Valutazione della postura NAC: garantire la conformità dei dispositivi gestiti prima dell'accesso alla rete

Benvenuti alla serie di Technical Briefing di Purple. Oggi approfondiremo una delle aree più critiche dal punto di vista operativo — e spesso meno comprese — della sicurezza delle reti aziendali: la valutazione della postura NAC, e in particolare come garantire che solo i dispositivi gestiti e conformi accedano alla rete prima ancora di aver inviato un singolo pacchetto di traffico di produzione. Se siete IT manager, network architect o CTO responsabili di un patrimonio multi-sito — che si tratti di un gruppo alberghiero, una catena retail, uno stadio o un'organizzazione del settore pubblico — questo tema è direttamente rilevante per la vostra postura di sicurezza in questo momento. Copriremo l'architettura, gli standard, i modelli di implementazione reali e le insidie che mettono in difficoltà anche i team più esperti. Entriamo nel vivo. Quindi, cos'è esattamente la valutazione della postura NAC? Il Network Access Control, o NAC, è il framework generale che disciplina quali dispositivi possono connettersi alla rete e a quali condizioni. La valutazione della postura è lo specifico meccanismo all'interno del NAC che interroga lo stato di sicurezza di un dispositivo prima — o subito dopo — la sua connessione. Pensatelo come un controllo sanitario all'ingresso. Il dispositivo non deve solo dimostrare chi è; deve dimostrare di essere in uno stato idoneo per essere considerato affidabile. L'architettura qui presenta tre componenti chiave. In primo luogo, abbiamo il Policy Enforcement Point — il PEP. Questo è tipicamente il vostro access point, il vostro switch o il vostro controller wireless. È il guardiano che controlla fisicamente il flusso del traffico. In secondo luogo, abbiamo il Policy Decision Point — il PDP. Questo è il vostro motore NAC, spesso integrato con un server RADIUS o AAA. Riceve i dati sulla postura, li valuta rispetto alle vostre policy e indica al PEP cosa fare. In terzo luogo, abbiamo il Posture Assessment Engine stesso — si tratta di un agent in esecuzione sull'endpoint o di un meccanismo agentless che utilizza protocolli come SNMP, WMI o SSH per interrogare il dispositivo da remoto. Ora, il livello di autenticazione alla base di tutto questo è lo standard IEEE 802.1X. Si tratta dello standard di controllo dell'accesso alla rete basato su porta che esiste dal 2001, ma che rimane ancora oggi la spina dorsale del NAC aziendale. Lo standard 802.1X definisce tre ruoli: il Supplicant — ovvero il dispositivo che tenta di connettersi; l'Authenticator — il vostro switch o access point; e l'Authentication Server — il vostro server RADIUS. Il Supplicant e l'Authentication Server comunicano tramite EAP — l'Extensible Authentication Protocol — incapsulato attraverso l'Authenticator. EAP-TLS, che utilizza l'autenticazione reciproca basata su certificati, rappresenta qui il gold standard. È ciò che dovreste implementare se volete fare sul serio con la conformità dei dispositivi gestiti. Cosa analizza effettivamente il controllo di postura? Ci sono sei categorie principali. Livello di patch del sistema operativo: il dispositivo esegue una versione del sistema operativo supportata e le patch critiche vengono applicate entro la finestra temporale definita? Stato della sicurezza degli endpoint: è installato un agente AV o EDR approvato, attivo e con definizioni aggiornate? Stato del firewall: il firewall basato su host è abilitato e la sua policy è intatta? Crittografia del disco: la crittografia completa del disco è attiva e non sospesa? Validità del certificato: il dispositivo possiede un certificato macchina valido e attendibile emesso dalla PKI? E infine, conformità della configurazione: la configurazione di sicurezza del dispositivo corrisponde alla baseline definita? In base all'esito di questi controlli, il motore delle policy del NAC assegna uno dei tre stati. Conforme: il dispositivo supera tutti i controlli richiesti e ottiene l'accesso completo alla rete, in genere alla VLAN o al ruolo assegnato. Condizionale: il dispositivo supera i controlli critici ma fallisce uno o più controlli non critici; ottiene un accesso limitato, forse solo a Internet, con una notifica all'utente. E Non Conforme: il dispositivo fallisce un controllo critico e viene inserito in una VLAN di quarantena con accesso esclusivo a un portale di remediation. Quel portale di remediation è il luogo in cui il dispositivo può scaricare patch, aggiornare le definizioni AV o ricevere istruzioni per la remediation manuale. Ora, come si inserisce il WPA3 in tutto questo? Il WPA3-Enterprise, in particolare con la modalità a 192 bit, rafforza il livello crittografico al di sotto dell'802.1X. Impone GCMP-256 per la crittografia e HMAC-SHA-384 per l'integrità, il che è particolarmente rilevante per gli ambienti che gestiscono dati di carte di pagamento o dati personali sensibili ai sensi del GDPR. Se gestisci un ambiente retail nell'ambito del PCI DSS o una struttura sanitaria soggetta ai requisiti di governance dei dati del NHS, il WPA3-Enterprise dovrebbe essere presente nella tua roadmap per le nuove implementazioni. Parliamo della valutazione della postura agentless rispetto a quella basata su agent, perché questo rappresenta un vero e proprio punto di decisione architetturale. La valutazione basata su agent, in cui un client leggero viene eseguito sull'endpoint, offre la visibilità più profonda. Consente di interrogare chiavi di registro, processi in esecuzione, software installato e lo stato di sicurezza in tempo reale. Il compromesso è il sovraccarico di implementazione: è necessaria una piattaforma MDM o di gestione degli endpoint per distribuire e mantenere l'agente in tutta l'infrastruttura. La valutazione agentless utilizza l'interrogazione basata sulla rete: SNMP, WMI sulla rete o chiamate API alla piattaforma MDM. È più facile da implementare ma offre una visibilità meno profonda ed è più suscettibile di elusione. Per un parco macchine aziendale gestito, la soluzione basata su agent è la risposta corretta. Per gli ambienti in cui è presente un mix di dispositivi gestiti e non gestiti, come il centro congressi o la rete del retrobottega di un hotel, un approccio ibrido ha più senso. Un altro punto architetturale che vale la pena evidenziare: la valutazione continua della postura rispetto a quella puntuale. La maggior parte delle implementazioni NAC legacy controlla la postura solo al momento della connessione. Si tratta di una lacuna significativa. Un dispositivo conforme alle nove del mattino, quando si è connesso, potrebbe avere l'antivirus disattivato da un utente alle undici. Le moderne piattaforme NAC supportano la valutazione continua — rivalutando la postura a intervalli definiti o in risposta a eventi — e modificando dinamicamente il livello di accesso alla rete del dispositivo senza richiedere una riconnessione. Questa è la direzione in cui dovreste muovervi. Bene, passiamo alla pratica. Quando si distribuisce la valutazione della postura NAC, l'errore più comune che riscontro è passare direttamente alla modalità di applicazione (enforcement). Non fatelo. Iniziate in modalità di monitoraggio — a volte chiamata modalità di audit o di visibilità. Eseguite i controlli di postura, registrate i risultati, ma non applicate le policy. Eseguite questo test per almeno due-quattro settimane. Scoprirete quasi certamente dispositivi di cui non conoscevate l'esistenza sulla vostra rete e vi accorgerete che una percentuale significativa dei vostri dispositivi noti non supera uno o più controlli di postura. Utilizzate questi dati per sistemare il vostro parco macchine prima di applicare le regole. La seconda insidia è l'infrastruttura dei certificati. La valutazione della postura basata su agent con EAP-TLS richiede una PKI funzionante. Se non ne avete una, o se la gestione del ciclo di vita dei certificati è manuale e ad hoc, subirete delle interruzioni. I certificati scadono. I dispositivi vengono reinstallati senza certificati. Pianificate la vostra PKI prima di pianificare la distribuzione del NAC. Terzo: la progettazione delle VLAN. La vostra VLAN di quarantena deve essere realmente isolata — non solo una subnet diversa sulla stessa infrastruttura fisica. Dovrebbe avere accesso solo al vostro portale di remediation e, se necessario, a Windows Update o al vostro server di gestione delle patch. Se la vostra VLAN di quarantena ha un qualsiasi percorso verso i sistemi di produzione, avete creato una falsa sensazione di sicurezza. Quarto: eccezioni e processi di bypass. Ogni organizzazione ha dispositivi che non possono eseguire un agent — stampanti, sensori IoT, sistemi di gestione degli edifici. È necessario un processo documentato e approvato per concedere il bypass dell'autenticazione MAC a questi dispositivi, con controlli compensativi. Se non definite questo processo in anticipo, vi ritroverete con una whitelist informale di cui nessuno è responsabile e che nessuno controlla. Dal punto di vista degli standard, allineate la vostra policy di postura ai CIS Benchmarks per le vostre piattaforme di sistema operativo. Questi sono neutrali rispetto ai vendor, aggiornati regolarmente e ampiamente accettati come base di riferimento per la sicurezza degli endpoint aziendali. Per gli ambienti PCI DSS, il Requisito 6.3 sulla gestione delle patch e il Requisito 5.3 sull'anti-malware si collegano direttamente alle vostre categorie di controllo della postura. Ora passiamo a qualche domanda a risposta rapida. La valutazione della postura NAC può funzionare per i dispositivi BYOD? Sì, ma è necessario un percorso di policy separato. I dispositivi BYOD in genere utilizzano un metodo EAP diverso — EAP-PEAP con credenziali utente anziché EAP-TLS con certificati macchina — e ricevono un segmento di rete più limitato. I controlli di postura per il BYOD sono solitamente più leggeri: versione del sistema operativo, presenza di un antivirus di base, blocco dello schermo abilitato. Come interagisce questo con una rete WiFi per gli ospiti? Non interagisce, e non dovrebbe farlo. Il WiFi per gli ospiti è un SSID e un segmento di rete completamente separato, isolato dalla tua infrastruttura aziendale. La valutazione della postura NAC si applica solo al tuo SSID aziendale. Le due reti non dovrebbero mai condividere una VLAN o instradarsi l'una verso l'altra. Qual è la tempistica tipica per un'implementazione NAC completa? Per un'azienda di medie dimensioni — ad esempio, da cinquecento a duemila endpoint su più sedi — sono necessarie da dodici a sedici settimane dalla progettazione all'applicazione completa. Ciò include la configurazione della PKI, l'implementazione degli agent, la modalità di monitoraggio, la remediation e l'applicazione graduale delle policy. Per riassumere: la valutazione della postura NAC è il meccanismo che garantisce che il tuo framework di controllo dell'accesso alla rete sia davvero efficace. L'identità da sola — sapere chi si sta connettendo — non è sufficiente. È necessario conoscere lo stato di sicurezza del dispositivo, convalidarlo rispetto alla policy e applicare le conseguenze in caso di non conformità. L'architettura è matura e ben standardizzata attorno a 802.1X, RADIUS ed EAP-TLS. Le sfide di implementazione sono reali ma gestibili se si segue un approccio graduale. I tuoi prossimi passi immediati: esegui un audit del tuo attuale parco endpoint per verificarne la conformità della postura utilizzando il tuo MDM esistente o gli strumenti di gestione degli endpoint. Valuta la tua prontezza PKI. Progetta la tua architettura VLAN per segmenti conformi, condizionali e di quarantena. E pianifica un'implementazione in modalità monitoraggio prima di passare all'applicazione effettiva. Per le organizzazioni che gestiscono ambienti misti — back-of-house aziendale insieme a WiFi pubblico o per gli ospiti — piattaforme come Purple forniscono l'intelligence di rete e l'analitica lato ospiti che completano la tua implementazione NAC aziendale, mantenendo questi due mondi nettamente separati e offrendoti al contempo piena visibilità su entrambi. Grazie per l'attenzione. Esplora la guida scritta completa sulla piattaforma Purple per diagrammi di architettura, esempi pratici e riferimenti di configurazione.