Saltar para o conteúdo principal

O Papel do SCEP e do NAC na Infraestrutura de MDM Moderna

Este guia fornece uma análise técnica detalhada de como o SCEP e o NAC se integram com as plataformas MDM para fornecer um acesso à rede seguro e zero-touch à escala empresarial. Abrange toda a arquitetura, desde a emissão de certificados até à aplicação de 802.1X, com cenários de implementação reais da hotelaria e do retalho. Concebido para líderes de TI em grandes espaços que precisam de eliminar vulnerabilidades de palavras-passe, automatizar o aprovisionamento de dispositivos e cumprir requisitos de conformidade já neste trimestre.

📖 7 min de leitura📝 1,710 palavras🔧 2 exemplos práticos3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos mergulhar num tópico de arquitetura crítico para redes empresariais: O papel do SCEP e do NAC na infraestrutura moderna de MDM. Se é um diretor de TI, um arquiteto de rede ou se gere operações num grande espaço - seja um estádio, um hospital ou uma cadeia de retalho - conhece a dor de cabeça que é a integração segura de dispositivos. Os dias das chaves partilhadas acabaram. Hoje, falamos sobre autenticação baseada em certificados. Vamos explorar como o Simple Certificate Enrolment Protocol, ou SCEP, se associa ao Network Access Control, ou NAC, para automatizar o aprovisionamento de dispositivos e aplicar o acesso zero-trust. Vamos diretos ao assunto. Vamos detalhar a arquitetura. Na base, temos três camadas: a camada de dispositivos, o motor de políticas e a camada de acesso à rede. Quando um novo dispositivo corporativo ou um dispositivo pessoal (BYOD) precisa de acesso, ele regista-se primeiro na sua plataforma de Mobile Device Management. Mas o MDM por si só não concede acesso à rede. É aí que entra o SCEP. O SCEP funciona como o mensageiro automatizado entre o seu MDM e a sua Autoridade de Certificação. Em vez de um administrador de TI gerar e instalar manualmente um certificado X.509 em cada dispositivo, o MDM envia um payload para o dispositivo. O dispositivo gera um Certificate Signing Request, ou CSR, e envia-o para o servidor SCEP. A CA emite o certificado e o dispositivo passa a ter uma identidade criptograficamente segura. Sem palavras-passe para phish, sem chaves partilhadas para vazar. Mas um certificado é apenas um cartão de identificação. Ainda precisa de um segurança à porta. Esse é o seu NAC. Quando o dispositivo tenta ligar-se ao WiFi - normalmente utilizando 802.1X EAP-TLS - o ponto de acesso sem fios passa o pedido ao servidor RADIUS, que é governado pelo motor de políticas do NAC. O NAC verifica o certificado: É válido? Foi revogado? Mas o NAC moderno vai mais longe. Verifica o estado de segurança no MDM: O SO está atualizado? A firewall está ativa? Se sim, o NAC instrui o switch ou ponto de acesso para colocar o dispositivo na VLAN correta. Se não, coloca-o numa rede de remediação. Esta integração é crítica para ambientes como grandes cadeias de retalho ou instalações de saúde onde existe uma mistura de computadores portáteis corporativos, dispositivos IoT e redes de convidados. Por falar em redes de convidados, é aqui que as plataformas como o Guest WiFi e o WiFi Analytics da Purple se integram perfeitamente ao lado dos seus SSIDs corporativos seguros, garantindo que o acesso público está isolado da sua infraestrutura segura e baseada em certificados. Então, como implementar isto sem perturbar a sua rede? Primeira recomendação: utilize sempre EAP-TLS. Requer certificados tanto no servidor como no cliente, fornecendo autenticação mútua. Segundo, tenha atenção às suas Listas de Revogação de Certificados, ou CRLs, e ao OCSP. Se um dispositivo for comprometido ou um funcionário sair, revogar o certificado na CA é inútil se o NAC não estiver a verificar o estado de revogação em tempo real. Um erro comum que vemos no setor da hotelaria e em grandes recintos é não ter em conta os dispositivos IoT. Nem todos os sensores IoT ou smart TVs suportam 802.1X ou SCEP. Para estes, precisará de uma estratégia de contingência como o MAC Authentication Bypass, ou MAB, rigidamente controlado pelo seu NAC para portas de switch específicas ou VLANs isoladas. Outro erro comum são os períodos de validade dos certificados. Não os defina para 10 anos, mas também não os defina para 30 dias, a menos que a sua renovação automatizada via SCEP seja infalível. Uma validade de um ano com renovação automática aos 30 dias é uma norma sólida do setor. Vamos a um par de perguntas rápidas que costumamos receber dos CTOs. Primeira pergunta: Podemos utilizar os nossos Active Directory Certificate Services existentes para SCEP? Sim, o Microsoft AD CS inclui uma função de Network Device Enrollment Service, ou NDES, que funciona como um servidor SCEP. Certifique-se apenas de que está devidamente protegido e exposto ao seu MDM. Segunda pergunta: Isto substitui a nossa firewall? De modo algum. O SCEP e o NAC tratam da autenticação e do controlo de acessos no limite - Camada 2. A sua firewall trata da inspeção de tráfego e da prevenção de ameaças nas Camadas 3 a 7. Trabalham em conjunto. Para concluir, a combinação de SCEP, NAC e MDM proporciona-lhe um limite de rede altamente seguro e sem necessidade de intervenção manual. Elimina os pedidos de suporte técnico relacionados com palavras-passe e garante que apenas dispositivos em conformidade acedem à sua infraestrutura crítica. Para os operadores de recintos, isto significa que as suas operações internas funcionam em segurança, permitindo-lhe concentrar-se na experiência do cliente - a qual pode potenciar com as ferramentas de analítica e interação da Purple. Comece por auditar as suas capacidades de MDM atuais e certifique-se de que a sua infraestrutura RADIUS suporta EAP-TLS. Mapeie os seus tipos de dispositivos e execute um projeto-piloto primeiro com os dispositivos da sua equipa de TI. Obrigado por acompanhar este briefing técnico. Mantenha-se seguro e vemo-nos no próximo.

header_image.png

Resumo Executivo

Para recintos empresariais - desde estádios com 80.000 lugares a cadeias de retalho multilocais - a segurança da periferia da rede avançou decisivamente para lá das chaves pré-partilhadas e da gestão manual de credenciais. A proliferação de dispositivos corporativos, dispositivos BYOD e infraestrutura IoT exige uma arquitetura zero-trust que dimensione sem sobrecarregar o suporte técnico de TI.

Este guia detalha a arquitetura técnica para integrar o Simple Certificate Enrolment Protocol (SCEP) e o Network Access Control (NAC) com a infraestrutura de Mobile Device Management (MDM). Ao tirar partido do SCEP para automatizar a distribuição de certificados X.509, e do NAC para aplicar a autenticação 802.1X EAP-TLS, as organizações podem alcançar o aprovisionamento zero-touch, eliminar vias de roubo de credenciais e aplicar o acesso dinâmico à rede com base na postura do dispositivo. Enquanto o acesso voltado para o público é gerido através de uma solução dedicada de Guest WiFi , esta arquitetura protege as operações críticas de back-of-house que mantêm o recinto em funcionamento. O resultado é uma redução drástica dos custos indiretos de TI, maior conformidade com PCI-DSS e GDPR, e princípios zero-trust aplicados proativamente na periferia da rede.


Detalhe Técnico Aprofundado

A Arquitetura de Três Camadas

A segurança de rede moderna assenta na identidade criptográfica e não no conhecimento do utilizador. A pilha SCEP-NAC-MDM opera em três camadas principais:

Camada Componentes Função
Gestão de dispositivos MDM / UEM Autoridade central para configuração, conformidade e ciclo de vida dos dispositivos
Identidade e emissão PKI / SCEP / CA Gera, emite e gere certificados digitais
Aplicação de acesso NAC / RADIUS Avalia os certificados e a postura do dispositivo antes de conceder acesso à rede

Estas camadas não são sequenciais - operam num ciclo de feedback contínuo. O MDM informa o NAC sobre o estado de conformidade em tempo real, enquanto o NAC pode acionar fluxos de trabalho de remediação no MDM quando um dispositivo falha uma verificação de postura.

architecture_overview.png

Como o SCEP Automatiza a PKI à Escala

A implementação manual de certificados é operacionalmente impossível à escala. Uma frota de 500 dispositivos exigiria que um administrador de TI gerasse, assinasse e instalasse um certificado X.509 individual em cada dispositivo - um processo que demoraria vários minutos por dispositivo e introduziria um risco significativo de erro humano. O SCEP elimina isto por completo.

Quando um dispositivo se regista no MDM, o MDM envia um perfil de configuração que contém um payload SCEP. O payload instrui o dispositivo a gerar um par de chaves localmente - crucialmente, a chave privada nunca sai do dispositivo - e a submeter um Pedido de Assinatura de Certificado (CSR) ao servidor SCEP. O servidor SCEP (geralmente o Network Device Enrolment Service (NDES) da Microsoft ou um equivalente baseado na nuvem) valida o pedido junto do MDM para confirmar que o dispositivo está autorizado. Em seguida, encaminha o CSR para a Autoridade de Certificação (CA), que emite o certificado X.509 assinado. O certificado é devolvido ao dispositivo e instalado no seu enclave seguro ou no keystore do sistema.

Todo o processo ocorre de forma silenciosa, através do ar, sem qualquer interação do utilizador. Para uma implementação de 1.000 dispositivos, todo o parque de certificados pode ser aprovisionado poucas horas após a conclusão do registo no MDM.

NAC e 802.1X EAP-TLS: A Camada de Aplicação

Assim que um dispositivo possui um certificado válido, tenta ligar-se ao SSID corporativo ou à porta com fios utilizando o IEEE 802.1X. O ponto de acesso ou switch atua como autenticador, encaminhando o pedido para um servidor RADIUS gerido pelo motor de políticas do NAC. O método EAP mais seguro é o EAP-TLS, que requer autenticação mútua - tanto o cliente como o servidor RADIUS devem apresentar certificados válidos, o que impede ataques de man-in-the-middle através de pontos de acesso fraudulentos. O NAC realiza várias verificações críticas em sequência:

  1. Validação criptográfica: O certificado é matematicamente válido e assinado por uma CA raiz fidedigna?
  2. Verificação de revogação: O certificado está listado numa Lista de Revogação de Certificados (CRL) ou sinalizado através do Online Certificate Status Protocol (OCSP)?
  3. Avaliação de postura: Consultando o MDM via API, o NAC pergunta: O dispositivo está em conformidade? O sistema operativo está no nível de patch exigido? A encriptação de disco está ativada?

Se todas as verificações passarem, o NAC envia uma mensagem RADIUS Access-Accept, que geralmente transporta atributos específicos do fornecedor (VSAs) que atribuem dinamicamente o dispositivo a uma VLAN específica ou aplicam listas de controlo de acesso (ACLs). Os dispositivos não conformes são colocados numa VLAN de remediação com permissões limitadas - normalmente apenas o suficiente para acionar fluxos de trabalho de remediação geridos pelo MDM.

scep_nac_workflow.png

Segregação da Rede de Convidados

Em qualquer ambiente de espaço físico, a infraestrutura corporativa deve ser estritamente segregada das redes públicas. A plataforma de Guest WiFi opera inteiramente em SSIDs e VLANs separadas, sem rota encaminhada para os recursos corporativos. A arquitetura SCEP-NAC governa o nível corporativo; o nível de convidados é controlado pela autenticação de Captive Portal e fluxos de trabalho de captura de dados. Para espaços que implementam WiFi Analytics , esta segregação é um pré-requisito - os dados analíticos fluem através da rede de convidados, enquanto os dados operacionais fluem através da rede corporativa autenticada por certificado. Para mais informações sobre a arquitetura de RF subjacente que suporta ambas as redes, consulte Wi-Fi Frequencies: A 2026 Guide to Wi-Fi Frequencies .

-

Guia de Implementação

A implementação desta arquitetura requer uma sequenciação cuidadosa para evitar o bloqueio de utilizadores legítimos durante a transição.

Passo 1: Preparação de PKI e SCEP

Estabeleça uma PKI interna robusta ou tire partido de um serviço de PKI gerido na nuvem (mPKI). Implemente e proteja o servidor SCEP - se utilizar o Microsoft NDES, certifique-se de que este é executado num servidor dedicado em vez de partilhar a localização com a CA. Configure o servidor SCEP para utilizar palavras-passe de desafio dinâmicas geradas por dispositivo pelo MDM, em vez de um segredo estático partilhado. Isto evita pedidos de certificado não autorizados caso o URL do SCEP seja descoberto.

Passo 2: Configuração do MDM

Crie a carga de dados SCEP na sua plataforma MDM. Defina cuidadosamente os campos de Subject Alternative Name (SAN) - o SAN deve conter identificadores únicos (como o número de série do dispositivo ou o UPN do utilizador) que o NAC utilizará para decisões de políticas. Envie o perfil primeiro para um grupo piloto de dispositivos da equipa de TI e valide todo o fluxo de registo antes de qualquer implementação mais ampla.

Passo 3: Configuração de NAC e RADIUS

Configure o seu NAC para confiar na CA raiz que emitiu os certificados de cliente. Instale um certificado de servidor no servidor RADIUS para autenticação mútua EAP-TLS. Defina políticas de acesso com base nos atributos do certificado e no estado de conformidade do MDM. Implemente regras de atribuição dinâmica de VLAN: dispositivos corporativos em conformidade para a VLAN corporativa, dispositivos não conformes para a VLAN de remediação e dispositivos IoT para uma VLAN dedicada com restrição de Internet.

Passo 4: Integração da Infraestrutura de Rede

Configure switches e pontos de acesso sem fios para 802.1X. Para cenários com hardware de ponto de venda legado em ambientes de retail , ou controladores de quartos inteligentes em espaços de hospitality , implemente o MAC Authentication Bypass (MAB) como alternativa para dispositivos que não podem participar no EAP-TLS. Restrinja o MAB a portas de switch específicas e garanta que a base de dados de endereços MAC é rigorosamente controlada. Para ambientes de healthcare e transport , configure regras de avaliação de postura para cumprir os requisitos de conformidade específicos do setor.

Passo 5: Implementação Paralela e Transição

Nunca mude de rede imediatamente. Transmita o novo SSID 802.1X em paralelo com a rede existente. Envie o novo perfil de WiFi através do MDM. Monitorize a adoção e resolva falhas de registo. Quando mais de 95% dos dispositivos estiverem a autenticar-se com sucesso no novo SSID, desative a rede antiga.


Melhores Práticas

Exija EAP-TLS. Nunca aceite EAP-PEAP ou EAP-TTLS como o método de autenticação principal para dispositivos corporativos. Estes métodos dependem de credenciais de utilizador/palavra-passe dentro de um túnel TLS e continuam vulneráveis à recolha de credenciais. O EAP-TLS elimina totalmente essa superfície de ataque.

Implemente a revogação em tempo real. As transferências programadas de CRL criam janelas de exposição. Configure o NAC para realizar verificações OCSP em tempo real. Quando um dispositivo é reportado como perdido ou roubado, revogue o certificado na CA e o dispositivo perderá o acesso à rede na próxima tentativa de autenticação - ou imediatamente, se o Change of Authorisation (CoA) estiver implementado.

Defina períodos de validade de certificado sensatos. Um período de validade de um ano, com renovação SCEP automatizada acionada 30 dias antes da expiração, é a norma do setor. Uma validade mais longa aumenta a janela de exposição se um certificado for comprometido; uma validade mais curta aumenta o risco de falhas na renovação causarem interrupções.

Segregue agressivamente a IoT. Os dispositivos IoT nunca devem partilhar uma VLAN com endpoints corporativos. Utilize o NAC para impor ACLs estritas na VLAN de IoT, permitindo apenas os protocolos e destinos específicos de que cada classe de dispositivo necessita. Para locais que implementam serviços de localização, consulte Indoor WiFi Positioning Systems: How They Work and How to Deploy Them para perceber como a infraestrutura de posicionamento se integra na arquitetura de rede mais ampla.

Alinhe com o WPA3. Onde o hardware o permitir, configure os SSIDs corporativos para utilizarem WPA3-Enterprise, que exige Protected Management Frames (PMF) e oferece uma proteção criptográfica mais forte do que o WPA2. Para obter detalhes sobre como isto se enquadra no panorama mais amplo de conectividade empresarial, consulte SD-WAN vs MPLS: A 2026 Guide to Enterprise Networking .


Resolução de Problemas e Mitigação de Riscos

Modo de falha Causa raiz Mitigação
Dispositivos falham o EAP-TLS após renovação de certificado Renovação SCEP a falhar silenciosamente Monitorize os registos do servidor SCEP; configure alertas para submissões CSR falhadas
Validação de certificado falha devido a desvio de relógio Desconfiguração de NTP Imponha a sincronização de NTP em todos os endpoints e infraestrutura
Dispositivos IoT não conseguem autenticar-se Sem suplicante 802.1X Implemente MAB com controlos estritos de endereços MAC e uma VLAN isolada
Bloqueio em massa de dispositivos após migração de CA CA raiz antiga não é confiada pelo NAC Planeie as migrações de CA por fases; adicione a nova CA raiz ao repositório de confiança do NAC antes de revogar a antiga
Dispositivos revogados mantêm o acesso à rede Revogação apenas por CRL com longos intervalos de transferência Implemente OCSP e CoA para revogação em tempo real
Para dispositivos IoT específicos baseados em BLE, a arquitetura de autenticação difere dos pontos de extremidade ligados por WiFi. Consulte BLE Low Energy Explained for the Enterprise para obter as considerações de segurança específicas que se aplicam à infraestrutura Bluetooth Low Energy.

ROI e Impacto no Negócio

O caso de negócio para a integração SCEP-NAC-MDM é claro quando comparado com o custo das alternativas.

Métrica Antes da implementação Após a implementação
Tíquetes de suporte de TI (acesso à rede) Elevado - reposição de palavras-passe, rotação de chaves Próximo de zero - ciclo de vida de certificados automatizado
Tempo médio para revogar um dispositivo comprometido Horas (processo manual) Segundos (OCSP + CoA)
Conformidade de controlo de acesso PCI-DSS Manual, intensiva em auditorias Automatizada, continuamente aplicada
Tempo de integração de BYOD 15-30 minutos por dispositivo Menos de 5 minutos sem qualquer intervenção de TI

Para uma infraestrutura de 500 dispositivos, a eliminação da gestão manual de certificados e de tíquetes de suporte relacionados com palavras-passe reduz normalmente os custos gerais de suporte de TI relacionados com a rede em 25-35%. O valor da mitigação de riscos - evitando uma única violação baseada em credenciais - excede habitualmente todo o custo de implementação. Para organizações do setor público e de cuidados de saúde vinculadas ao GDPR, a capacidade de demonstrar um controlo de acesso automatizado e auditável é um ativo de conformidade significativo.

Definições Principais

SCEP (Simple Certificate Enrollment Protocol)

Um protocolo que automatiza a emissão e revogação de certificados digitais para dispositivos sem a intervenção do utilizador, atuando como a camada de comunicação entre a plataforma MDM e a Autoridade de Certificação.

Utilizado por plataformas MDM para implementar de forma integrada certificados X.509 em milhares de pontos de extremidade em escala. As equipas de TI encontram o SCEP ao configurar perfis MDM para autenticação WiFi 802.1X.

NAC (Network Access Control)

Uma solução de segurança que aplica políticas em dispositivos que procuram aceder à infraestrutura de rede, avaliando as credenciais de autenticação, a validade do certificado e a postura de conformidade do dispositivo antes de conceder o acesso.

Atua como o guardião na periferia da rede. As equipas de TI configuram as políticas do NAC para definir quais os dispositivos que obtêm acesso a quais VLANs com base nos seus atributos de certificado e estado de conformidade do MDM.

MDM (Mobile Device Management)

Software utilizado pelos departamentos de TI para monitorizar, gerir e proteger os pontos de extremidade dos colaboradores em múltiplos sistemas operativos, servindo como a fonte central de verdade para a identidade e conformidade dos dispositivos.

O iniciador do processo de registo SCEP e a fonte dos dados de postura consultados pelo NAC. Sem a integração do MDM, o NAC não pode executar o controlo de acesso baseado na postura.

IEEE 802.1X

Uma norma IEEE para controlo de acesso à rede baseado em portas (Network Access Control) que fornece um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN, exigindo uma autenticação bem-sucedida antes da abertura da porta.

O protocolo subjacente que força os dispositivos a autenticarem-se antes que o switch ou ponto de acesso permita a passagem de qualquer tráfego. Configurado tanto na infraestrutura de rede como no suplicante 802.1X do dispositivo.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

O padrão EAP mais seguro, que exige autenticação mútua onde tanto o dispositivo cliente como o servidor RADIUS devem apresentar certificados digitais válidos, eliminando ataques a credenciais baseados em palavras-passe.

O padrão de excelência para a segurança sem fios empresarial. Os arquitetos de TI devem exigir o EAP-TLS em vez do PEAP ou TTLS sempre que existir uma infraestrutura de certificados de dispositivos implementada.

CSR (Certificate Signing Request)

Um bloco de texto codificado gerado por um dispositivo que contém a sua chave pública e detalhes de identidade, enviado à Autoridade de Certificação para solicitar um certificado X.509 assinado.

Gerado automaticamente pelo dispositivo durante o processo de registo SCEP. A chave privada correspondente ao CSR nunca sai do dispositivo, garantindo que o certificado não possa ser duplicado.

MAB (MAC Authentication Bypass)

Um método de autenticação alternativo em que a rede utiliza o endereço MAC físico do dispositivo como a sua credencial, utilizado para dispositivos que carecem de capacidade de suplicante 802.1X.

Utilizado para dispositivos IoT legados, tais como impressoras, sensores e controladores de salas inteligentes que não podem participar no EAP-TLS. Deve resultar sempre na atribuição a uma VLAN altamente restrita.

OCSP (Online Certificate Status Protocol)

Um protocolo de internet utilizado para obter o estado de revogação de um certificado digital X.509 em tempo real, fornecendo uma alternativa à transferência e análise de Listas de Revogação de Certificados.

Crítico para sistemas NAC que necessitam de bloquear imediatamente o acesso à rede quando um dispositivo está comprometido ou é reportado como roubado. O OCSP fornece o estado em tempo real; as transferências de CRL criam uma janela de revogação.

CoA (Change of Authorization)

Uma extensão RADIUS (RFC 5176) que permite ao NAC modificar ou terminar dinamicamente uma sessão de rede ativa sem esperar que a sessão expire ou que o dispositivo se autentique novamente.

Utilizado para desligar imediatamente um dispositivo quando o seu certificado é revogado ou o seu estado de conformidade com o MDM é alterado. Essencial para a aplicação de políticas zero-trust em tempo real.

Exemplos Práticos

Um resort de luxo com 500 quartos precisa de proteger a sua rede de operações de back-of-house. O pessoal utiliza tablets partilhados para a gestão do serviço de limpeza e a gerência utiliza computadores portáteis corporativos. A atual rede WPA2-PSK teve a chave pré-partilhada divulgada várias vezes, resultando em dois incidentes de segurança no ano passado. Como deve a equipa de TI transitar para a autenticação baseada em certificados sem interromper as operações?

Fase 1 - Preparação (Semanas 1 e 2): Implementar uma solução RADIUS/NAC baseada na nuvem e integrá-la com o MDM existente. Configurar um perfil SCEP no MDM para enviar certificados baseados em dispositivos para todos os tablets e computadores portáteis. Utilizar certificados baseados em dispositivos (associados ao número de série do dispositivo) em vez de certificados baseados em utilizadores, para que os tablets partilhados se autentiquem automaticamente, independentemente do funcionário que os esteja a utilizar. Fase 2 - Implementação Paralela (Semanas 3 e 4): Transmitir um novo SSID oculto, configurado para 802.1X EAP-TLS. Enviar o novo perfil de WiFi via MDM para todos os dispositivos inscritos. Monitorizar o painel de controlo do NAC para verificar as autenticações bem-sucedidas. Fase 3 - Transição (Semana 5): Assim que mais de 95% dos dispositivos estiverem ligados ao novo SSID, desativar a rede WPA2-PSK antiga. Revogar a PSK antiga de toda a documentação e pontos de acesso.

Comentário do Examinador: A abordagem de certificados baseados em dispositivos é a escolha correta para ambientes de dispositivos partilhados. Os certificados baseados em utilizadores exigiriam que cada funcionário tivesse o seu próprio certificado, criando uma sobrecarga de gestão que anula o benefício da automatização. A estratégia de implementação paralela é crítica - uma transição imediata bloquearia qualquer dispositivo que falhasse na inscrição SCEP, causando interrupções operacionais. O SSID oculto para a nova rede impede que os clientes tentem ligar-se à rede corporativa durante o período de transição.

Uma cadeia de retalho nacional está a implementar 3.000 novos terminais de Ponto de Venda em 150 lojas. A equipa de segurança exige uma segmentação rigorosa de rede PCI-DSS e acesso zero-trust. O prazo de implementação é de 8 semanas. Como é que o SCEP e o NAC facilitam isto em escala sem exigir pessoal de TI em cada loja?

Pré-implementação: O fornecedor do POS pré-inscreve todos os 3.000 dispositivos no MDM do retalhista utilizando o programa de inscrição zero-touch do fornecedor. O MDM é configurado com um perfil SCEP que será ativado automaticamente no primeiro arranque. Implementação: Quando um terminal POS é ligado na loja, liga-se a um SSID temporário de integração (apenas internet, sem acesso corporativo). O perfil MDM é enviado, a carga do SCEP é ativada e o dispositivo solicita e recebe o seu certificado X.509 da CA. O MDM envia então o perfil de WiFi corporativo. Acesso à Rede: Quando o POS se liga à porta do switch da loja, o switch inicia o 802.1X. O NAC valida o certificado, consulta o MDM para confirmar que o POS está em conformidade (encriptação ativada, agente MDM ativo, nenhum jailbreak detetado) e atribui dinamicamente a porta do switch à VLAN PCI-DSS. O POS está agora operacional. Não foi necessário qualquer funcionário de TI na loja.

Comentário do Examinador: Este cenário demonstra o poder de combinar o registo MDM sem toque (zero-touch) com a automatização SCEP. O SSID temporário de integração é um elemento de design crítico - fornece acesso à internet para o processo de registo MDM sem expor a rede corporativa. A atribuição dinâmica de VLAN garante que, mesmo que um dispositivo não autorizado conseguisse de alguma forma obter um endereço MAC válido, falharia na verificação do certificado EAP-TLS e teria o acesso recusado à VLAN PCI. Esta arquitetura satisfaz o Requisito 1 do PCI DSS (segmentação de rede) e o Requisito 8 (identificação única de dispositivos) simultaneamente.

Perguntas de Prática

Q1. A sua organização está a migrar de WPA2-Enterprise usando PEAP-MSCHAPv2 para EAP-TLS. Durante o piloto, os portáteis Windows e iPhones ligam-se com sucesso, mas 200 scanners de códigos de barras de armazém não conseguem autenticar-se. Os scanners suportam 802.1X mas não conseguem processar o payload SCEP do MDM — executam um sistema operativo integrado proprietário sem suporte para agente MDM. Qual é a solução arquitetural mais segura que mantém a segmentação de rede sem exigir a substituição dos scanners?

Dica: Considere mecanismos alternativos de entrega de certificados que não exijam um agente MDM, e quais os controlos de segmentação de rede que devem ser aplicados a dispositivos que não podem participar numa avaliação de postura completa.

Ver resposta modelo

Uma vez que os scanners suportam 802.1X mas não o registo SCEP ou MDM, a abordagem mais segura é provisionar manualmente os certificados dos dispositivos utilizando um modelo de certificado dedicado com um perfil de utilização de chave restrito. Os certificados são instalados uma vez durante uma janela de manutenção. O NAC é configurado para aceitar estes certificados, mas atribui os scanners a uma VLAN dedicada para operações de armazém com ACLs estritas — e não à VLAN corporativa completa — porque a avaliação de postura não é possível. Alternativamente, se o provisionamento manual de certificados for operacionalmente inviável de dimensionar, configure o MAB como alternativa especificamente para as OUIs MAC do hardware do scanner, com o NAC a atribuí-los à mesma VLAN restrita. Documente isto como uma exceção conhecida no seu registo de riscos e agende a substituição dos scanners no próximo ciclo de renovação de hardware.

Q2. Um gestor de segurança de rede nota que quando um funcionário reporta o roubo de um portátil, o MDM envia um comando de eliminação remota, mas o dispositivo permanece ligado ao WiFi corporativo até 12 horas - o tempo limite atual da sessão RADIUS. Durante esta janela de tempo, o dispositivo poderá ser utilizado para exfiltrar dados. Como deve a arquitetura ser modificada para terminar o acesso à rede imediatamente após um dispositivo ser reportado como roubado?

Dica: O NAC precisa de ser informado da alteração de estado instantaneamente, em vez de esperar pelo próximo ciclo de autenticação. Considere tanto o mecanismo de terminação de sessão como o mecanismo de prevenção de nova autenticação.

Ver resposta modelo

Implemente dois controlos complementares. Primeiro, configure o MDM para enviar um webhook para o NAC imediatamente após um dispositivo ser marcado como perdido ou roubado. O NAC envia então uma mensagem Disconnect-Request de Change of Authorization (CoA) do RADIUS para o ponto de acesso específico ou porta de switch, terminando a sessão ativa imediatamente. Segundo, revogue o certificado do dispositivo na AC e certifique-se de que o NAC está configurado para verificação OCSP em tempo real, em vez de revogação baseada em CRL. Isto significa que, mesmo que o dispositivo se volte a ligar antes de o CoA ser processado, a autenticação EAP-TLS falhará na verificação OCSP. Ambos os controlos em conjunto reduzem a janela de exposição de 12 horas para menos de 60 segundos.

Q3. Durante uma auditoria de segurança à rede de um grande centro de conferências, descobre-se que o servidor SCEP está exposto à internet pública utilizando uma palavra-passe de desafio estática para permitir o registo remoto de dispositivos. O auditor assinala isto como uma vulnerabilidade crítica. Como deve o processo de registo SCEP ser desenhado novamente de modo a manter a capacidade de registo remoto eliminando o risco da palavra-passe estática?

Dica: O servidor SCEP necessita de uma forma de verificar se o dispositivo que solicita um certificado está efetivamente autorizado pelo MDM, sem depender de um segredo partilhado que possa ser extraído de um dispositivo ou intercetado.

Ver resposta modelo

Substitua a password de desafio estática por passwords de desafio dinâmicas, de utilização única e por dispositivo, geradas pelo MDM. O fluxo de trabalho torna-se: (1) O MDM gera uma password de desafio única e com limite de tempo para cada dispositivo durante a inscrição. (2) O MDM inclui este desafio no payload SCEP enviado para o dispositivo. (3) O dispositivo inclui o desafio no seu CSR. (4) O servidor SCEP valida o desafio com o MDM através de API antes de reencaminhar o CSR para a CA. (5) O desafio é invalidado imediatamente após a utilização. Isto garante que apenas os dispositivos geridos pelo MDM conseguem obter um certificado com sucesso e que, mesmo que o URL do SCEP seja descoberto, um atacante não consegue gerar certificados válidos sem um desafio de utilização única válido. Adicionalmente, restrinja o servidor SCEP apenas a HTTPS e implemente uma lista de permissões de IP para os IPs de saída do MDM, sempre que possível.