Saltar para o conteúdo principal

O Papel do SCEP e do NAC na Infraestrutura de MDM Moderna

Este guia fornece uma análise técnica detalhada de como o SCEP e o NAC se integram com as plataformas de MDM para fornecer acesso seguro à rede com provisionamento automático (zero-touch) à escala empresarial. Abrange toda a arquitetura, desde a emissão de certificados até à aplicação de 802.1X, com cenários de implementação reais dos setores da hotelaria e do retalho. Concebido para líderes de TI em grandes espaços que necessitam de eliminar vulnerabilidades de passwords, automatizar o provisionamento de dispositivos e cumprir requisitos de conformidade este trimestre.

📖 7 min de leitura📝 1,710 palavras🔧 2 exemplos práticos3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos mergulhar num tópico de arquitetura crítico para redes empresariais: O papel do SCEP e do NAC na infraestrutura moderna de MDM. Se é um diretor de TI, um arquiteto de rede ou se gere operações num grande espaço - seja um estádio, um hospital ou uma cadeia de lojas - conhece bem a dor de cabeça que é a integração segura de dispositivos. Os dias de chaves pré-partilhadas acabaram. Hoje, estamos a falar de autenticação baseada em certificados. Vamos explorar como o Simple Certificate Enrolment Protocol, ou SCEP, se associa ao Network Access Control, ou NAC, para automatizar o aprovisionamento de dispositivos e impor o acesso zero-trust. Vamos direto ao assunto. Vamos detalhar a arquitetura. No núcleo, temos três camadas: a camada de dispositivos, o motor de políticas e a camada de acesso à rede. Quando um novo dispositivo corporativo ou um terminal BYOD necessita de acesso, este regista-se primeiro na sua plataforma de Mobile Device Management. Mas o MDM por si só não concede acesso à rede. É aí que o SCEP entra. O SCEP funciona como o transportador automatizado entre o seu MDM e a sua Certificate Authority. Em vez de um administrador de TI gerar e instalar manualmente um certificado X.509 em cada dispositivo, o MDM envia um payload para o dispositivo. O dispositivo gera um Certificate Signing Request, ou CSR, e envia-o para o servidor SCEP. A CA emite o certificado e o dispositivo passa a ter uma identidade criptograficamente segura. Sem palavras-passe para fazer phishing, sem chaves partilhadas para vazar. Mas um certificado é apenas um cartão de identificação. Ainda precisa de um segurança à porta. Esse é o seu NAC. Quando o dispositivo tenta ligar-se ao WiFi - normalmente utilizando 802.1X EAP-TLS - o ponto de acesso sem fios passa o pedido para o servidor RADIUS, que é regulado pelo motor de políticas do NAC. O NAC verifica o certificado: É válido? Foi revogado? Mas o NAC moderno vai mais longe. Verifica o estado de conformidade no MDM: O SO está atualizado? A firewall está ativa? Se sim, o NAC indica ao switch ou ao ponto de acesso para colocar o dispositivo na VLAN correta. Se não, coloca-os numa rede de remediação. Esta integração é crítica para ambientes como grandes cadeias de retalho ou instalações de saúde, onde existe uma mistura de portáteis corporativos, dispositivos IoT e redes de convidados. Por falar em redes de convidados, é aqui que plataformas como o Guest WiFi e WiFi Analytics da Purple se integram perfeitamente ao lado dos seus SSIDs corporativos seguros, garantindo que o acesso público está isolado da sua infraestrutura segura e baseada em certificados. Então, como implementar isto sem perturbar a sua rede? Primeira recomendação: Utilize sempre EAP-TLS. Este requer certificados tanto no servidor como no cliente, proporcionando autenticação mútua. Segundo, preste atenção às suas Certificate Revocation Lists, ou CRLs, e ao OCSP. Se um dispositivo for comprometido ou se um funcionário sair, revogar o certificado na CA é inútil se o NAC não estiver a verificar o estado de revogação em tempo real. Um erro comum que vemos no setor da hotelaria e em grandes espaços é a falha em contabilizar os dispositivos IoT. Nem todos os sensores de IoT ou smart TVs suportam 802.1X ou SCEP. Para estes, precisará de uma estratégia de contingência como o MAC Authentication Bypass, ou MAB, rigidamente controlado pelo seu NAC para portas de switch específicas ou VLANs isoladas. Outro erro comum é o período de validade dos certificados. Não os configure para 10 anos, mas também não os configure para 30 dias, a menos que a sua renovação automática via SCEP seja infalível. Uma validade de um ano com renovação automática aos 30 dias é um padrão de mercado sólido. Vamos responder a algumas perguntas rápidas que recebemos frequentemente de CTOs. Pergunta um: Podemos usar o nosso Active Directory Certificate Services existente para SCEP? Sim, o Microsoft AD CS inclui a função Network Device Enrollment Service, ou NDES, que funciona como um servidor SCEP. Certifique-se apenas de que está devidamente protegido e exposto ao seu MDM. Pergunta dois: Isto substitui a nossa firewall? De modo algum. O SCEP e o NAC gerem a autenticação e o controlo de acessos no limite - Camada 2. A sua firewall trata da inspeção de tráfego e prevenção de ameaças nas Camadas 3 a 7. Trabalham em conjunto. Para concluir, a combinação de SCEP, NAC e MDM oferece-lhe um limite de rede altamente seguro e sem necessidade de intervenção manual (zero-touch). Elimina os pedidos de suporte técnico relacionados com palavras-passe e garante que apenas os dispositivos em conformidade acedem à sua infraestrutura crítica. Para os operadores de espaços, isto significa que as suas operações internas funcionam em segurança, permitindo-lhe concentrar-se na experiência do cliente - a qual pode potenciar com as ferramentas de analítica e engagement da Purple. Comece por auditar as suas capacidades atuais de MDM e garanta que a sua infraestrutura RADIUS suporta EAP-TLS. Mapeie os seus tipos de dispositivos e realize primeiro um projeto-piloto com os dispositivos da sua equipa de TI. Obrigado por acompanhar este briefing técnico. Mantenha-se seguro e vemo-nos no próximo.

header_image.png

Resumo Executivo

Para recintos empresariais - desde estádios com 80.000 lugares a cadeias de retalho multi-site - a segurança da periferia da rede avançou decisivamente para lá das chaves pré-partilhadas e da gestão manual de credenciais. A proliferação de dispositivos corporativos, dispositivos BYOD e infraestrutura IoT exige uma arquitetura zero-trust que dimensione sem sobrecarregar o suporte técnico de TI.

Este guia detalha a arquitetura técnica para integrar o Simple Certificate Enrolment Protocol (SCEP) e o Network Access Control (NAC) com a infraestrutura de Mobile Device Management (MDM). Ao tirar partido do SCEP para automatizar a distribuição de certificados X.509, e do NAC para impor a autenticação IEEE 802.1X EAP-TLS, as organizações podem alcançar o aprovisionamento zero-touch, eliminar vias de roubo de credenciais e impor o acesso dinâmico à rede com base na postura do dispositivo. Enquanto o acesso público é gerido através de uma solução dedicada de Guest WiFi , esta arquitetura protege as operações críticas de back-of-house que mantêm o recinto em funcionamento. O resultado é uma redução drástica nos custos indiretos de TI, uma conformidade mais forte ao abrigo do PCI-DSS e GDPR, e princípios zero-trust aplicados proativamente na periferia da rede.


Análise Técnica Detalhada

A Arquitetura de Três Camadas

A segurança de rede moderna baseia-se na identidade criptográfica e não no conhecimento do utilizador. A pilha SCEP-NAC-MDM opera em três camadas principais:

Camada Componentes Função
Gestão de dispositivos MDM / UEM Autoridade central para configuração, conformidade e ciclo de vida do dispositivo
Identidade e emissão PKI / SCEP / CA Gera, emite e gere certificados digitais
Aplicação de acesso NAC / RADIUS Avalia os certificados e a postura do dispositivo antes de conceder acesso à rede

Estas camadas não são sequenciais - operam num ciclo de feedback contínuo. O MDM informa o NAC sobre o estado de conformidade em tempo real, enquanto o NAC pode acionar fluxos de trabalho de remediação do MDM quando um dispositivo falha numa verificação de postura.

architecture_overview.png

Como o SCEP Automatiza a PKI à Escala

A implementação manual de certificados é operacionalmente impossível à escala. Um parque de 500 dispositivos exigiria que um administrador de TI gerasse, assinasse e instalasse um certificado X.509 individual em cada dispositivo - um processo que demora vários minutos por dispositivo e introduz um risco significativo de erro humano. O SCEP elimina isto por completo.

Quando um dispositivo se regista no MDM, o MDM envia um perfil de configuração que contém um payload SCEP. O payload instrui o dispositivo a gerar um par de chaves localmente - crucialmente, a chave privada nunca sai do dispositivo - e a submeter um Certificate Signing Request (CSR) ao servidor SCEP. O servidor SCEP (normalmente o Network Device Enrolment Service (NDES) da Microsoft ou um equivalente baseado na nuvem) valida o pedido junto do MDM para confirmar que o dispositivo está autorizado. Em seguida, encaminha o CSR para a Autoridade de Certificação (CA), que emite o certificado X.509 assinado. O certificado é devolvido ao dispositivo e instalado na sua área de armazenamento segura ou repositório de chaves do sistema.

Todo o processo ocorre de forma silenciosa, por via sem fios (over-the-air), sem qualquer interação do utilizador. Para uma implementação de 1.000 dispositivos, todo o parque de certificados pode ser aprovisionado em poucas horas após a conclusão do registo no MDM.

NAC e 802.1X EAP-TLS: A Camada de Aplicação de Políticas

Assim que um dispositivo possui um certificado válido, tenta ligar-se ao SSID corporativo ou à porta com fios utilizando o IEEE 802.1X. O ponto de acesso ou switch atua como o autenticador, encaminhando o pedido para um servidor RADIUS gerido pelo motor de políticas do NAC. O método EAP mais seguro é o EAP-TLS, que exige autenticação mútua - tanto o cliente como o servidor RADIUS devem apresentar certificados válidos, evitando ataques do tipo man-in-the-middle através de pontos de acesso fraudulentos. O NAC realiza várias verificações críticas em sequência:

  1. Validação criptográfica: O certificado é matematicamente válido e assinado por uma CA raiz fidedigna?
  2. Verificação de revogação: O certificado está listado numa Lista de Revogação de Certificados (CRL) ou sinalizado através do Online Certificate Status Protocol (OCSP)?
  3. Avaliação de postura: Consultando o MDM via API, o NAC questiona: O dispositivo está em conformidade? O sistema operativo tem o nível de patch exigido? A encriptação do disco está ativada?

Se todas as verificações passarem, o NAC envia uma mensagem RADIUS Access-Accept, que normalmente transporta atributos específicos do fornecedor (VSAs) que atribuem dinamicamente o dispositivo a uma VLAN específica ou aplicam listas de controlo de acesso (ACLs). Os dispositivos que não estão em conformidade são colocados numa VLAN de remediação com permissões limitadas - normalmente apenas o suficiente para acionar fluxos de trabalho de remediação baseados em MDM.

scep_nac_workflow.png

Segregação da Rede de Convidados

Em qualquer ambiente de espaço físico, a infraestrutura corporativa deve ser rigorosamente segregada das redes públicas. A plataforma de Guest WiFi opera inteiramente em SSIDs e VLANs separadas, sem rotas de encaminhamento para os recursos corporativos. A arquitetura SCEP-NAC governa o nível corporativo; o nível de convidados é controlado por autenticação de Captive Portal e fluxos de trabalho de captura de dados. Para espaços que implementam WiFi Analytics , esta segregação é um pré-requisito - os dados analíticos fluem através da rede de convidados, enquanto os dados operacionais fluem através da rede corporativa autenticada por certificado. Para mais informações sobre a arquitetura de RF subjacente que suporta ambas as redes, consulte Wi-Fi Frequencies: A 2026 Guide to Wi-Fi Frequencies .


Guia de Implementação

A implementação desta arquitetura requer uma sequenciação cuidadosa para evitar o bloqueio de utilizadores legítimos durante a transição.

Passo 1: Preparação de PKI e SCEP

Estabeleça uma PKI interna robusta ou utilize um serviço de PKI gerida na nuvem (mPKI). Implemente e proteja o servidor SCEP - se utilizar o Microsoft NDES, garanta que este corre num servidor dedicado e não partilhado com a CA. Configure o servidor SCEP para utilizar palavras-passe de desafio dinâmicas geradas por dispositivo pelo MDM, em vez de um segredo estático partilhado. Isto evita pedidos de certificado não autorizados caso o URL do SCEP seja descoberto.

Passo 2: Configuração do MDM

Crie o payload SCEP na sua plataforma MDM. Defina cuidadosamente os campos Subject Alternative Name (SAN) - o SAN deve conter identificadores únicos (como o número de série do dispositivo ou o UPN do utilizador) que o NAC utilizará para as decisões de políticas. Envie o perfil primeiro para um grupo piloto de dispositivos da equipa de TI e valide todo o fluxo de registo antes de qualquer implementação mais alargada.

Passo 3: Configuração do NAC e RADIUS

Configure o seu NAC para confiar na CA raiz que emitiu os certificados de cliente. Instale um certificado de servidor no servidor RADIUS para autenticação mútua EAP-TLS. Defina políticas de acesso com base nos atributos do certificado e no estado de conformidade do MDM. Implemente regras de atribuição dinâmica de VLAN: dispositivos corporativos em conformidade para a VLAN corporativa, dispositivos não conformes para a VLAN de remediação e dispositivos IoT para uma VLAN dedicada com restrição de internet.

Passo 4: Integração da Infraestrutura de Rede

Configure os switches e os pontos de acesso sem fios para 802.1X. Para cenários com hardware de ponto de venda legado em ambientes de retail , ou controladores de quartos inteligentes em espaços de hospitality , implemente o MAC Authentication Bypass (MAB) como alternativa para dispositivos que não suportam EAP-TLS. Restrinja o MAB a portas de switch específicas e garanta que a base de dados de endereços MAC é rigorosamente controlada. Para ambientes de healthcare e transport , configure regras de avaliação de postura para cumprir os requisitos de conformidade específicos do setor.

Passo 5: Implementação em Paralelo e Transição Direta

Nunca faça a transição imediata. Transmita o novo SSID 802.1X em paralelo com a rede existente. Envie o novo perfil de WiFi através do MDM. Monitorize a adoção e resolva falhas de registo. Assim que mais de 95% dos dispositivos estiverem a autenticar-se com sucesso no novo SSID, desative a rede antiga.

-

Melhores Práticas

Exija EAP-TLS. Nunca aceite EAP-PEAP ou EAP-TTLS como o método de autenticação principal para dispositivos corporativos. Estes métodos dependem de credenciais de utilizador/palavra-passe dentro de um túnel TLS e continuam vulneráveis à recolha de credenciais. O EAP-TLS elimina totalmente essa superfície de ataque.

Implemente a revogação em tempo real. Os downloads agendados de CRL criam janelas de exposição. Configure o NAC para realizar verificações OCSP em tempo real. Quando um dispositivo é reportado como perdido ou roubado, revogue o certificado na CA e o dispositivo perderá o acesso à rede na próxima tentativa de autenticação - ou imediatamente, se o Change of Authorisation (CoA) estiver implementado.

Defina períodos de validade de certificado sensatos. Um período de validade de um ano, com renovação automatizada de SCEP acionada 30 dias antes do vencimento, é o padrão do setor. Uma validade mais longa aumenta a janela de exposição se um certificado for comprometido; uma validade mais curta aumenta o risco de falhas de renovação causarem interrupções.

Segregue agressivamente a IoT. Os dispositivos IoT nunca devem partilhar uma VLAN com endpoints corporativos. Utilize o NAC para aplicar ACLs estritas na VLAN de IoT, permitindo apenas os protocolos e destinos específicos que cada classe de dispositivo exige. Para locais que implementam serviços de localização, consulte Indoor WiFi Positioning Systems: How They Work and How to Deploy Them para saber como a infraestrutura de posicionamento se integra com a arquitetura de rede mais ampla.

Alinhe com o WPA3. Onde o hardware o suportar, configure os SSIDs corporativos para utilizarem WPA3-Enterprise, que exige Protected Management Frames (PMF) e fornece uma proteção criptográfica mais forte do que o WPA2. Para mais detalhes sobre como isto se enquadra no panorama mais amplo de conectividade empresarial, consulte SD-WAN vs MPLS: A 2026 Guide to Enterprise Networking .

-

Resolução de Problemas e Mitigação de Riscos

Modo de falha Causa raiz Mitigação
Dispositivos falham EAP-TLS após renovação de certificado Renovação SCEP a falhar silenciosamente Monitorize os registos do servidor SCEP; defina alertas para envios de CSR falhados
Validação de certificado falha devido a desvio de relógio Desconfiguração de NTP Force a sincronização de NTP em todos os endpoints e infraestruturas
Dispositivos IoT não conseguem autenticar-se Sem suplicante 802.1X Implemente MAB com controlos estritos de endereço MAC e uma VLAN isolada
Bloqueio em massa de dispositivos após migração de CA CA raiz antiga não é confiada pelo NAC Planeie as migrações de CA por etapas; adicione a nova CA raiz ao repositório de confiança do NAC antes de revogar a antiga
Dispositivos revogados mantêm acesso à rede Revogação apenas por CRL com longos intervalos de download Implemente OCSP e CoA para revogação em tempo real

Para dispositivos IoT específicos baseados em BLE, a arquitetura de autenticação difere dos endpoints ligados por WiFi. Consulte BLE Low Energy Explicado para Empresas para obter as considerações de segurança específicas que se aplicam à infraestrutura Bluetooth Low Energy.


ROI e Impacto no Negócio

O caso de negócio para a integração SCEP-NAC-MDM é simples quando medido em relação ao custo das alternativas.

Métrica Antes da implementação Após a implementação
Pedidos de suporte de TI (acesso à rede) Elevado - reposições de palavras-passe, rotações de chaves Quase zero - ciclo de vida do certificado automatizado
Tempo médio para revogar um dispositivo comprometido Horas (processo manual) Segundos (OCSP + CoA)
Conformidade de controlo de acesso PCI DSS Manual, intensivo em auditorias Automatizado, aplicado continuamente
Tempo de integração de BYOD 15 a 30 minutos por dispositivo Menos de 5 minutos com zero envolvimento de TI

Para um parque de 500 dispositivos, a eliminação da gestão manual de certificados e de pedidos de suporte relacionados com palavras-passe reduz normalmente os custos indiretos de suporte de TI relacionados com a rede em 25-35%. O valor de mitigação de risco - evitar uma única falha de segurança baseada em credenciais - excede habitualmente o custo total de implementação. Para organizações do setor público e da saúde vinculadas ao GDPR, a capacidade de demonstrar um controlo de acesso automatizado e auditável é um ativo de conformidade significativo.

Definições Principais

SCEP (Simple Certificate Enrollment Protocol)

Um protocolo que automatiza a emissão e revogação de certificados digitais para dispositivos sem a intervenção do utilizador, agindo como a camada de comunicação entre a plataforma MDM e a Autoridade de Certificação.

Utilizado por plataformas MDM para implementar de forma simplificada certificados X.509 em milhares de terminais em grande escala. As equipas de TI encontram o SCEP ao configurar perfis MDM para autenticação WiFi 802.1X.

NAC (Network Access Control)

Uma solução de segurança que aplica políticas em dispositivos que procuram aceder à infraestrutura de rede, avaliando as credenciais de autenticação, a validade do certificado e a postura de conformidade do dispositivo antes de conceder o acesso.

Atua como o guardião no limite da rede. As equipas de TI configuram as políticas NAC para definir quais os dispositivos que acedem a quais VLANs com base nos seus atributos de certificado e estado de conformidade do MDM.

MDM (Mobile Device Management)

Software utilizado pelos departamentos de TI para monitorizar, gerir e proteger os terminais dos colaboradores em vários sistemas operativos, servindo como a fonte central de verdade para a identidade e conformidade dos dispositivos.

O iniciador do processo de inscrição SCEP e a origem dos dados de postura consultados pelo NAC. Sem a integração do MDM, o NAC não pode realizar o controlo de acesso baseado na postura.

IEEE 802.1X

Um padrão IEEE para Network Access Control baseado em portas que fornece um mecanismo de autenticação para dispositivos que desejam ligar-se a uma LAN ou WLAN, exigindo uma autenticação bem-sucedida antes de a porta ser aberta.

O protocolo subjacente que força os dispositivos a autenticarem-se antes de o switch ou ponto de acesso permitir a passagem de qualquer tráfego. Configurado tanto na infraestrutura de rede como no suplicante 802.1X do dispositivo.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

O padrão EAP mais seguro, que exige autenticação mútua onde tanto o dispositivo do cliente como o servidor RADIUS devem apresentar certificados digitais válidos, eliminando ataques a credenciais baseadas em palavras-passe.

O padrão de excelência para a segurança sem fios empresarial. Os arquitetos de TI devem exigir EAP-TLS em vez de PEAP ou TTLS sempre que existir uma infraestrutura de certificados de dispositivos.

CSR (Certificate Signing Request)

Um bloco de texto codificado gerado por um dispositivo que contém a sua chave pública e detalhes de identidade, submetido à Autoridade de Certificação para solicitar um certificado X.509 assinado.

Gerado automaticamente pelo dispositivo durante o processo de inscrição SCEP. A chave privada correspondente ao CSR nunca sai do dispositivo, garantindo que o certificado não possa ser duplicado.

MAB (MAC Authentication Bypass)

Um método de autenticação de contingência em que a rede utiliza o endereço MAC de hardware do dispositivo como a sua credencial, utilizado para dispositivos que não possuem capacidade de suplicante 802.1X.

Utilizado para dispositivos IoT legados, tais como impressoras, sensores e controladores de salas inteligentes que não podem participar em EAP-TLS. Deve resultar sempre na atribuição a uma VLAN altamente restrita.

OCSP (Online Certificate Status Protocol)

Um protocolo de internet utilizado para obter o estado de revogação de um certificado digital X.509 em tempo real, fornecendo uma alternativa à transferência e análise de Listas de Revogação de Certificados.

Crítico para sistemas NAC que precisam de bloquear imediatamente o acesso à rede quando um dispositivo é comprometido ou reportado como roubado. O OCSP fornece o estado em tempo real; as transferências de CRL criam uma janela de revogação.

CoA (Change of Authorization)

Uma extensão RADIUS (RFC 5176) que permite ao NAC modificar ou terminar dinamicamente uma sessão de rede ativa sem ter de esperar que a sessão expire ou que o dispositivo se autentique novamente.

Utilizado para desligar imediatamente um dispositivo quando o seu certificado é revogado ou o seu estado de conformidade MDM se altera. Essencial para a aplicação de zero-trust em tempo real.

Exemplos Práticos

Um resort de luxo com 500 quartos precisa de proteger a sua rede de operações internas. O pessoal utiliza tablets partilhados para a gestão do serviço de quartos e a gerência utiliza computadores portáteis corporativos. A rede WPA2-PSK atual teve a chave pré-partilhada exposta várias vezes, resultando em dois incidentes de segurança no último ano. Como deve a equipa de TI transitar para a autenticação baseada em certificados sem interromper as operações?

Fase 1 - Preparação (Semanas 1 e 2): Implementar uma solução de RADIUS/NAC baseada na cloud e integrá-la com o MDM existente. Configurar um perfil SCEP no MDM para enviar certificados baseados no dispositivo para todos os tablets e computadores portáteis. Utilizar certificados baseados no dispositivo (associados ao número de série do dispositivo) em vez de certificados baseados no utilizador, para que os tablets partilhados se autentiquem automaticamente, independentemente do funcionário que os esteja a utilizar. Fase 2 - Implementação Paralela (Semanas 3 e 4): Transmitir um novo SSID oculto configurado para 802.1X EAP-TLS. Enviar o novo perfil de WiFi via MDM para todos os dispositivos inscritos. Monitorizar o painel do NAC para verificar as autenticações bem-sucedidas. Fase 3 - Transição (Semana 5): Assim que mais de 95% dos dispositivos estiverem ligados ao novo SSID, desativar a rede WPA2-PSK antiga. Revogar a PSK antiga de toda a documentação e pontos de acesso.

Comentário do Examinador: A abordagem de certificação baseada no dispositivo é a escolha correta para ambientes de dispositivos partilhados. Os certificados baseados no utilizador exigiriam que cada funcionário tivesse o seu próprio certificado, criando uma sobrecarga de gestão que anularia o benefício da automatização. A estratégia de implementação paralela é crítica - uma transição imediata bloquearia qualquer dispositivo que falhasse a inscrição no SCEP, causando interrupções operacionais. O SSID oculto para a nova rede impede que os clientes tentem ligar-se à rede corporativa durante o período de transição.

Uma cadeia de retalho nacional está a implementar 3.000 novos terminais de Ponto de Venda em 150 lojas. A equipa de segurança exige uma segmentação de rede rigorosa em conformidade com o PCI-DSS e um acesso zero-trust. O prazo de implementação é de 8 semanas. Como é que o SCEP e o NAC facilitam isto em escala sem exigir pessoal de TI em cada loja?

Pré-implementação: O fornecedor do POS pré-inscreve todos os 3.000 dispositivos no MDM do retalhista utilizando o programa de inscrição zero-touch do fornecedor. O MDM é configurado com um perfil SCEP que será ativado automaticamente no primeiro arranque. Implementação: Quando um terminal POS é ligado na loja, liga-se a um SSID de ativação temporário (apenas internet, sem acesso corporativo). O perfil MDM é enviado, o payload do SCEP é ativado e o dispositivo solicita e recebe o seu certificado X.509 da CA. O MDM envia então o perfil de WiFi corporativo. Acesso à Rede: Quando o POS se liga à porta do comutador (switch) da loja, o switch inicia o 802.1X. O NAC valida o certificado, consulta o MDM para confirmar que o POS está em conformidade (encriptação ativada, agente MDM ativo, sem deteção de jailbreak) e atribui dinamicamente a porta do switch à VLAN do PCI-DSS. O POS está agora operacional. Não foi necessária a presença de pessoal de TI na loja.

Comentário do Examinador: Este cenário demonstra o poder de combinar a inscrição zero-touch de MDM com a automatização SCEP. O SSID temporário de integração é um elemento de design crítico - fornece acesso à internet para o processo de inscrição de MDM sem expor a rede corporativa. A atribuição dinâmica de VLAN garante que, mesmo que um dispositivo não autorizado obtivesse de alguma forma um endereço MAC válido, falharia na verificação do certificado EAP-TLS e veria o seu acesso negado à VLAN PCI. Esta arquitetura cumpre simultaneamente os Requisitos 1 (segmentação de rede) e 8 (identificação única de dispositivos) do PCI DSS.

Perguntas de Prática

Q1. A sua organização está a migrar de WPA2-Enterprise usando PEAP-MSCHAPv2 para EAP-TLS. Durante o piloto, os portáteis Windows e os iPhones ligam-se com sucesso, mas 200 scanners de códigos de barras do armazém falham a autenticação. Os scanners suportam 802.1X mas não conseguem processar o payload SCEP do MDM — correm um SO embutido proprietário sem suporte para agente MDM. Qual é a solução arquitetural mais segura que mantém a segmentação de rede sem exigir a substituição dos scanners?

Dica: Considere mecanismos alternativos de entrega de certificados que não exijam um agente MDM, e quais os controlos de segmentação de rede que se devem aplicar a dispositivos que não podem participar numa avaliação de postura completa.

Ver resposta modelo

Como os scanners suportam 802.1X mas não SCEP ou registo no MDM, a abordagem mais segura é provisionar manualmente os certificados dos dispositivos utilizando um modelo de certificado dedicado com um perfil de utilização de chave restrito. Os certificados são instalados uma única vez durante uma janela de manutenção. O NAC é configurado para aceitar estes certificados, mas atribui os scanners a uma VLAN dedicada para operações de armazém com ACLs rigorosas — não a VLAN corporativa completa — porque a avaliação de postura não é possível. Alternativamente, se o provisionamento manual de certificados for operacionalmente inviável de escalar, configure o MAB como fallback especificamente para os OUIs de MAC do hardware do scanner, com o NAC a atribuí-los à mesma VLAN restrita. Documente isto como uma exceção conhecida no seu registo de riscos e agende a substituição dos scanners no próximo ciclo de renovação de hardware.

Q2. Um gestor de segurança de rede nota que quando um colaborador reporta um portátil como roubado, o MDM envia um comando de eliminação remota, mas o dispositivo permanece ligado ao WiFi corporativo por até 12 horas — o tempo limite de sessão RADIUS atual. Durante esta janela, o dispositivo poderia ser utilizado para exfiltrar dados. Como deve a arquitetura ser modificada para terminar o acesso à rede imediatamente após um dispositivo ser reportado como roubado?

Dica: O NAC precisa de ser informado da alteração de estado instantaneamente, em vez de esperar pelo próximo ciclo de autenticação. Considere tanto o mecanismo de terminação de sessão como o mecanismo de prevenção de nova autenticação.

Ver resposta modelo

Implemente dois controlos complementares. Primeiro, configure o MDM para enviar um webhook para o NAC imediatamente após um dispositivo ser marcado como perdido ou roubado. O NAC envia então uma mensagem RADIUS Change of Authorization (CoA) Disconnect-Request para o ponto de acesso específico ou porta do switch, terminando a sessão ativa imediatamente. Segundo, revogue o certificado do dispositivo na CA e garanta que o NAC está configurado para verificação OCSP em tempo real, em vez de revogação baseada em CRL. Isto significa que, mesmo que o dispositivo se volte a ligar antes de o CoA ser processado, a autenticação EAP-TLS irá falhar na verificação OCSP. Ambos os controlos em conjunto reduzem a janela de exposição de 12 horas para menos de 60 segundos.

Q3. Durante uma auditoria de segurança à rede de um grande centro de congressos, descobre-se que o servidor SCEP está exposto à internet pública utilizando uma palavra-passe de desafio estática para permitir o registo remoto de dispositivos. O auditor assinala isto como uma vulnerabilidade crítica. Como deve o processo de registo SCEP ser reestruturado para manter a capacidade de registo remoto enquanto elimina o risco da palavra-passe estática?

Dica: O servidor SCEP necessita de uma forma de verificar se o dispositivo que solicita um certificado é realmente autorizado pelo MDM, sem depender de um segredo partilhado que possa ser extraído de um dispositivo ou intercetado.

Ver resposta modelo

Substitua a palavra-passe de desafio estática por palavras-passe de desafio dinâmicas e de utilização única por dispositivo, geradas pelo MDM. O fluxo de trabalho torna-se: (1) O MDM gera uma palavra-passe de desafio única e com limite de tempo para cada dispositivo durante a inscrição. (2) O MDM inclui este desafio no payload SCEP enviado para o dispositivo. (3) O dispositivo inclui o desafio no seu CSR. (4) O servidor SCEP valida o desafio junto do MDM via API antes de encaminhar o CSR para a CA. (5) O desafio é invalidado imediatamente após a utilização. Isto garante que apenas dispositivos geridos pelo MDM podem obter um certificado com sucesso e que, mesmo que o URL do SCEP seja descoberto, um atacante não consegue gerar certificados válidos sem um desafio de utilização única válido. Adicionalmente, restrinja o servidor SCEP apenas a HTTPS e implemente a criação de listas de permissões de IP para os IPs de saída do MDM, sempre que possível.