Saltar para o conteúdo principal
Português

Device Posture Assessment para Network Access Control

Este guia técnico explica como funciona a avaliação do Device Posture para Network Access Control (NAC), detalhando a arquitetura, a integração com MDM e os fluxos de remediação necessários para implementar o Zero Trust WiFi em ambientes empresariais e recintos.

📖 8 min de leitura📝 1,920 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Avaliação de Postura de Dispositivos para Controlo de Acesso à Rede. Um Briefing Técnico da Purple. Bem-vindo. Sou o seu anfitrião para o briefing de hoje e, se está a ouvir isto, é provável que seja um arquiteto de segurança de TI, um engenheiro de rede ou um CTO a quem foi pedido para reforçar o controlo de acesso à rede em toda a sua organização. Pode estar a gerir um parque hoteleiro, uma cadeia de retalho, um centro de conferências ou uma instalação do setor público — e chegou ao ponto em que verificar simplesmente quem se está a ligar à sua rede já não é suficiente. Precisa de saber o que se está a ligar e se esse dispositivo está num estado adequado para ser considerado confiável. É exatamente isso que vamos abordar hoje. Avaliação de postura de dispositivos para controlo de acesso à rede — o que é, como funciona a nível técnico, como integrá-la com a sua infraestrutura RADIUS existente e plataformas MDM e, fundamentalmente, o que fazer com os dispositivos que falham a verificação. Vamos a isso. Secção um. Contexto e por que razão a avaliação de postura é importante agora. Na última década, a maioria das implementações de WiFi empresarial baseou-se no controlo de acesso baseado na identidade. Autentica o utilizador — através de 802.1X, de um Captive Portal ou de uma chave pré-partilhada — e, se as credenciais forem válidas, concede o acesso. O problema é que a verificação de identidade, por si só, não diz nada sobre o estado de segurança do próprio dispositivo. Um nome de utilizador e palavra-passe válidos podem ser introduzidos num portátil que execute um sistema operativo desatualizado de há três anos, sem patch de segurança e sem antivírus, ligado à sua VLAN corporativa. Esse dispositivo é um risco no momento em que toca na sua rede. A transição para a arquitetura Zero Trust alterou fundamentalmente esta lógica. O Zero Trust funciona com base no princípio de "nunca confiar, verificar sempre" — e essa verificação deve estender-se além da identidade para abranger a integridade do dispositivo. É aqui que entra a avaliação de postura de dispositivos. A avaliação de postura interroga o endpoint no momento da autenticação, verifica um conjunto definido de critérios de integridade e introduz esse resultado na decisão de controlo de acesso. O resultado é o acesso à rede baseado na postura — um modelo em que o que se pode fazer na rede é determinado não apenas por quem se é, mas pelo estado de segurança do dispositivo que se está a utilizar. Do ponto de vista da conformidade, isto é extremamente importante. A versão 4.0 da norma PCI DSS exige explicitamente que as organizações controlem quais os dispositivos que podem aceder a ambientes de dados de titulares de cartões. O princípio da responsabilidade do GDPR exige que as organizações implementem medidas técnicas adequadas para proteger os dados pessoais — e permitir que dispositivos não geridos e sem patches entrem em redes que transportam dados pessoais é cada vez mais difícil de defender numa auditoria. Para ambientes de saúde, aplica-se a mesma lógica sob os requisitos do NHS Cyber Essentials e, no contexto dos EUA, da HIPAA. Secção dois. Análise técnica detalhada — como funciona realmente a avaliação de postura. Permita-me orientá-lo sobre o funcionamento prático. Na sua essência, a avaliação da postura do dispositivo é um processo que corre durante ou imediatamente após o handshake de autenticação, antes de ser concedido o acesso total à rede. Irá deparar-se com três modelos de arquitetura principais. O primeiro é a avaliação de postura baseada em agente. Um agente de software leve — instalado no endpoint, frequentemente como parte do seu MDM ou plataforma de deteção e resposta de endpoint — recolhe telemetria de integridade e apresenta-a ao motor de políticas NAC. Esta é a abordagem mais abrangente. O agente pode verificar a versão do SO, o nível acumulado de patches, a atualidade das assinaturas de antivírus, o estado da firewall, o estado de encriptação do disco, se estão a correr aplicações proibidas específicas e se o dispositivo está registado no seu MDM. O agente comunica estes dados ao servidor RADIUS ou a um motor de políticas dedicado através de um protocolo como o RADIUS CoA — Change of Authorisation — ou através de uma integração de API específica do fornecedor. O segundo modelo é a avaliação de postura sem agente. Aqui, o sistema NAC tenta inferir a integridade do dispositivo sem um agente local, tipicamente consultando diretamente a sua plataforma MDM. Quando um dispositivo se liga e autentica, o motor de políticas consulta o Microsoft Intune, Jamf ou VMware Workspace ONE via API, obtém o registo de conformidade do dispositivo e utiliza-o como o sinal de postura. Isto funciona bem para dispositivos corporativos geridos que já estão registados no MDM. A limitação é óbvia — os dispositivos não geridos ou BYOD não terão um registo no MDM, pelo que precisará de uma política de contingência para estes. O terceiro modelo é a avaliação baseada na rede. O sistema NAC analisa o dispositivo que se está a ligar utilizando técnicas como consultas SNMP, chamadas WMI pela rede ou identificação passiva (fingerprinting) de padrões de tráfego. Este é o método menos fiável e é geralmente utilizado apenas como uma verificação suplementar ou para ambientes legados onde a implementação de agentes não é viável. Agora, falemos especificamente sobre a integração com RADIUS e 802.1X, porque é aqui que a arquitetura se torna interessante. Numa implementação 802.1X padrão, o suplicante — ou seja, o dispositivo — apresenta credenciais ao autenticador, que é o seu ponto de acesso sem fios ou switch, que por sua vez encaminha o pedido de autenticação para o servidor RADIUS. O servidor RADIUS valida as credenciais e devolve um Access-Accept ou Access-Reject. Numa implementação com deteção de postura, este fluxo é expandido. Após o sucesso da autenticação inicial, o servidor RADIUS — ou um motor de políticas co-localizado, como o Cisco ISE, Aruba ClearPass ou Forescout — aciona uma avaliação de postura. O dispositivo é inicialmente colocado numa VLAN restrita — por vezes designada de VLAN de postura ou VLAN de quarentena — enquanto a avaliação corre. Se o dispositivo passar em todas as verificações de postura, uma mensagem RADIUS Change of Authorisation é enviada para o ponto de acesso, movendo o dispositivo para a VLAN de produção adequada. Se falhar, permanece na VLAN restrita e é direcionado para um portal de remediação. O método EAP é importante aqui. O EAP-TLS, que utiliza autenticação mútua por certificado, é o padrão de excelência para o acesso de dispositivos corporativos porque permite que o servidor RADIUS valide não apenas o utilizador, mas também o certificado do dispositivo — confirmando que se trata de um endpoint conhecido e gerido. O EAP-PEAP ou o EAP-TTLS com MSCHAPv2 são comuns para autenticação baseada em credenciais de utilizador, mas oferecem menos garantias ao nível do dispositivo por si só. Para que a avaliação de postura seja verdadeiramente robusta, deve combinar o EAP-TLS com a verificação de conformidade de MDM — essa combinação fornece tanto a identidade criptográfica do dispositivo como um sinal de integridade em tempo real. Que atributos específicos são tipicamente avaliados numa verificação de postura? A lista de verificação principal para a maioria das implementações empresariais abrange: a versão do sistema operativo e o número de compilação — o dispositivo está a executar uma versão de SO suportada? Nível de patches — os patches críticos e de alta gravidade foram aplicados dentro de uma janela definida, tipicamente de 30 dias? Estado do antivírus ou do endpoint detection and response — existe um produto de segurança reconhecido instalado, em execução e com assinaturas atualizadas? Firewall local — está ativada? Encriptação de disco — o BitLocker ou o FileVault estão ativos? Inscrição no MDM — o dispositivo está registado na sua plataforma de gestão? E cada vez mais, as organizações estão a adicionar verificações de software proibido — existe alguma aplicação com vulnerabilidades conhecidas presente? — e de validade de certificados. Secção três. Recomendações de implementação e erros comuns. Permita-me partilhar as orientações práticas que resultam da implementação destes sistemas em ambientes de hotelaria, retalho e setor público. Primeiro, comece pela visibilidade antes da aplicação de regras. Antes de colocar as verificações de postura em modo de bloqueio, execute-as em modo de monitorização apenas durante pelo menos quatro semanas. Isto fornece-lhe uma linha de base do aspeto real do seu parque de dispositivos — que percentagem de dispositivos não está em conformidade, quais os atributos de postura que falham com maior frequência e se os seus limiares de política estão calibrados corretamente. Passar diretamente para a aplicação de regras sem esta linha de base é o erro mais comum e resulta numa vaga de pedidos de suporte técnico e utilizadores frustrados logo no primeiro dia. Segundo, planeie a sua segmentação de VLAN antes de configurar as políticas de postura. Precisa, no mínimo, de três segmentos de rede: uma VLAN corporativa de acesso total para dispositivos geridos em conformidade, uma VLAN de remediação com acesso à Internet e acesso à sua infraestrutura de gestão de patches e MDM mas nada mais, e uma VLAN de convidados para dispositivos pessoais não geridos. Algumas organizações adicionam uma quarta — uma VLAN corporativa restrita para dispositivos geridos que falham a postura mas necessitam de acesso limitado a recursos específicos enquanto procedem à remediação. Mapeie estas VLANs para os seus resultados de postura antes de escrever uma única regra de política. Terceiro, trate o problema do BYOD e dos dispositivos de convidados de forma explícita. Particularmente nos ambientes de hotelaria — e isto aplica-se igualmente a hotéis, centros de conferências e áreas de descanso de funcionários de retalho — terá uma população significativa de dispositivos pessoais que nunca serão registados num MDM. A sua política de postura deve ter um caminho definido para estes dispositivos. A abordagem típica consiste em encaminhar automaticamente os dispositivos não registados para uma VLAN de convidados, com controlos de largura de banda e filtragem de conteúdo adequados, em vez de os bloquear de imediato. Bloquear dispositivos pessoais num hotel ou num ambiente de conferências cria um problema operacional imediato que a sua equipa de atendimento ao público sentirá antes da sua equipa de segurança. Quarto, defina tempos de limite de remediação realistas. Quando um dispositivo falha na postura e é colocado na VLAN de remediação, precisa de definir quanto tempo tem para se auto-remediar antes de ser movido para a quarentena ou bloqueado. Para falhas relacionadas com atualizações de segurança (patches), uma janela de 24 a 48 horas é razoável para um dispositivo corporativo gerido — tempo suficiente para o dispositivo obter as atualizações, mas curto o suficiente para manter a urgência. Para falhas de antivírus, a janela deve ser mais curta — quatro a oito horas — porque um dispositivo sem proteção de endpoint ativa constitui um risco mais imediato. Quinto, teste minuciosamente o seu fluxo de Alteração de Autorização (CoA). O CoA é o mecanismo que move um dispositivo da VLAN de remediação para a VLAN de produção após este passar na validação de postura. É também o mecanismo que pode mover um dispositivo de volta para a quarentena se uma nova verificação periódica falhar. As falhas de CoA — em que o servidor RADIUS envia a mensagem de CoA mas o ponto de acesso não a executa — são uma fonte comum de reclamações dos utilizadores. Teste isto de ponta a ponta no seu laboratório antes da implementação em produção e monitorize as taxas de sucesso de CoA nos registos do seu RADIUS após a implementação. Agora, uma palavra sobre as armadilhas específicas de ambientes com grandes recintos. Num estádio ou centro de conferências com milhares de ligações simultâneas, a avaliação de postura adiciona latência ao fluxo de autenticação. As verificações baseadas em agentes, que exigem que o agente recolha telemetria e envie relatórios de volta, podem adicionar de dois a cinco segundos ao tempo de ligação. À escala, isto é percetível. Otimize fazendo o pré-carregamento em cache dos resultados de postura — a maioria dos motores de políticas permite colocar em cache o resultado de postura de um dispositivo por um período definido, normalmente de uma a quatro horas, para que a nova autenticação não desencadeie uma reavaliação completa de cada vez. Esta é uma otimização de desempenho crítica para ambientes de alta densidade. Secção quatro. Perguntas rápidas. Pergunta: Posso fazer a avaliação de postura sem implementar agentes em todos os dispositivos? Sim, através da integração com a API do MDM para dispositivos registados e de fingerprinting baseado na rede para outros, mas a sua cobertura e precisão serão inferiores às obtidas com agentes. Para um ambiente misto, uma abordagem híbrida — agentes nos dispositivos corporativos, API do MDM para BYOD registados, fingerprinting de rede como alternativa — é a resposta pragmática. Pergunta: A avaliação de postura funciona com WPA3? Sim. O WPA3 Enterprise utiliza a mesma estrutura de autenticação 802.1X que o WPA2 Enterprise, pelo que a avaliação de postura se integra da mesma forma. O PMF — Protected Management Frames — mais forte do WPA3 e a autenticação SAE complementam, na verdade, a verificação de postura, reforçando a camada de autenticação sobre a qual a postura assenta. Pergunta: Qual é a diferença entre avaliação de postura e NAC? O NAC — Network Access Control — é a estrutura mais ampla para controlar quais os dispositivos que podem aceder a quais recursos de rede. A avaliação de postura é uma das entradas na decisão de NAC, especificamente o sinal de estado de integridade do dispositivo. Pode ter NAC sem avaliação de postura — por exemplo, controlo de acesso baseado apenas em identidade — mas não pode ter controlo de acesso baseado em postura sem uma estrutura NAC para aplicar os resultados. Pergunta: Como é que isto se integra com uma plataforma como a Purple? A plataforma da Purple gere a identidade dos dispositivos e as políticas de acesso na camada de WiFi. A avaliação de postura é a próxima camada de controlo — enriquece a decisão de acesso com dados de estado de integridade do dispositivo. Para operadores preocupados com a segurança, a integração de sinais de postura do seu MDM no motor de políticas da Purple permite aplicar um acesso diferenciado com base tanto na identidade como no estado de conformidade do dispositivo. Secção cinco. Resumo e próximos passos. Para resumir os pontos-chave do briefing de hoje. A avaliação de postura do dispositivo é a prática de avaliar o estado de integridade do endpoint — versão do SO, nível de patch, estado do antivírus, inscrição em MDM — no momento da autenticação, e utilizar esse sinal de estado para determinar os direitos de acesso à rede. A arquitetura combina a autenticação 802.1X, um motor de políticas RADIUS, integração de API de MDM e segmentação de VLAN para criar um sistema de controlo de acesso baseado em postura. Os três resultados de postura — acesso total, VLAN de remediação e quarentena — devem ser concebidos e testados antes de a aplicação de políticas ser ativada. Comece com o modo de monitorização, construa a sua base de referência e, em seguida, avance para a aplicação de políticas. Isto não é opcional se pretender uma implementação sem problemas. Para os operadores de recintos, a população de dispositivos BYOD e de convidados requer um tratamento de políticas explícito — o encaminhamento para uma VLAN de convidados, em vez do bloqueio, é a predefinição operacionalmente correta. Os seus próximos passos imediatos: audite a sua arquitetura de VLAN atual e confirme que tem os segmentos necessários para o encaminhamento baseado em postura. Avalie as capacidades de API da sua plataforma de MDM para exportação de dados de postura. Reveja as capacidades de política de postura do seu servidor RADIUS ou plataforma NAC. E, se estiver a começar do zero, considere uma abordagem faseada — implemente primeiro o 802.1X, adicione a verificação de postura em modo de monitorização e, em seguida, avance para a aplicação de políticas num período de 90 dias. Obrigado por nos ouvir. Para saber mais sobre a arquitetura de autenticação 802.1X e a implementação de WiFi Zero Trust, visite a biblioteca de guias da Purple. Se estiver a avaliar o controlo de acesso baseado em postura para a rede do seu recinto, a equipa da Purple pode orientá-lo através de uma avaliação de implementação. Até à próxima.

header_image.png

Resumo Executivo

À medida que o perímetro da rede empresarial se dissolve, a autenticação tradicional baseada em identidade já não é suficiente. Validar se um utilizador é quem afirma ser através de 802.1X ou de um Captive Portal não aborda o risco colocado pelo dispositivo que está a utilizar. A avaliação da postura do dispositivo é a camada crítica de defesa seguinte numa arquitetura Zero Trust, interrogando o estado de integridade e conformidade de um endpoint antes de conceder acesso à rede.

Para gestores de TI e arquitetos de rede que gerem ambientes complexos como hotéis, cadeias de retalho, estádios e instalações do setor público, o acesso à rede baseado na postura garante que dispositivos não atualizados, não geridos ou comprometidos não se possam mover lateralmente através das VLANs corporativas. Este guia fornece um modelo prático e neutro em termos de fornecedor para implementar a avaliação da postura de dispositivos para o controlo de acessos à rede. Abrange os modelos arquitetónicos, os pontos de integração com plataformas RADIUS e Mobile Device Management (MDM), e os fluxos de trabalho de remediação críticos necessários para lidar com dispositivos não conformes sem sobrecarregar o suporte técnico de TI. No final deste guia, terá uma estrutura clara para implementar verificações de conformidade de endpoints através de WiFi, reduzindo a sua superfície de ataque e mantendo a conformidade contínua com estruturas como PCI DSS e GDPR.

Análise Técnica Detalhada: A Arquitetura da Avaliação da Postura

A avaliação da postura do dispositivo altera fundamentalmente o fluxo tradicional de autenticação de rede. Em vez de uma decisão binária de permissão/negação baseada em credenciais, o sistema de Controlo de Acesso à Rede (NAC) introduz um estado condicional onde o acesso está dependente de o dispositivo cumprir critérios de integridade específicos.

Os Três Modelos Arquitetónicos

A implementação da avaliação da postura do dispositivo requer a escolha de um modelo arquitetónico que se alinhe com a sua estratégia de gestão de endpoints. Existem três abordagens principais:

  1. Avaliação da Postura Baseada em Agente: Este é o método mais abrangente. Um agente de software leve instalado no endpoint recolhe telemetria detalhada — como a versão do SO, nível de patch, estado do antivírus e processos em execução — e transmite estes dados para o motor de políticas NAC. A comunicação ocorre normalmente através de um protocolo seguro ou API imediatamente a seguir à autenticação 802.1X inicial. Embora a avaliação baseada em agente forneça os dados de maior fidelidade, requer controlo administrativo sobre o endpoint para implementar o agente, tornando-a inadequada para ambientes não geridos ou BYOD.
  2. Avaliação de Postura Sem Agente (Integrada em MDM): Neste modelo, o sistema NAC deduz a integridade do dispositivo consultando uma plataforma de Gestão de Dispositivos Móveis (MDM) ou de Gestão Unificada de Terminais (UEM) através de uma API. Quando um dispositivo se autentica, o servidor RADIUS comunica com plataformas como o Microsoft Intune ou Jamf para obter o registo de conformidade do dispositivo. Esta abordagem é altamente eficaz para dispositivos corporativos geridos e elimina a necessidade de um agente NAC dedicado. No entanto, depende de a plataforma MDM ter informações atualizadas; se o dispositivo estiver offline, o estado de conformidade poderá estar desatualizado.
  3. Avaliação Baseada na Rede: Esta abordagem passiva envolve o sistema NAC a analisar o dispositivo que se liga utilizando técnicas como consultas SNMP, chamadas WMI ou recolha de assinaturas de tráfego (fingerprinting). Não requer qualquer agente ou registo em MDM, o que a torna útil para traçar o perfil de dispositivos IoT ou sistemas legados. Contudo, a profundidade de análise é significativamente limitada em comparação com os outros modelos, e não consegue determinar de forma fiável os níveis de correção (patches) ou a atualidade das assinaturas de antivírus.

O Fluxo de Integração de RADIUS e 802.1X

A integração da avaliação de postura com a autenticação 802.1X é onde a arquitetura se torna operacional. O processo depende fortemente do protocolo RADIUS e, especificamente, do mecanismo de Alteração de Autorização (CoA) definido na RFC 5176.

Quando um suplicante (o dispositivo) inicia uma ligação 802.1X, apresenta credenciais ao autenticador (o ponto de acesso sem fios ou switch). O autenticador reencaminha-as para o servidor RADIUS. Após a verificação de identidade bem-sucedida, o servidor RADIUS devolve uma mensagem de Access-Accept. Contudo, num ambiente sensível à postura, esta aceitação inicial coloca o dispositivo num estado restrito — frequentemente uma VLAN de quarentena ou de postura dedicada.

Enquanto estiver nesta VLAN restrita, ocorre a avaliação de postura. O motor de políticas avalia o dispositivo em função do conjunto de regras configurado. Se o dispositivo passar, o motor de políticas emite uma mensagem RADIUS CoA para o autenticador, instruindo-o a mover o dispositivo da VLAN de postura para a VLAN de produção adequada. Se o dispositivo falhar, permanece na VLAN restrita ou é movido para uma VLAN de remediação onde pode aceder aos servidores de atualização necessários.

Para a segurança ideal, este fluxo deve utilizar EAP-TLS. O EAP-TLS fornece autenticação mútua baseada em certificados, permitindo que o servidor RADIUS verifique criptograficamente a identidade do dispositivo antes mesmo de a verificação de postura começar. Isto garante que os dados de postura provêm de um endpoint conhecido e fidedigno, em vez de um endereço MAC falsificado. Para ler mais sobre como proteger o acesso de dispositivos, consulte o nosso guia sobre Autenticação 802.1X: Proteger o Acesso à Rede em Dispositivos Modernos .

posture_assessment_architecture.png

Guia de Implementação: Implementar Acesso Baseado na Postura

A implementação da avaliação da postura do dispositivo num ambiente empresarial ativo requer um planeamento meticuloso para evitar perturbações nas operações de negócio. Recomenda-se a seguinte abordagem faseada para ambientes que vão desde escritórios corporativos a espaços de Hospitality .

Fase 1: Visibilidade de Base (Modo de Monitorização)

O passo mais crítico na implementação é estabelecer uma linha de base. Nunca ative políticas de bloqueio ou remediação no primeiro dia. Em vez disso, configure o sistema NAC para executar verificações de postura num modo exclusivamente de monitorização. Durante esta fase, o sistema avalia os dispositivos e regista os resultados, mas não altera as atribuições de VLAN nem restringe o acesso.

Execute esta fase durante um período mínimo de quatro semanas. Analise os registos para identificar a percentagem de dispositivos não conformes, os atributos específicos que falham com mais frequência (por exemplo, SO desatualizado vs. firewall desativada) e a distribuição de falhas por diferentes tipos de dispositivos. Estes dados permitem-lhe calibrar os limites das suas políticas. Por exemplo, se 40% da sua frota falhar um requisito de atualização de 14 dias, poderá ter de ajustar inicialmente o limite para 30 dias para evitar sobrecarregar o suporte técnico.

Fase 2: Design de Segmentação de VLAN

Antes de impor políticas, deve conceber os segmentos de rede que irão lidar com os diferentes estados de postura. Uma arquitetura robusta de controlo de acesso à rede baseada na postura requer pelo menos três VLANs distintas:

  1. VLAN de Produção: Acesso total aos recursos corporativos para dispositivos geridos e conformes.
  2. VLAN de Remediação: Acesso restrito que permite apenas a comunicação com servidores de atualização (por exemplo, Windows Update, WSUS), plataformas MDM e o portal de remediação NAC. Sem acesso a sub-redes internas ou navegação geral na internet.
  3. VLAN de Convidados/BYOD: Acesso segmentado apenas à internet para dispositivos pessoais não geridos que não podem ser submetidos à avaliação de postura.

Certifique-se de que os seus pontos de acesso sem fios e switches centrais estão configurados para suportar a atribuição dinâmica de VLAN através de atributos RADIUS. Compreender o papel dos seus pontos de acesso é crucial aqui; para uma recapitulação, consulte Wireless Access Points Definition Your Ultimate 2026 Guide .

Fase 3: Definição do Conjunto de Regras de Postura

Desenvolva um conjunto de regras pragmático com base nos dados do seu modo de monitorização e nos requisitos de conformidade. Uma linha de base empresarial padrão inclui:

  • Sistema Operativo: Deve ser uma versão suportada (por exemplo, Windows 10 22H2 ou posterior, macOS 13 ou posterior).
  • Nível de Atualizações: Atualizações de segurança críticas aplicadas nos últimos 30 dias.
  • Proteção de Endpoint: Agente antivírus/EDR reconhecido instalado, em execução e com assinaturas atualizadas nos últimos 7 dias.
  • Firewall do Anfitrião: Ativada para todos os perfis de rede.
  • Encriptação de Disco: BitLocker ou FileVault ativado para a unidade do sistema.

Fase 4: Aplicar Fluxos de Trabalho de Resolução

Quando um dispositivo falha na verificação de postura, o fluxo de trabalho de resolução deve ser automatizado e claro para o utilizador. O dispositivo é atribuído à VLAN de Resolução, e o tráfego HTTP/HTTPS deve ser redirecionado para um Captive Portal. Este portal deve informar explicitamente o utilizador sobre o motivo pelo qual o seu dispositivo foi colocado em quarentena (ex.: "O seu antivírus está desatualizado") e fornecer etapas práticas ou hiperligações para resolver o problema.

Configure um tempo limite de resolução. Por exemplo, um dispositivo pode ter permissão de 24 horas na VLAN de resolução para descarregar os patches necessários. Se o dispositivo não atingir a conformidade dentro desta janela temporal, deve ser movido para uma VLAN de Quarentena estrita com todo o acesso bloqueado até à intervenção do departamento de TI.

remediation_flow_diagram.png

Boas Práticas para Ambientes Complexos

A implementação da avaliação de postura em ambientes complexos como o Retalho ou grandes espaços públicos introduz desafios únicos, particularmente no que diz respeito à diversidade e escala de dispositivos.

Gestão de BYOD e IoT

Em ambientes com grandes volumes de dispositivos não geridos, tais como hubs de Transporte ou espaços de retalho que oferecem Guest WiFi , tentar impor verificações de postura em todos os dispositivos é operacionalmente inviável. Deve estabelecer políticas explícitas para dispositivos que não podem ser avaliados.

A melhor prática consiste em utilizar o MAC Authentication Bypass (MAB) ou o perfil de identidade para categorizar estes dispositivos logo no início do fluxo de autenticação. Os dispositivos BYOD não geridos devem ser automaticamente encaminhados para a VLAN de Visitantes. Os dispositivos IoT (sensores, ecrãs) devem ser colocados em VLANs dedicadas e micro-segmentadas com Listas de Controlo de Acesso (ACLs) estritas que limitem a sua comunicação a controladores específicos. A plataforma da Purple pode ajudar a identificar e gerir estes diversos tipos de dispositivos; explore as nossas capacidades de Sensors para obter mais informações.

Otimização para Espaços de Alta Densidade

Em ambientes de alta densidade, como estádios, a latência introduzida pela avaliação de postura pode causar tempos limite de autenticação e falhas de ligação. As verificações baseadas em agentes podem adicionar vários segundos ao processo de ligação.

Para atenuar este problema, implemente a colocação em cache da postura. Configure o motor de políticas do NAC para colocar em cache o estado de conformidade de um dispositivo por um período definido (ex.: 4 a 8 horas). Quando um dispositivo faz roaming entre pontos de acesso ou se desliga temporariamente, o servidor RADIUS pode utilizar o resultado da postura em cache para conceder acesso imediato, contornando a sobrecarga de uma avaliação completa. Isto é essencial para manter a taxa de transferência e uma experiência de utilizador positiva. A arquitetura de rede subjacente também desempenha um papel importante; considere os benefícios discutidos em The Core SD WAN Benefits for Modern Businesses .

Resolução de Problemas e Mitigação de Riscos

Mesmo com um planeamento cuidadoso, o controlo de acesso baseado na postura pode falhar. Compreender os modos de falha comuns é crítico para manter a disponibilidade da rede.

Falhas de CoA

O problema técnico mais frequente é a falha da mensagem de Change of Authorization (CoA) do RADIUS. Se o sistema NAC determinar que um dispositivo está em conformidade, mas o ponto de acesso perder ou ignorar o pacote CoA, o dispositivo permanece retido na VLAN restrita.

Mitigação: Certifique-se de que o CoA está explicitamente ativado em todos os dispositivos de acesso à rede e que o servidor RADIUS está configurado como um cliente CoA fidedigno. Verifique se a porta UDP 3799 (a porta CoA padrão) não está bloqueada por firewalls entre o servidor RADIUS e os pontos de acesso. Monitorize as taxas de confirmação (ACK) de CoA nos seus registos RADIUS.

Limitação de Taxa da API do MDM

Em implementações sem agente, um fluxo súbito de dispositivos em autenticação (por exemplo, funcionários a chegar às 9h00) pode fazer com que o sistema NAC sature a plataforma MDM com pedidos de API. Isto pode acionar a limitação de taxa (rate limiting) da API, fazendo com que as verificações de postura falhem ou expirem.

Mitigação: Implemente o envio em lote (batching) ou o armazenamento em cache de pedidos de API na plataforma NAC. Se o MDM suportar webhooks, configure o MDM para enviar proativamente as alterações de estado de conformidade para o sistema NAC, em vez de fazer com que o sistema NAC consulte o MDM em cada autenticação.

ROI e Impacto no Negócio

O impacto comercial da implementação da avaliação da postura do dispositivo vai além da redução imediata do risco. Altera fundamentalmente a postura de segurança da organização e proporciona retornos mensuráveis.

Mitigação de Riscos e Conformidade

O principal ROI é a prevenção do movimento lateral por endpoints comprometidos. Ao garantir que apenas os dispositivos saudáveis acedem à rede corporativa, as organizações reduzem significativamente a probabilidade de propagação de ransomware. Além disso, a avaliação de postura automatizada fornece a monitorização contínua necessária para satisfazer os requisitos de auditoria do PCI DSS, HIPAA e GDPR, reduzindo o custo e o esforço dos relatórios manuais de conformidade.

Eficiência Operacional

Embora a implementação inicial exija esforço, um sistema de avaliação de postura bem ajustado reduz a carga operacional sobre as TI. Os fluxos de trabalho de correção automatizados capacitam os utilizadores a resolver pequenos problemas de conformidade (como assinaturas desatualizadas) sem abrir pedidos de suporte. Ao integrar as verificações de postura com análises de rede mais amplas — como as WiFi Analytics — as equipas de TI obtêm uma visibilidade sem precedentes sobre a saúde do seu parque de dispositivos, permitindo uma gestão proativa em vez de reativa. Para locais que procuram atualizar a sua experiência de rede global, consulte as nossas perspetivas sobre Modern Hospitality WiFi Solutions Your Guests Deserve .

Definições Principais

Avaliação de Postura do Dispositivo

O processo de avaliação do estado de segurança e conformidade de um endpoint (por exemplo, versão do SO, nível de patch, estado do antivírus) antes ou durante a autenticação na rede.

Crucial para a arquitetura Zero Trust, garantindo que dispositivos comprometidos ou vulneráveis não consigam aceder a segmentos de rede confidenciais, mesmo que o utilizador tenha credenciais válidas.

RADIUS CoA (Change of Authorization)

Uma extensão ao protocolo RADIUS (RFC 5176) que permite a um servidor RADIUS modificar dinamicamente os atributos de autorização de uma sessão ativa, como a alteração da VLAN de um dispositivo.

O mecanismo essencial na avaliação de postura que move um dispositivo de uma VLAN de quarentena/remediação para uma VLAN de produção assim que a verificação de integridade é aprovada.

VLAN de Remediação

Um segmento de rede restrito concebido especificamente para dispositivos que falham as verificações de postura. Fornece acesso limitado apenas aos recursos necessários para corrigir o problema de conformidade (por exemplo, servidores de atualização, MDM).

Utilizada para isolar dispositivos vulneráveis, permitindo-lhes a autorreparação sem necessitar de intervenção manual de TI.

Avaliação de Postura Sem Agente

Avaliação da integridade do dispositivo sem instalar software NAC dedicado no endpoint, normalmente através de consulta a uma plataforma MDM/UEM via API para obter o registo de conformidade do dispositivo.

Preferida para ambientes corporativos com implementações robustas de MDM, pois reduz o excesso de software no endpoint e simplifica a gestão.

Agente Dissolvível

Uma aplicação temporária e leve, descarregada através de um Captive Portal, que realiza uma verificação de postura e depois se remove do dispositivo.

Comumente utilizado em ambientes BYOD ou de convidados onde a instalação permanente de um agente é impossível ou inaceitável para o utilizador.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Um método de autenticação 802.1X que exige que tanto o servidor como o cliente (dispositivo) apresentem certificados digitais válidos para autenticação mútua.

A base mais segura para a avaliação de postura, pois comprova criptograficamente a identidade do dispositivo antes de as verificações de integridade serem avaliadas.

Caching de Postura

Armazenamento do resultado de uma verificação de postura bem-sucedida por um período definido para que as autenticações subsequentes (por exemplo, roaming entre APs) não exijam uma reavaliação completa.

Vital para manter o desempenho da rede e reduzir a latência em ambientes de alta densidade, como estádios ou grandes escritórios.

Acesso à Rede Zero Trust (ZTNA)

Uma estrutura de segurança que exige que todos os utilizadores e dispositivos, quer estejam dentro ou fora da rede da organização, sejam autenticados, autorizados e continuamente validados antes de lhes ser concedido acesso.

A avaliação de postura do dispositivo é um pilar fundamental do ZTNA, fornecendo a "validação contínua" do estado do dispositivo.

Exemplos Práticos

Um escritório corporativo de 500 utilizadores está a implementar a avaliação de Device Posture. Atualmente, utilizam o 802.1X (PEAP-MSCHAPv2) para todos os portáteis corporativos. Querem garantir que nenhum portátil se liga a menos que o seu agente CrowdStrike Falcon esteja em execução e o Windows totalmente atualizado. Como devem desenhar o fluxo de integração e remediação?

  1. Seleção de Arquitetura: Como todos os portáteis são geridos pela empresa, recomenda-se uma abordagem sem agente através da integração com MDM (ex. Intune) para evitar a implementação de um agente NAC separado. O motor de políticas NAC irá consultar o Intune para verificar o estado de conformidade.
  2. Desenho de VLANs: Criar três VLANs: VLAN 10 (Produção Corporativa), VLAN 20 (Remediação), VLAN 30 (Guest).
  3. Configuração de Políticas: Configurar as políticas de conformidade do Intune para exigir o CrowdStrike em execução e atualizações do Windows nos últimos 30 dias. Configurar o motor de políticas NAC para mapear o estado 'Conforme' do Intune para a VLAN 10, e 'Não Conforme' para a VLAN 20.
  4. Fluxo de Autenticação: Quando um portátil se autentica via PEAP, o servidor RADIUS coloca-o na VLAN 20 e consulta o Intune. Se o Intune devolver 'Conforme', o servidor RADIUS envia uma mensagem CoA para o ponto de acesso para mudar a porta/sessão para a VLAN 10.
  5. Remediação: Se o Intune devolver 'Não Conforme', o portátil permanece na VLAN 20. O DHCP fornece um IP e as regras de DNS/firewall redirecionam o tráfego HTTP para um portal que explica a falha e permite o acesso apenas aos servidores do CrowdStrike e do Windows Update.
Comentário do Examinador: Esta abordagem tira partido da infraestrutura existente (Intune) em vez de introduzir novos agentes. O fator crítico de sucesso aqui é a configuração do CoA e garantir que a VLAN de Remediação tem as ACLs de firewall exatas necessárias para alcançar os servidores de atualização — se forem demasiado restritivas, o dispositivo não consegue fazer a remediação; se forem demasiado abertas, a quarentena torna-se ineficaz.

O campus de uma grande universidade quer implementar verificações de Device Posture, mas 80% dos dispositivos são computadores e telemóveis BYOD de estudantes. Não podem forçar a inscrição em MDM nestes dispositivos. Como devem abordar a avaliação de Device Posture?

  1. Seleção de Arquitetura: É necessária uma abordagem híbrida. Utilizar verificações sem agente/MDM para os dispositivos corporativos do pessoal/docentes, e um Captive Portal com um agente temporário (dissolvable agent) ou avaliação baseada na rede para o BYOD dos estudantes.
  2. Fluxo BYOD: Os estudantes ligam-se ao SSID 'Student-WiFi'. Autenticam-se através de um Captive Portal utilizando as credenciais da universidade.
  3. Agente Temporário (Dissolvable Agent): Após o início de sessão, o portal solicita ao utilizador que execute uma applet leve e temporária (agente temporário) que verifica as condições básicas do Device Posture (ex. versão mínima do SO, firewall ativa) sem exigir privilégios de administrador ou instalação permanente.
  4. Aplicação de Políticas: Se o agente temporário reportar aprovação, o acesso ao dispositivo é concedido na VLAN dos estudantes. Se falhar, o portal apresenta instruções sobre como atualizar o seu SO.
  5. Alternativa (Baseada na Rede): Se os agentes temporários causarem demasiada fricção, utilize a criação de perfis de rede passivos (DHCP fingerprinting, análise de HTTP user-agent) para detetar versões de SO gravemente desatualizadas e bloqueá-las, aceitando um nível de garantia mais baixo para o BYOD.
Comentário do Examinador: Em ambientes com forte presença de BYOD, a fricção do utilizador é a principal inimiga da segurança. Forçar o MDM ou agentes persistentes nos estudantes irá falhar. O agente temporário oferece um compromisso razoável, verificando os atributos críticos de segurança no momento da ligação sem intrusão permanente.

Perguntas de Prática

Q1. A sua organização está a implementar a avaliação de postura para 2.000 portáteis corporativos. Configurou a política para exigir o Windows 11 e um agente EDR ativo. Na segunda-feira de manhã, planeia ativar a política em modo de aplicação direta (enforcement). Que passo crítico falhou?

Dica: Considere o impacto no helpdesk se os seus pressupostos sobre o estado de saúde da frota estiverem errados.

Ver resposta modelo

Falhou a fase de 'Modo de Monitorização'. Antes de aplicar uma política de bloqueio, o sistema deve funcionar em modo de monitorização apenas durante várias semanas para estabelecer uma linha de base de conformidade. Ativar a aplicação direta no primeiro dia sem estes dados resultará, muito provavelmente, num pico massivo de pedidos de suporte no helpdesk por parte de utilizadores que falham inesperadamente a verificação de postura.

Q2. Um dispositivo autentica-se com sucesso através de 802.1X e passa a verificação de postura do MDM. Os registos do servidor RADIUS mostram um Access-Accept e uma avaliação de postura bem-sucedida, mas o utilizador reporta que continua sem conseguir aceder à internet ou aos recursos corporativos. Qual é o ponto de falha mais provável na arquitetura?

Dica: Pense em como o dispositivo de acesso à rede (o AP ou switch) é instruído a alterar o nível de acesso do utilizador após a conclusão da verificação de postura.

Ver resposta modelo

A falha mais provável é o RADIUS Change of Authorization (CoA). O dispositivo foi provavelmente colocado numa VLAN de postura restrita inicialmente. Embora a verificação de postura tenha passado no lado do servidor, se a mensagem CoA tiver sido perdida, bloqueada por uma firewall ou não tiver sido processada pelo ponto de acesso, o dispositivo permanecerá retido na VLAN restrita.

Q3. Gere o WiFi de uma cadeia de retalho. Os dispositivos corporativos são geridos através do Intune, mas os gerentes de loja ligam frequentemente iPads pessoais à rede de funcionários. Deseja implementar verificações de postura para os dispositivos corporativos. Como deve lidar com os iPads pessoais?

Dica: Considere se pode realizar verificações com ou sem agente em dispositivos que não possui.

Ver resposta modelo

Não é possível realizar verificações de postura aprofundadas e fiáveis em dispositivos pessoais não geridos sem causar fricção significativa ao utilizador. A melhor abordagem é utilizar perfilagem de identidade ou MAB para identificar os iPads pessoais e encaminhá-los automaticamente para uma VLAN segmentada de Convidados ou BYOD com acesso apenas à internet, contornando os requisitos estritos de postura aplicados aos dispositivos corporativos.

Continue a ler esta série

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Este guia explica como configurar o SCEP (Simple Certificate Enrollment Protocol) para a atribuição automatizada de certificados WiFi empresariais, cobrindo toda a arquitetura desde PKI e NDES até à implementação de perfis MDM e validação RADIUS. Destina-se a gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios, centros de conferências e organizações do setor público que necessitam de ir além das chaves pré-partilhadas e implementar uma autenticação 802.1X EAP-TLS escalável e baseada em identidade. A plataforma de sobreposição na nuvem da Purple, independente de hardware, integra-se diretamente com esta arquitetura, fornecendo a camada de WiFi para convidados e BYOD que coexiste com a sua rede de colaboradores autenticada por certificado.

Ler o guia →

O Guia Empresarial do SCEP: Implementar o Simple Certificate Enrollment Protocol para Segurança Automatizada de WiFi em Campus

Este guia de referência técnica fornece um modelo arquitetónico definitivo e uma estratégia de implementação passo a passo para a implementação de certificados de WiFi empresariais utilizando SCEP. Abrange as diferenças críticas entre SCEP e PKCS, a sequência exata de implementação necessária para o sucesso e estratégias reais de mitigação de riscos para líderes de TI.

Ler o guia →

Como Implementar SCEP para a Inscrição Automatizada de Certificados WiFi

Este guia explica como implementar o SCEP (Simple Certificate Enrollment Protocol) para a inscrição automatizada de certificados WiFi em espaços empresariais. Abrange todo o plano de arquitetura - desde o design de PKI e integração de MDM até à sequência de implementação obrigatória de três passos - e mostra aos gestores de TI e arquitetos de rede como eliminar credenciais partilhadas, automatizar a gestão do ciclo de vida dos certificados e cumprir os requisitos de PCI DSS e GDPR à escala.

Ler o guia →