用于网络访问控制的设备态势评估

用于网络访问控制的设备态势评估。Purple技术简报。 欢迎。我是今天简报的主持人，如果您正在收听，您可能是一名IT安全架构师、网络工程师或首席技术官，被要求加强整个组织的网络访问控制。您可能管理着酒店物业、零售连锁店、会议中心或公共部门设施——您已经达到了这样一个阶段：仅仅检查谁在连接到您的网络已经不够了。您需要知道连接的是什么，以及该设备是否处于可信任的状态。 这正是我们今天要讨论的内容。用于网络访问控制的设备态势评估——它是什么，它在技术层面如何工作，如何将其与您现有的RADIUS基础设施和MDM平台集成，以及关键是，如何处理未通过检查的设备。让我们开始吧。 第一部分。背景以及为什么态势评估现在很重要。 在过去十年中，大多数企业WiFi部署都依赖于基于身份的访问控制。您通过802.1X、Captive Portal或预共享密钥对用户进行身份验证——如果凭据通过检查，就授予访问权限。问题在于，仅凭身份验证并不能告诉您设备本身的安全状态。一个有效的用户名和密码可以在一台运行着三年未打补丁、没有防病毒软件的操作系统的笔记本电脑上输入，连接到您的企业VLAN。该设备一接触到您的网络就成了一个负担。 向零信任架构的转变从根本上改变了这里的计算方式。零信任基于“永不信任，始终验证”的原则运作——而这种验证必须超越身份，涵盖设备健康。这就是设备态势评估发挥作用的地方。态势评估在身份验证时询问端点，检查一组定义的健康标准，并将该结果反馈到访问控制决策中。结果就是基于态势的网络访问——一种模式，在这种模式下，您在网络上可以做什么不仅取决于您的身份，还取决于您所用设备的安全状态。 从合规的角度来看，这至关重要。PCI DSS 4.0版明确要求组织控制哪些设备可以访问持卡人数据环境。GDPR的问责原则要求组织实施适当的技术措施来保护个人数据——而允许未打补丁、未管理的设备进入承载个人数据的网络，在审计中越来越难以辩护。对于医疗保健环境，同样的逻辑也适用于NHS网络安全基本要求，在美国语境下则适用于HIPAA。 第二部分。技术深入探讨——态势评估实际上如何工作。 让我带您了解一下机制。从本质上讲，设备态势评估是在身份验证握手期间或之后立即运行的过程，在授予完全网络访问权限之前。您将遇到三种主要的架构模型。 第一种是基于代理的态势评估。一个轻量级软件代理——安装在端点上，通常作为MDM或端点检测和响应平台的一部分——收集健康遥测数据并将其呈现给NAC策略引擎。这是最全面的方法。代理可以检查操作系统版本、累积补丁级别、防病毒签名的时效性、防火墙状态、磁盘加密状态、是否正在运行特定的禁止应用程序，以及设备是否已在MDM中注册。代理通过RADIUS CoA（授权变更）等协议或通过供应商特定的API集成将这些数据传递给RADIUS服务器或专用策略引擎。 第二种模型是无代理态势评估。在这里，NAC系统试图在没有本地代理的情况下推断设备健康状况，通常是通过直接查询MDM平台。当设备连接并验证身份时，策略引擎通过API调用Microsoft Intune、Jamf或VMware Workspace ONE，检索设备的合规记录，并将其用作态势信号。这对于已在MDM中注册的托管企业设备非常有效。局限性很明显——未管理或BYOD设备不会有MDM记录，因此您需要为这些设备制定备用策略。 第三种模型是基于网络的评估。NAC系统使用SNMP查询、通过网络进行WMI调用或流量模式被动指纹识别等技术扫描连接的设备。这是最不可靠的方法，通常仅用作补充检查或用于无法部署代理的遗留环境。 现在，让我们专门谈谈与RADIUS和802.1X的集成，因为这是架构变得有趣的地方。 在标准的802.1X部署中，请求者——也就是设备——向认证器（您的无线接入点或交换机）提供凭据，认证器将身份验证请求转发到RADIUS服务器。RADIUS服务器验证凭据并返回Access-Accept或Access-Reject。在态势感知部署中，您需要扩展此流程。在初始身份验证成功后，RADIUS服务器——或并置的策略引擎，如Cisco ISE、Aruba ClearPass或Forescout——触发态势评估。设备最初被放置在受限VLAN中——有时称为态势VLAN或隔离VLAN——同时运行评估。如果设备通过所有态势检查，则会向接入点发送RADIUS授权变更消息，将设备移动到适当的生产VLAN。如果失败，它将留在受限VLAN中，并被引导到修复门户。 这里的EAP方法很重要。EAP-TLS使用相互证书身份验证，是企业设备访问的黄金标准，因为它允许RADIUS服务器不仅验证用户，还验证设备证书——确认它是一个已知的、受管理的端点。EAP-PEAP或EAP-TTLS配合MSCHAPv2在基于用户凭据的身份验证中很常见，但单独提供的设备级保证较少。为了使态势评估真正稳健，您需要将EAP-TLS与MDM合规性检查相结合——这种组合为您提供了加密的设备身份和实时健康信号。 态势检查通常评估哪些具体属性？大多数企业部署的核心清单包括：操作系统版本和内部版本号——设备是否运行受支持的操作系统版本？补丁级别——关键和高严重性补丁是否在定义的窗口内（通常为30天）应用？防病毒或端点检测和响应状态——是否安装了公认的安全产品，正在运行并使用最新的签名？基于主机的防火墙——是否已启用？磁盘加密——BitLocker或FileVault是否激活？MDM注册——设备是否在您的管理平台中注册？并且越来越多的组织正在添加对禁止软件的检查——是否存在已知的易受攻击的应用程序？——以及证书有效性。 第三部分。实施建议和常见陷阱。 让我为您提供在酒店业、零售业和公共部门环境中部署这些系统的实际指导。 首先，在强制执行之前先确保可见性。在将态势检查置于阻止模式之前，至少在仅监控模式下运行四周。这为您提供了实际设备资产的基线——有多少百分比的设备不合规，哪些态势属性最常失败，以及您的策略阈值是否校准正确。在没有这个基线的情况下直接强制执行是最常见的错误，这会导致在第一天就出现一波服务台工单和沮丧的用户。 其次，在配置态势策略之前设计您的VLAN分段。您至少需要三个网段：用于合规受管理设备的全访问企业VLAN，一个具有互联网访问权限且仅可访问补丁管理和MDM基础设施的修复VLAN，以及用于未管理个人设备的访客VLAN。一些组织增加了第四个——用于未通过态势检查但在修复期间需要有限访问特定资源的受管理设备的受限企业VLAN。在编写任何策略规则之前，将这些VLAN映射到您的态势结果。 第三，明确处理BYOD和访客设备问题。特别是在酒店环境中——这同样适用于酒店、会议中心和零售员工休息区——您将有大量永远不会进行MDM注册的个人设备。您的态势策略必须为这些设备定义一条路径。典型的方法是自动将未注册的设备路由到访客VLAN，并施以适当的带宽控制和内容过滤，而不是将其完全阻止。在酒店或会议环境中阻止个人设备会立即产生运营问题，您的前台团队会比安全团队更早感受到。 第四，设置现实的修复超时时间。当设备未通过态势检查并被置于修复VLAN时，您需要定义在被移入隔离区或被阻止之前，它有多长时间可以自我修复。对于与补丁相关的故障，对于受管理的企业设备，24到48小时是一个合理的窗口——足够长，设备可以拉取更新；足够短，以保持压力。对于防病毒软件故障，窗口应该更短——四到八个小时——因为一个没有活动端点保护的设备是一个更直接的风险。 第五，彻底测试您的授权变更流程。CoA是在设备通过态势检查后将其从修复VLAN移动到生产VLAN的机制。它也是在定期重新检查失败时将设备移回隔离区的机制。CoA失败——RADIUS服务器发送了CoA消息但接入点未对其执行操作——是用户投诉的常见来源。在生产部署之前在实验室中端到端地测试这一点，并在部署后监控RADIUS日志中的CoA成功率。 现在，谈谈大型场所环境特有的陷阱。在拥有数千个并发连接的体育场或会议中心，态势评估会增加身份验证流程的延迟。需要代理收集遥测数据并报告的基于代理的检查可能会使连接时间增加两到五秒。大规模情况下，这很明显。通过预先缓存态势结果来优化——大多数策略引擎允许您将设备的态势结果缓存一段定义的时间，通常为一到四小时，这样重新身份验证就不会每次都触发全面的重新评估。这是高密度环境的关键性能优化。 第四部分。快速问答。 问：我可以不对每个设备部署代理而进行态势评估吗？答：可以，通过MDM API集成对已注册设备进行，对其他设备进行基于网络的指纹识别，但覆盖范围和准确性将低于使用代理。对于混合环境，采用混合方法——企业设备使用代理，已注册BYOD使用MDM API，网络指纹识别作为后备——是务实的答案。 问：态势评估可以与WPA3一起使用吗？答：可以。WPA3 Enterprise使用与WPA2 Enterprise相同的802.1X身份验证框架，因此态势评估以相同的方式集成。WPA3更强大的PMF（受保护的管理帧）和SAE身份验证实际上通过强化态势所依托的身份验证层来补充态势检查。 问：态势评估和NAC有什么区别？答：NAC——网络访问控制——是控制哪些设备可以访问哪些网络资源的更广泛框架。态势评估是NAC决策的一个输入，特别是设备健康信号。您可以在没有态势评估的情况下拥有NAC——例如，仅基于身份的访问控制——但是如果没有一个NAC框架来执行结果，您就不能拥有基于态势的访问控制。 问：这如何与像Purple这样的平台集成？答：Purple的平台管理WiFi层的设备身份和访问策略。态势评估是下一层控制——它通过设备健康数据丰富了访问决策。对于注重安全的运营商，将来自MDM的态势信号集成到Purple的策略引擎中，使您能够基于身份和设备合规状态实施差异化的访问。 第五部分。总结和后续步骤。 总结今天简报的关键点。 设备态势评估是在身份验证时评估端点健康状况——操作系统版本、补丁级别、防病毒状态、MDM注册——并使用该健康信号来确定网络访问权限的做法。 该架构结合了802.1X身份验证、RADIUS策略引擎、MDM API集成和VLAN分段，创建了一个基于态势的访问控制系统。 三种态势结果——完全访问、修复VLAN和隔离——必须在启用强制执行之前进行设计和测试。 从监控模式开始，建立基线，然后转向强制执行。如果您想要顺利推出，这不是可选的。 对于场所运营商，BYOD和访客设备群体需要明确的策略处理——路由到访客VLAN而不是阻止是操作上合理的默认设置。 您的立即后续步骤：审计当前的VLAN架构，并确认您拥有基于态势的路由所需的网段。评估MDM平台的API功能以进行态势数据导出。审查RADIUS服务器或NAC平台的态势策略功能。如果您从头开始，请考虑分阶段方法——首先部署802.1X，在监控模式下添加态势检查，然后在90天的窗口内转向强制执行。 感谢您的收听。有关802.1X身份验证架构和零信任WiFi部署的更多信息，请访问Purple指南库。如果您正在评估场所网络的基于态势的访问控制，Purple团队可以带您进行部署评估。下次再见。