Avaliação de Postura de NAC: Garantindo a Conformidade de Dispositivos Gerenciados Antes do Acesso à Rede

Bem-vindo à série de Briefing Técnico da Purple. Hoje, estamos abordando uma das áreas mais criticamente operacionais — e frequentemente incompreendidas — da segurança de redes corporativas: a avaliação de postura de NAC, e especificamente como você garante que apenas dispositivos gerenciados e em conformidade obtenham acesso à sua rede antes mesmo de enviarem um único pacote de tráfego de produção. Se você é um gerente de TI, arquiteto de rede ou CTO responsável por uma infraestrutura multi-site — seja um grupo hoteleiro, uma rede de varejo, um estádio ou uma organização do setor público —, isso é diretamente relevante para a sua postura de segurança agora. Vamos cobrir a arquitetura, os padrões, os padrões de implantação no mundo real e as armadilhas que pegam até mesmo equipes experientes de surpresa. Vamos começar. Então, o que é exatamente a avaliação de postura de NAC? O Network Access Control, ou NAC, é a estrutura abrangente que governa quais dispositivos podem se conectar à sua rede e sob quais condições. A avaliação de postura é o mecanismo específico dentro do NAC que interroga o estado de segurança de um dispositivo antes — ou imediatamente após — a sua conexão. Pense nisso como um check-up de saúde na porta. O dispositivo não precisa apenas provar quem é; ele precisa provar que está em um estado adequado para ser confiável. A arquitetura aqui possui três componentes principais. Primeiro, você tem o Ponto de Imposição de Políticas — o PEP. Este é tipicamente o seu ponto de acesso, seu switch ou seu controlador sem fio. É o guardião que controla fisicamente se o tráfego flui. Segundo, você tem o Ponto de Decisão de Políticas — o PDP. Este é o seu mecanismo de NAC, frequentemente integrado a um servidor RADIUS ou AAA. Ele recebe os dados de postura, os avalia em relação à sua política e diz ao PEP o que fazer. Terceiro, você tem o próprio Mecanismo de Avaliação de Postura — que pode ser um agente em execução no endpoint ou um mecanismo sem agente que utiliza protocolos como SNMP, WMI ou SSH para consultar o dispositivo remotamente. Agora, a camada de autenticação que sustenta tudo isso é o IEEE 802.1X. Este é o padrão de controle de acesso à rede baseado em porta que existe desde 2001, mas continua sendo a espinha dorsal do NAC corporativo hoje. O 802.1X define três funções: o Supplicant — que é o dispositivo tentando se conectar; o Authenticator — seu switch ou ponto de acesso; e o Servidor de Autenticação — seu servidor RADIUS. O Supplicant e o Servidor de Autenticação se comunicam via EAP — o Extensible Authentication Protocol — tunelado através do Authenticator. O EAP-TLS, que utiliza autenticação mútua baseada em certificados, é o padrão de excelência aqui. É o que você deve implantar se leva a sério a conformidade de dispositivos gerenciados. O que a verificação de postura realmente analisa? Existem seis categorias principais. Nível de patch do sistema operacional — o dispositivo está executando uma versão de SO suportada e os patches críticos foram aplicados dentro da sua janela definida? Status de segurança do endpoint — um agente de AV ou EDR aprovado está instalado, ativo e com definições atualizadas? Status do firewall — o firewall baseado em host está habilitado e com sua política intacta? Criptografia de disco — a criptografia de disco total está ativa e não suspensa? Validade do certificado — o dispositivo possui um certificado de máquina válido e confiável emitido pela sua PKI? E, finalmente, conformidade de configuração — a configuração de segurança do dispositivo corresponde à sua linha de base definida? Com base no resultado dessas verificações, seu mecanismo de política de NAC atribui um de três estados. Em conformidade — o dispositivo passa em todas as verificações exigidas e recebe acesso total à rede, normalmente à sua VLAN ou função atribuída. Condicional — o dispositivo passa nas verificações críticas, mas falha em uma ou mais verificações não críticas; ele obtém acesso limitado, talvez apenas à internet, com uma notificação ao usuário. E Não em conformidade — o dispositivo falha em uma verificação crítica e é colocado em uma VLAN de quarentena com acesso apenas a um portal de remediação. Esse portal de remediação é onde o dispositivo pode baixar patches, atualizar definições de AV ou receber instruções para remediação manual. Agora, onde o WPA3 se encaixa nisso? O WPA3-Enterprise, especificamente com o modo de 192 bits, fortalece a camada criptográfica sob o 802.1X. Ele exige GCMP-256 para criptografia e HMAC-SHA-384 para integridade, o que é particularmente relevante para ambientes que lidam com dados de cartões de pagamento ou dados pessoais confidenciais sob a GDPR. Se você gerencia um ambiente de varejo dentro do escopo do PCI DSS, ou uma instalação de saúde sob os requisitos de governança de dados do NHS, o WPA3-Enterprise deve estar no seu roadmap para novas implantações. Vamos falar sobre avaliação de postura baseada em agente versus sem agente, porque este é um ponto de decisão arquitetônica real. A avaliação baseada em agente — onde um cliente leve é executado no endpoint — oferece a visibilidade mais profunda. Você pode consultar chaves de registro, processos em execução, softwares instalados e o estado de segurança em tempo real. A desvantagem é a sobrecarga de implantação: você precisa de um MDM ou de uma plataforma de gerenciamento de endpoints para distribuir e manter o agente em todo o seu parque. A avaliação sem agente usa interrogação baseada em rede — SNMP, WMI pela rede ou chamadas de API para sua plataforma de MDM. É mais fácil de implantar, mas oferece uma visibilidade mais superficial e é mais suscetível a evasões. Para um parque corporativo gerenciado, a abordagem baseada em agente é a resposta certa. Para ambientes onde você tem uma mistura de dispositivos gerenciados e não gerenciados — pense em um centro de convenções ou na rede de back-of-house de um hotel — uma abordagem híbrida faz mais sentido. Mais um ponto de arquitetura que vale a pena destacar: avaliação contínua de postura versus avaliação pontual. A maioria das implementações de NAC legadas apenas verifica a postura no momento da conexão. Essa é uma lacuna significativa. Um dispositivo que estava em conformidade às nove da manhã, quando se conectou, pode ter seu antivírus desativado por um usuário às onze. Plataformas modernas de NAC suportam avaliação contínua — reavaliando a postura em intervalos definidos ou em resposta a eventos — e alterando dinamicamente o nível de acesso à rede do dispositivo sem exigir uma reconexão. Essa é a direção para a qual você deve seguir. Certo, vamos à prática. Ao implantar a avaliação de postura de NAC, o modo de falha mais comum que vejo é ir direto para o modo de imposição. Não faça isso. Comece no modo de monitoramento — às vezes chamado de modo de auditoria ou modo de visibilidade. Execute suas verificações de postura, registre os resultados, mas não imponha políticas. Execute isso por pelo menos duas a quatro semanas. Você quase certamente descobrirá dispositivos que não sabia que existiam em sua rede e descobrirá que uma proporção significativa de seus dispositivos conhecidos falha em uma ou mais verificações de postura. Use esses dados para corrigir seu ambiente antes de aplicar as regras. O segundo ponto crítico é a infraestrutura de certificados. A avaliação de postura baseada em agente com EAP-TLS requer uma PKI funcional. Se você não tiver uma, ou se o gerenciamento do ciclo de vida dos seus certificados for manual e ad hoc, você terá interrupções. Certificados expiram. Dispositivos são reinstalados sem certificados. Planeje sua PKI antes de planejar sua implantação de NAC. Terceiro: design de VLAN. Sua VLAN de quarentena precisa ser genuinamente isolada — não apenas uma sub-rede diferente na mesma infraestrutura física. Ela deve ter acesso apenas ao seu portal de remediação e, se necessário, ao Windows Update ou ao seu servidor de gerenciamento de patches. Se a sua VLAN de quarentena tiver qualquer rota para os sistemas de produção, você criou uma falsa sensação de segurança. Quarto: exceções e processos de bypass. Toda organização possui dispositivos que não podem executar um agente — impressoras, sensores de IoT, sistemas de automação predial. Você precisa de um processo documentado e aprovado para conceder bypass de autenticação MAC a esses dispositivos, com controles compensatórios. Se você não definir esse processo antecipadamente, acabará com uma lista de permissões informal que ninguém gerencia e ninguém audita. Do ponto de vista de padrões, alinhe sua política de postura com os CIS Benchmarks para suas plataformas de sistema operacional. Eles são neutros em relação a fornecedores, atualizados regularmente e amplamente aceitos como a linha de base para a segurança de endpoints corporativos. Para ambientes PCI DSS, o Requisito 6.3 sobre gerenciamento de patches e o Requisito 5.3 sobre anti-malware mapeiam-se diretamente para suas categorias de verificação de postura. Agora, vamos para algumas perguntas rápidas. A avaliação de postura do NAC pode funcionar para dispositivos BYOD? Sim, mas você precisa de uma trilha de política separada. Os dispositivos BYOD normalmente passam por um método EAP diferente — EAP-PEAP com credenciais de usuário em vez de EAP-TLS com certificados de máquina — e recebem um segmento de rede mais restrito. As verificações de postura para BYOD são tipicamente mais leves: versão do SO, presença básica de antivírus, bloqueio de tela ativado. Como isso interage com uma rede WiFi de convidados? Não interage, e não deveria. O WiFi de convidados é um SSID e segmento de rede completamente separados, isolados da sua infraestrutura corporativa. A avaliação de postura do NAC se aplica apenas ao seu SSID corporativo. As duas redes nunca devem compartilhar uma VLAN ou rota entre si. Qual é o cronograma típico para uma implantação completa do NAC? Para uma empresa de médio porte — digamos, de quinhentos a dois mil endpoints em vários locais — reserve de doze a dezesseis semanas desde o projeto até a aplicação total. Isso inclui a configuração de PKI, implantação de agentes, modo de monitoramento, remediação e implementação em fases da aplicação de políticas. Para resumir: a avaliação de postura do NAC é o mecanismo que garante que sua estrutura de controle de acesso à rede tenha força real. A identidade por si só — saber quem está se conectando — não é suficiente. Você precisa conhecer o estado de segurança do dispositivo, validá-lo em relação à política e aplicar as consequências para a não conformidade. A arquitetura é madura e bem padronizada em torno de 802.1X, RADIUS e EAP-TLS. Os desafios de implementação são reais, mas gerenciáveis se você seguir uma abordagem em fases. Seus próximos passos imediatos: audite seu parque atual de endpoints para conformidade de postura usando seu MDM existente ou ferramentas de gerenciamento de endpoints. Avalie sua prontidão de PKI. Projete sua arquitetura de VLAN para segmentos em conformidade, condicionais e de quarentena. E planeje uma implantação em modo de monitoramento antes de iniciar a aplicação de políticas. Para organizações que operam ambientes mistos — a retaguarda corporativa ao lado de WiFi público ou de convidados — plataformas como a Purple fornecem a inteligência de rede e análises do lado do convidado que complementam sua implantação corporativa de NAC, mantendo esses dois mundos limpos e separados, ao mesmo tempo em que oferecem visibilidade total sobre ambos. Obrigado por ouvir. Explore o guia escrito completo na plataforma Purple para diagramas de arquitetura, exemplos práticos e referências de configuração.