La crittografia del disco è abilitata?

Se tutti i controlli vengono superati, il NAC invia un messaggio di Access-Accept RADIUS, che in genere contiene attributi specifici del fornitore (VSA) che assegnano dinamicamente il dispositivo a una specifica VLAN o applicano liste di controllo degli accessi (ACL). I dispositivi non conformi vengono inseriti in una VLAN di remediation con permessi limitati - solitamente sufficienti solo a ad attivare flussi di lavoro di remediation gestiti dal MDM.

scep_nac_workflow.png

Segregazione della Rete Guest

In qualsiasi tipo di locale, l'infrastruttura aziendale deve essere rigorosamente segregata dalle reti rivolte al pubblico. La piattaforma di WiFi per ospiti opera interamente su SSID e VLAN separati, senza percorsi instradati verso le risorse aziendali. L'architettura SCEP-NAC governa il livello aziendale; il livello ospiti è controllato dall'autenticazione tramite Captive Portal e dai flussi di lavoro di acquisizione dati. Per i locali che implementano WiFi Analytics , questa segregazione è un prerequisito - i dati analitici fluiscono attraverso la rete ospiti, mentre i dati operativi fluiscono attraverso la rete aziendale autenticata tramite certificato. Per ulteriori informazioni sull'architettura RF sottostante che supporta entrambe le reti, consultare la Guida 2026 alle frequenze WiFi .


Guida all'implementazione

La distribuzione di questa architettura richiede una sequenza attenta per evitare di bloccare gli utenti legittimi durante la transizione.

Passaggio 1: Preparazione della PKI e del protocollo SCEP

Stabilire una PKI interna robusta o sfruttare un servizio PKI gestito basato su cloud (mPKI). Distribuire e proteggere il server SCEP - se si utilizza Microsoft NDES, assicurarsi che venga eseguito su un server dedicato anziché in co-locazione con la CA. Configurare il server SCEP per l'utilizzo di password di verifica dinamiche generate per dispositivo dall'MDM, anziché un segreto condiviso statico. Questo impedisce richieste di certificato non autorizzate nel caso in cui l'URL SCEP venga scoperto.

Passaggio 2: Configurazione dell'MDM

Creare il payload SCEP nella piattaforma MDM. Definire attentamente i campi Subject Alternative Name (SAN) - il SAN deve contenere identificatori univoci (come il numero di serie del dispositivo o l'UPN dell'utente) che il NAC utilizzerà per le decisioni relative ai criteri. Distribuire inizialmente il profilo a un gruppo pilota di dispositivi del team IT e convalidare l'intero flusso di registrazione prima di qualsiasi distribuzione più ampia.

Passaggio 3: Configurazione di NAC e RADIUS

Configurare il NAC per considerare attendibile la CA radice che ha emesso i certificati client. Installare un certificato server sul server RADIUS per l'autenticazione reciproca EAP-TLS. Definire i criteri di accesso in base agli attributi del certificato e allo stato di conformità MDM. Implementare regole di assegnazione dinamica della VLAN: dispositivi aziendali conformi alla VLAN aziendale, dispositivi non conformi alla VLAN di remediation e dispositivi IoT a una VLAN dedicata e limitata a Internet.

Passaggio 4: Integrazione dell'infrastruttura di rete

Configurare switch e access point wireless per lo standard 802.1X. Per scenari con hardware POS legacy negli ambienti del settore retail , o controller per camere smart nei locali del settore hospitality , implementare il MAC Authentication Bypass (MAB) come alternativa per i dispositivi che non possono partecipare a EAP-TLS. Limitare il MAB a porte di switch specifiche e assicurarsi che il database degli indirizzi MAC sia controllato rigorosamente. Per gli ambienti del settore sanitario e del settore trasporti , configurare le regole di valutazione della postura per soddisfare i requisiti di conformità specifici del settore.

Passaggio 5: Implementazione parallela e transizione

Non effettuare mai la transizione immediatamente. Trasmetti il nuovo SSID 802.1X in parallelo alla rete esistente. Distribuisci il nuovo profilo WiFi tramite MDM. Monitora l'adozione e risolvi gli errori di registrazione. Quando più del 95% dei dispositivi si autentica con successo sul nuovo SSID, disattiva la rete legacy.


Best Practice

Imponi EAP-TLS. Non accettare mai EAP-PEAP o EAP-TTLS come metodo di autenticazione primario per i dispositivi aziendali. Questi metodi si basano su credenziali nome utente/password all'interno di un tunnel TLS e rimangono vulnerabili alla raccolta di credenziali. L'autenticazione EAP-TLS elimina completamente questa superficie di attacco.

Implementa la revoca in tempo reale. I download pianificati delle CRL creano finestre di esposizione. Configura il NAC per eseguire controlli OCSP in tempo reale. Quando un dispositivo viene segnalato come smarrito o rubato, revoca il certificato presso la CA e il dispositivo perderà l'accesso alla rete al successivo tentativo di autenticazione - o immediatamente, se è implementato il Change of Authorisation (CoA).

Imposta periodi di validità dei certificati ragionevoli. Un periodo di validità di un anno, con rinnovo SCEP automatico attivato 30 giorni prima della scadenza, rappresenta lo standard del settore. Una validità più lunga aumenta la finestra di esposizione in caso di compromissione del certificato; una validità più breve aumenta il rischio che errori di rinnovo causino interruzioni del servizio.

Segrega l'IoT in modo rigoroso. I dispositivi IoT non dovrebbero mai condividere una VLAN con gli endpoint aziendali. Utilizza il NAC per applicare ACL rigide sulla VLAN IoT, consentendo solo i protocolli e le destinazioni specifici richiesti da ciascuna classe di dispositivi. Per le sedi che implementano servizi di localizzazione, consulta la guida Indoor WiFi Positioning Systems: How They Work and How to Deploy Them per scoprire come l'infrastruttura di posizionamento si integra con l'architettura di rete più ampia.

Allineati con WPA3. Laddove l'hardware lo supporti, configura gli SSID aziendali per utilizzare WPA3-Enterprise, che impone i Protected Management Frames (PMF) e fornisce una protezione crittografica più solida rispetto a WPA2. Per dettagli su come questo si inserisce nel panorama più ampio della connettività aziendale, consulta SD-WAN vs MPLS: A 2026 Guide to Enterprise Networking .


Risoluzione dei problemi e mitigazione dei rischi

Modalità di guasto Causa principale Mitigazione
I dispositivi falliscono l'autenticazione EAP-TLS dopo il rinnovo del certificato Il rinnovo SCEP fallisce in modo silenzioso Monitora i log del server SCEP; imposta avvisi per gli invii CSR falliti
La convalida del certificato fallisce a causa del disallineamento dell'orologio Configurazione errata di NTP Imponi la sincronizzazione NTP su tutti gli endpoint e sull'infrastruttura
I dispositivi IoT non riescono a eseguire l'autenticazione Assenza di un supplicant 802.1X Implementa MAB con controlli rigorosi sugli indirizzi MAC e una VLAN isolata
Blocco di massa dei dispositivi dopo la migrazione della CA CA radice legacy non considerata attendibile dal NAC Organizza le migrazioni della CA in fasi; aggiungi la nuova CA radice al trust store del NAC prima di revocare quella vecchia
I dispositivi revocati mantengono l'accesso alla rete Revoca basata solo su CRL con lunghi intervalli di download Implementa OCSP e CoA per la revoca in tempo reale
Per i dispositivi IoT basati su BLE, l'architettura di autenticazione differisce dai terminali connessi via WiFi. Consulta BLE Low Energy Explained for the Enterprise per le considerazioni di sicurezza specifiche che si applicano all'infrastruttura Bluetooth Low Energy.

ROI e Impatto Aziendale

Il business case per l'integrazione SCEP-NAC-MDM è evidente se confrontato con il costo delle alternative.

Metrica Prima dell'implementazione Dopo l'implementazione
Ticket del service desk IT (accesso alla rete) Elevati - reimpostazioni password, rotazioni delle chiavi Quasi zero - ciclo di vita dei certificati automatizzato
Tempo medio per revocare un dispositivo compromesso Ore (processo manuale) Secondi (OCSP + CoA)
Conformità al controllo degli accessi PCI-DSS Manuale, ad alta intensità di audit Automatizzata, applicata continuamente
Tempo di onboarding BYOD 15-30 minuti per dispositivo Meno di 5 minuti con zero intervento IT

Per un parco dispositivi di 500 unità, l'eliminazione della gestione manuale dei certificati e dei ticket del service desk legati alle password riduce tipicamente i costi operativi del supporto IT di rete del 25-35%. Il valore di mitigazione del rischio - evitando una singola violazione basata sulle credenziali - supera abitualmente l'intero costo di implementazione. Per le organizzazioni del settore pubblico e sanitario vincolate dal GDPR, la capacità di dimostrare un controllo degli accessi automatizzato e verificabile rappresenta un significativo vantaggio in termini di conformità.

Definizioni chiave

SCEP (Simple Certificate Enrollment Protocol)

Un protocollo che automatizza l'emissione e la revoca di certificati digitali ai dispositivi senza l'intervento dell'utente, fungendo da livello di comunicazione tra la piattaforma MDM e l'Autorità di Certificazione.

Utilizzato dalle piattaforme MDM per distribuire in modo trasparente certificati X.509 a migliaia di endpoint su scala. I team IT utilizzano SCEP durante la configurazione dei profili MDM per l'autenticazione WiFi 802.1X.

NAC (Network Access Control)

Una soluzione di sicurezza che applica policy sui dispositivi che cercano di accedere all'infrastruttura di rete, valutando le credenziali di autenticazione, la validità dei certificati e lo stato di conformità del dispositivo prima di concedere l'accesso.

Agisce come custode al perimetro della rete. I team IT configurano le policy NAC per definire quali dispositivi hanno accesso a quali VLAN in base ai loro attributi di certificato e allo stato di conformità MDM.

MDM (Mobile Device Management)

Software utilizzato dai dipartimenti IT per monitorare, gestire e proteggere gli endpoint dei dipendenti su più sistemi operativi, fungendo da fonte centrale di verità per l'identità e la conformità dei dispositivi.

L'iniziatore del processo di registrazione SCEP e la fonte dei dati sullo stato del dispositivo interrogati dal NAC. Senza l'integrazione MDM, il NAC non può eseguire il controllo degli accessi basato sullo stato di conformità.

IEEE 802.1X

Uno standard IEEE per il controllo degli accessi alla rete basato su porte che fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN, richiedendo un'autenticazione corretta prima dell'apertura della porta.

Il protocollo sottostante che costringe i dispositivi ad autenticarsi prima che lo switch o l'access point consentano il passaggio di qualsiasi traffico. Configurato sia sull'infrastruttura di rete che sul supplicant 802.1X del dispositivo.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Lo standard EAP più sicuro, che richiede un'autenticazione reciproca in cui sia il dispositivo client che il server RADIUS devono presentare certificati digitali validi, eliminando gli attacchi alle credenziali basati su password.

Il gold standard per la sicurezza wireless aziendale. Gli architetti IT dovrebbero imporre EAP-TLS rispetto a PEAP o TTLS ovunque sia presente un'infrastruttura di certificati di dispositivo.

CSR (Certificate Signing Request)

Un blocco di testo codificato generato da un dispositivo contenente la sua chiave pubblica e i dettagli di identità, inviato all'Autorità di Certificazione per richiedere un certificato X.509 firmato.

Generata automaticamente dal dispositivo durante il processo di registrazione SCEP. La chiave privata corrispondente alla CSR non lascia mai il dispositivo, garantendo che il certificato non possa essere duplicato.

MAB (MAC Authentication Bypass)

Un metodo di autenticazione di fallback in cui la rete utilizza l'indirizzo MAC hardware del dispositivo come credenziale, utilizzato per i dispositivi che non dispongono della funzionalità supplicant 802.1X.

Utilizzato per dispositivi IoT legacy come stampanti, sensori e controller di sale intelligenti che non possono partecipare a EAP-TLS. Dovrebbe sempre tradursi nell'assegnazione a una VLAN altamente limitata.

OCSP (Online Certificate Status Protocol)

Un protocollo internet utilizzato per ottenere lo stato di revoca di un certificato digitale X.509 in tempo reale, fornendo un'alternativa al download e all'analisi delle Certificate Revocation List (liste di revoca dei certificati).

Fondamentale per i sistemi NAC che devono bloccare immediatamente l'accesso alla rete quando un dispositivo è compromesso o segnalato come rubato. OCSP fornisce lo stato in tempo reale; i download delle CRL creano una finestra temporale di vulnerabilità prima della revoca.

CoA (Change of Authorization)

Un'estensione RADIUS (RFC 5176) che consente al NAC di modificare o terminare dinamicamente una sessione di rete attiva senza attendere la scadenza della sessione o la ri-autenticazione del dispositivo.

Utilizzato per disconnettere immediatamente un dispositivo quando il suo certificato viene revocato o il suo stato di conformità MDM cambia. Essenziale per l'applicazione in tempo reale del modello zero-trust.

Esempi pratici

Un resort di lusso da 500 camere deve proteggere la propria rete operativa per il personale di servizio. Lo staff utilizza tablet condivisi per la gestione delle pulizie, mentre il management utilizza laptop aziendali. L'attuale rete WPA2-PSK ha subìto più volte la compromissione della chiave pre-condivisa, provocando due incidenti di sicurezza nell'ultimo anno. In che modo il team IT dovrebbe passare all'autenticazione basata su certificati senza interrompere le attività operative?

Fase 1 - Preparazione (Settimane 1–2): Distribuire una soluzione cloud RADIUS/NAC e integrarla con il MDM esistente. Configurare un profilo SCEP nel MDM per distribuire certificati basati sul dispositivo a tutti i tablet e laptop. Utilizzare certificati basati sul dispositivo (collegati al numero di serie del dispositivo) anziché certificati basati sull'utente, in modo che i tablet condivisi si autentichino automaticamente indipendentemente da quale membro dello staff li stia utilizzando. Fase 2 - Distribuzione parallela (Settimane 3–4): Trasmettere un nuovo SSID nascosto configurato per 802.1X EAP-TLS. Inviare il nuovo profilo WiFi tramite MDM a tutti i dispositivi registrati. Monitorare la dashboard del NAC per verificare le autenticazioni andate a buon fine. Fase 3 - Passaggio definitivo (Settimana 5): Una volta che oltre il 95% dei dispositivi è connesso al nuovo SSID, dismettere la vecchia rete WPA2-PSK. Revocare la vecchia PSK da tutta la documentazione e dagli access point.

Commento dell'esaminatore: L'approccio basato su certificati di dispositivo è la scelta corretta per gli ambienti con dispositivi condivisi. I certificati basati sull'utente richiederebbero che ogni membro dello staff avesse il proprio certificato, creando un sovraccarico di gestione che annullerebbe i vantaggi dell'automazione. La strategia di distribuzione parallela è fondamentale - un passaggio immediato bloccherebbe qualsiasi dispositivo con registrazione SCEP fallita, causando interruzioni operative. L'SSID nascosto per la nuova rete impedisce agli ospiti di tentare la connessione alla rete aziendale durante il periodo di transizione.

Una catena retail nazionale sta distribuendo 3.000 nuovi terminali Point of Sale in 150 negozi. Il team di sicurezza impone una rigida segmentazione della rete PCI-DSS e un accesso zero-trust. La tempistica di distribuzione è di 8 settimane. In che modo SCEP e NAC facilitano questo processo su scala senza richiedere personale IT in ogni negozio?

Pre-distribuzione: Il fornitore dei POS registra preventivamente tutti i 3.000 dispositivi nel MDM del retailer utilizzando il programma di registrazione zero-touch del fornitore. Il MDM viene configurato con un profilo SCEP che si attiverà automaticamente al primo avvio. Distribuzione: Quando un terminale POS viene acceso in negozio, si connette a un SSID di onboarding temporaneo (solo internet, nessun accesso aziendale). Viene inviato il profilo MDM, si attiva il payload SCEP e il dispositivo richiede e riceve il suo certificato X.509 dalla CA. Il MDM invia quindi il profilo WiFi aziendale. Accesso alla rete: Quando il POS si connette alla porta dello switch del negozio, lo switch avvia il protocollo 802.1X. Il NAC convalida il certificato, interroga il MDM per confermare che il POS sia conforme (crittografia abilitata, agente MDM attivo, nessun jailbreak rilevato) e assegna dinamicamente la porta dello switch alla VLAN PCI-DSS. Il POS è ora operativo. Non è stato richiesto alcun personale IT in negozio.

Commento dell'esaminatore: Questo scenario dimostra l'efficacia della combinazione tra registrazione MDM zero-touch e automazione SCEP. L'SSID temporaneo di onboarding è un elemento di progettazione fondamentale - fornisce l'accesso a internet per il processo di registrazione MDM senza esporre la rete aziendale. L'assegnazione dinamica della VLAN garantisce che, anche se un dispositivo non autorizzato riuscisse in qualche modo a ottenere un indirizzo MAC valido, non supererebbe comunque il controllo del certificato EAP-TLS e gli verrebbe negato l'accesso alla VLAN PCI. Questa architettura soddisfa contemporaneamente i requisiti PCI-DSS Requirement 1 (segmentazione della rete) e Requirement 8 (identificazione univoca del dispositivo).

Domande di esercitazione

Q1. La tua organizzazione sta migrando da WPA2-Enterprise con PEAP-MSCHAPv2 a EAP-TLS. Durante il pilot, i laptop Windows e gli iPhone si connettono correttamente, ma 200 scanner di codici a barre del magazzino non riescono a autenticarsi. Gli scanner supportano l'802.1X ma non possono elaborare il payload SCEP dal MDM - eseguono un sistema operativo proprietario integrato senza supporto per l'agente MDM. Qual è la soluzione architetturale più sicura che mantiene la segmentazione della rete senza richiedere la sostituzione degli scanner?

Suggerimento: Considera meccanismi alternativi di distribuzione dei certificati che non richiedano un agente MDM e quali controlli di segmentazione della rete dovrebbero applicarsi ai dispositivi che non possono partecipare a una valutazione completa della postura.

Visualizza risposta modello

Poiché gli scanner supportano l'802.1X ma non lo SCEP o la registrazione MDM, l'approccio più sicuro consiste nel fornire manualmente i certificati del dispositivo utilizzando un modello di certificato dedicato con un profilo di utilizzo delle chiavi limitato. I certificati vengono installati una sola volta durante una finestra di manutenzione. Il NAC è configurato per accettare questi certificati ma assegnare gli scanner a una VLAN dedicata alle operazioni di magazzino con ACL rigorose - non la VLAN aziendale completa - perché la valutazione della postura non è possibile. In alternativa, se il provisioning manuale dei certificati non è scalabile a livello operativo, configurare il MAB come fallback specificamente per le OUI MAC dell'hardware dello scanner, con il NAC che li assegna alla stessa VLAN limitata. Registra questa eccezione nota nel registro dei rischi e pianifica la sostituzione dello scanner nel prossimo ciclo di aggiornamento hardware.

Q2. Un responsabile della sicurezza di rete nota che quando un dipendente segnala il furto di un laptop, l'MDM invia un comando di inizializzazione remota, ma il dispositivo rimane connesso alla rete WiFi aziendale fino a 12 ore - l'attuale timeout della sessione RADIUS. Durante questa finestra, il dispositivo potrebbe essere utilizzato per esfiltrare dati. Come dovrebbe essere modificata l'architettura per interrompere l'accesso alla rete immediatamente dopo la segnalazione del furto del dispositivo?

Suggerimento: Il NAC deve essere informato del cambio di stato istantaneamente anziché attendere il ciclo di autenticazione successivo. Considera sia il meccanismo di terminazione della sessione sia il meccanismo di prevenzione della ri-autenticazione.

Visualizza risposta modello

Implementa due controlli complementari. Innanzitutto, configura l'MDM per inviare un webhook al NAC immediatamente dopo che un dispositivo è stato contrassegnato come smarrito o rubato. Il NAC invia quindi un messaggio RADIUS Change of Authorization (CoA) Disconnect-Request all'access point specifico o alla porta dello switch, terminando immediatamente la sessione attiva. In secondo luogo, revoca il certificato del dispositivo nella CA e assicurati che il NAC sia configurato per il controllo OCSP in tempo reale anziché per la revoca basata su CRL. Ciò significa che anche se il dispositivo si riconnette prima che il CoA venga elaborato, l'autenticazione EAP-TLS fallirà al controllo OCSP. Entrambi i controlli insieme riducono la finestra di esposizione da 12 ore a meno di 60 secondi.

Q3. Durante un audit di sicurezza della rete di un grande centro congressi, si scopre che il server SCEP è esposto a internet pubblico utilizzando una password di verifica statica per consentire la registrazione remota dei dispositivi. L'auditor lo segnala come una vulnerabilità critica. Come dovrebbe essere riprogettato il processo di registrazione SCEP per mantenere la capacità di registrazione remota eliminando al contempo il rischio legato alla password statica?

Suggerimento: Il server SCEP ha bisogno di un modo per verificare che il dispositivo che richiede un certificato sia effettivamente autorizzato dall'MDM, senza fare affidamento su un segreto condiviso che potrebbe essere estratto da un dispositivo o intercettato.

Visualizza risposta modello

Sostituire la password di verifica statica con password di verifica monouso dinamiche per singolo dispositivo generate dall'MDM. Il flusso di lavoro diventa: (1) L'MDM genera una password di verifica univoca a tempo limitato per ciascun dispositivo durante la registrazione. (2) L'MDM include questa verifica nel payload SCEP inviato al dispositivo. (3) Il dispositivo include la verifica nella sua CSR. (4) Il server SCEP convalida la verifica con l'MDM tramite API prima di inoltrare la CSR alla CA. (5) La verifica viene invalidata immediatamente dopo l'uso. Questo garantisce che solo i dispositivi gestiti dall'MDM possano ottenere correttamente un certificato e che, anche se l'URL SCEP venisse scoperto, un utente malintenzionato non possa generare certificati validi senza una verifica monouso valida. Inoltre, limitare il server SCEP al solo HTTPS e implementare l'allowlist degli IP per gli IP di uscita dell'MDM ove possibile.