跳至主要内容

保障混合办公安全:将 NAC 与 ZTNA 结合以实现无缝访问

本权威技术指南涵盖了网络准入控制 (NAC) 与零信任网络访问 (ZTNA) 的架构融合,旨在保障企业、零售、酒店和公共部门场所的混合办公环境安全。它为 IT 架构师和 CTO 提供了分阶段部署蓝图、真实案例研究以及合规性指导,帮助他们消除由孤立的本地和云访问域所造成的安全漏洞。

📖 6 分钟阅读📝 1,285 🔧 2 应用实例3 练习题📚 9 关键定义

收听本指南

查看播客转录
欢迎来到 Purple 企业架构简报。我是您的主持人,今天我们将深入探讨 IT 领导者面临的一个关键挑战:保护混合员工队伍的安全。具体来说,我们将探讨网络准入控制(即 NAC)与零信任网络访问(即 ZTNA)的架构融合。如果您正在管理跨企业场馆、零售空间或公共部门环境的复杂网络,那么这正适合您。 让我们先来看一下背景。传统的边界已经消亡。我们都清楚这一点。依靠强大的 NAC 来保护公司总部,同时依赖传统的 VPN 进行远程访问,这种方式已经行不通了。它会给用户带来摩擦,并给 IT 带来盲区。现代企业需要统一的安全姿态,将本地基础设施与云原生应用无缝连接。这就是结合使用 NAC 和 ZTNA 的关键所在。 从历史上看,这些是孤立的领域。NAC 使用 802.1X 等标准,非常擅长控制大楼内部的物理和无线访问。它检查设备姿态并分配 VLAN。另一方面,ZTNA 是为云时代构建的 - 根据身份和上下文而非网络位置来保护远程访问。问题在于,当混合员工在这些领域之间移动时。他们在家中通过 ZTNA 进行无缝身份验证,但一走进办公室就会遇到脱节的安全策略。这令人沮丧、效率低下,而且坦率地说,它创造了攻击者可以利用的安全漏洞。 接下来,让我们谈谈技术架构。解决方案是统一的身份和上下文代理层。我们需要在 NAC 和 ZTNA 策略引擎之间同步遥测数据。您可以将其视为跟随用户的持续姿态评估,无论用户身在何处。 以下是它在实践中的工作原理。当设备连接到企业网络时,NAC 会执行全面的姿态检查 - 操作系统版本、防病毒状态、证书验证。它通过 API 集成立即与 ZTNA 代理共享此上下文。如果设备的姿态下降(例如,检测到恶意软件),NAC 会在本地网络上将其隔离,并同时指示 ZTNA 代理撤销对关键云应用的访问权限。当用户从办公室移动到远程位置时,ZTNA 客户端会维护该已建立的信任上下文。无需重新进行身份验证。体验是无缝的,而安全是持续的。 现在,让我们深入探讨支撑这一点的标准。IEEE 802.1X 是本地身份验证的黄金标准。它在端口级别提供设备身份的加密验证。RADIUS 作为后端协议,在 NAC 解决方案和您的身份提供商之间进行通信。在 ZTNA 方面,您可以使用 Azure Active Directory 或 Okta 等身份提供商,以及来自领先供应商的 ZTNA 代理。关键是确保这些系统能够进行双向通信。 对于场馆运营方 - 酒店、会议中心、体育场 - 来说,还存在另一层复杂性。您需要在同一个物理基础设施上管理企业员工、承包商、访客以及不断增加的 IoT 设备。NAC 负责处理这种网络隔离。企业员工获得 802.1X 认证并可访问内部资源。访客则被隔离在专用网络上,理想情况下是通过类似 Purple 的 Guest WiFi 平台进行管理,该平台在提供强大隔离的同时还能收集宝贵的分析数据。对于无法支持 802.1X 的 IoT 设备(例如数字标牌、环境传感器、POS 终端),则通过 MAC 地址认证绕过(MAB)进行处理,并进行严格的 VLAN 隔离以防止任何潜在的泄露。 让我为您介绍一个实际的部署场景。假设有一家拥有 500 家门店的全球零售连锁企业。区域经理经常在门店、总部和家庭办公室之间往返。他们遇到了 VPN 连接中断以及库存管理应用程序访问不稳定的问题。解决方案是融合 NAC 和 ZTNA 架构。当经理在店内时,NAC 通过 802.1X 对设备进行身份验证,并与 ZTNA 代理共享受信任的内部上下文。然后,代理授予对云端托管库存应用程序的直接、优化访问 - 无需 VPN 隧道。当经理在家工作时,ZTNA 客户端会建立通往该应用程序的安全微型隧道,从而保持相同的访问策略。结果如何?一致的访问体验、减少了服务台求助电话,并显著改善了安全态势。 现在,开始实施。我建议采用分三个阶段的方法。第一阶段是可见性。首先在监控模式下部署 NAC。发现并分析网络上的所有设备 - 笔记本电脑、BYOD 设备、IoT、访客设备。先不要执行任何策略。同时,将您的身份提供商与 NAC 和 ZTNA 进行集成,以合并用户身份。使用您的 ZTNA 解决方案来绘制应用程序访问模式。这可以为您提供编写合理策略所需的数据。 第二阶段是策略定义。为企业设备定义基线态势要求。根据用户角色和应用程序敏感性实施 ZTNA 微隔离。至关重要的是,在您的 NAC 和 ZTNA 平台之间建立 API 集成,以实现双向上下文共享。在进入强制执行阶段之前,彻底测试此集成。 第三阶段是强制执行。逐步启用 NAC 强制执行,从试点小组开始。监控身份验证失败并调整策略。向所有企业终端部署 ZTNA 客户端。并使用托管平台将零信任原则扩展到您的访客网络。 让我快速为您解答一些最常见的陷阱。首先,上下文同步延迟。如果 NAC 与 ZTNA 之间的 API 集成出现延迟,受损设备访问云端应用程序的时间可能会超出可接受的范围。解决方案是使用基于 webhook 的推送通知,而不是依赖轮询机制。这可以确保近乎实时的策略更新。 其次,过度严格的策略导致求助台请求量激增。在没有充分的用户沟通的情况下实施严格的姿态检查是造成混乱的根源。请利用 Captive Portal 告知用户不合规情况,并在完全阻止访问之前提供自我服务修复。 第三,IoT 设备身份验证失败。无源 IoT 设备根本无法支持 802.1X 或 ZTNA 客户端。解决方案是采用 MAC 身份验证绕过,并结合严格的设备分析和严格的 VLAN 隔离。 第四,这也是一个大问题 - 未能监控 API 集成本身的状态。如果 NAC 和 ZTNA 之间的同步中断,就会出现安全漏洞。请对集成状态实施监控和告警,并定义在同步丢失超过定义阈值时触发的安全防范策略。 那么,投资回报率如何?这种架构的业务案例非常引人注目。统一策略管理可减轻 IT 团队的行政负担。淘汰传统的 VPN 可显著改善混合工作体验,减少停机时间和挫败感。此外,证明持续姿态评估和基于身份的访问控制的能力简化了 PCI-DSS 和 GDPR 等框架的合规性报告 - 这在零售和医疗保健环境中尤为重要。 总结一下今天简报的关键要点。身份是新的边界,而上下文是关键。在有线网络上使用 NAC,在应用层使用 ZTNA。绝不信任,始终验证 - 且持续进行。分阶段实施:先可见性,然后是策略,最后是执行。不要忘记访客 WiFi 网络和 IoT 资产 - 它们需要成为您安全架构的一部分,而不是事后才考虑的事情。 如果您想深入了解 AI 驱动的网络安全未来,请参阅 Purple 关于 AI 驱动的 NAC 和威胁检测的指南。对于那些管理分布式站点的人来说,我们的 SD-WAN 对比 MPLS 指南非常值得您花时间阅读。 今天的简报就到这里。感谢您的收听,我们下期再见。

header_image.png

执行摘要

对于管理分布式环境的企业网络架构师和 CTO 而言,网络边界已不复存在。传统的通过强大的网络接入控制 (NAC) 保护企业总部、同时依靠传统 VPN 进行远程访问的模型已不再可行。现代企业需要一个统一的安全态势,将本地基础设施与云原生应用无缝连接。本指南详细介绍了 NAC 和零信任网络访问 (ZTNA) 的架构融合,为在不影响用户体验或网络吞吐量的情况下保障混合工作环境的安全提供了蓝图。

通过将 NAC 的设备级姿态执行与 ZTNA 的以身份为中心的服务微隔离相结合,企业无论用户身在何处,都可以实现持续的信任验证。这种融合在客流量大且合规要求复杂的行业中尤为关键,例如 零售医疗保健酒店业 。此外,利用 Purple 的 Guest WiFi 基础设施等平台,可以将这些零信任原则扩展到访客网络,从而确保符合 GDPR 和 PCI-DSS 规定的强隔离和数据保护。

技术深挖:融合架构

隔离安全域的局限性

从历史上看,NAC 和 ZTNA 一直作为隔离的安全域运行。NAC 利用 IEEE 802.1X 和 RADIUS,擅长控制企业边界内的物理和无线接入。它提供强大的设备分析、姿态评估和 VLAN 分配。相比之下,ZTNA 的出现是为了保护对云和本地应用的远程访问,其运行原则是“从不信任,始终验证”,基于用户身份和上下文,而非网络位置。

当混合员工在这些域之间移动时,就会产生摩擦。用户每天在家中通过 ZTNA 进行无缝身份验证,但在进入公司办公室时往往面临脱节的体验,因为本地的 NAC 策略可能与其 ZTNA 上下文不一致。这种碎片化引入了安全盲区和运营开销,直接影响了 IT 效率和最终用户生产力。

统一身份与上下文代理

架构解决方案在于建立一个统一的身份和上下文代理层,同步 NAC 和 ZTNA 策略引擎之间的遥测数据。这种集成实现了跨网络边界持续存在的持续姿态评估。

nac_ztna_architecture_overview.png

此集成通过三个关键机制运行。首先,持续态势评估:当设备连接到企业网络时,NAC 解决方案会进行全面的态势检查,包括操作系统版本、防病毒状态和证书验证。此上下文会立即通过 API 集成与 ZTNA 代理共享。其次,动态策略执行:如果设备的安防态势恶化(例如,检测到恶意软件),NAC 系统会在本地网络上隔离该设备,同时指示 ZTNA 代理撤销对关键云应用程序的访问权限。第三,无缝过渡:当用户从办公室移动到远程位置时,ZTNA 客户端会保持已建立的信任上下文,从而无需重新进行身份验证,并确保对授权资源的无间断访问。

有关支持这些部署的底层无线技术的更深入了解,请参阅我们的指南: WiFi 频段:2026 年 WiFi 频段指南

hybrid_work_security_comparison.png

实施指南:分阶段部署

部署融合的 NAC/ZTNA 架构需要分阶段进行,以尽量减少中断并确保强大的策略执行。

第一阶段:身份与资产发现

在实施执行策略之前,您必须实现网络环境的完全可视性。在仅监控模式下部署您的 NAC 解决方案 - 将其配置为发现并分析所有连接的设备,包括企业笔记本电脑、BYOD、IoT 和访客设备,而不阻止访问。通过将 NAC 和 ZTNA 解决方案与中央身份提供商(例如 Azure AD 或 Okta)集成来整合用户身份。这可以确保两个域中的身份验证策略保持一致。同时,使用您的 ZTNA 解决方案监控应用程序访问模式,识别哪些用户需要访问特定的应用程序,并奠定微隔离策略的基础。

第二阶段:策略定义与微隔离

通过基于最小特权原则定义细粒度的访问策略,实现从可见性到控制的转变。为企业设备建立基线安全要求,包括最低系统版本和活跃的 EDR 代理要求,并配置 NAC 解决方案以在本地访问中强制执行这些要求。定义 ZTNA 策略,根据用户角色和设备上下文限制应用程序访问,确保与 NAC 解决方案中定义的合规要求保持一致。至关重要的一点是,配置 NAC 与 ZTNA 平台之间的 API 集成,以实现双向上下文共享,确保 NAC 检测到的设备合规性变化能够立即触发 ZTNA 代理中的实时策略更新。

第三阶段:执行与优化

逐步启用强制执行模式,监控异常情况并根据需要微调策略。将 NAC 解决方案从监控模式过渡到强制执行模式,首先从试点用户群或地点开始,并监控身份验证失败情况。将 ZTNA 客户端推送到所有企业终端,确保无缝访问云端和本地应用程序。利用 Purple 的 Guest WiFi 等平台扩展强大的访客访问策略,确保访客流量与企业资源严格隔离。利用 WiFi Analytics 监控使用模式并检测整个访客资产中的潜在异常。

企业环境的最佳实践

在整个部署过程中优先考虑用户体验。安全不应阻碍生产力,本地访问和远程访问之间的过渡必须对用户透明,利用单点登录和持续身份验证机制。对于本地访问,强制所有企业设备使用 IEEE 802.1X 身份验证,因为这可以在端口级别提供对设备身份的强加密验证。

将 AI 驱动的威胁检测功能集成到您的 NAC 和 ZTNA 解决方案中,以识别异常行为并自动隔离受损设备。有关此功能的前瞻性视角,请参阅 The Future of Wi-Fi Security: AI-Driven NAC and Threat Detection 及其西班牙语版本 El Futuro de la Seguridad Wi-Fi: NAC Impulsado por IA y Detección de Amenazas 。对于分布式企业,将 ZTNA 与 SD-WAN 集成可以优化应用程序路由并提高跨多个站点的性能 - 请参阅我们的对比分析: SD WAN vs MPLS: The 2026 Enterprise Network Guide

故障排除与风险缓解

上下文同步延迟代表了最关键的失效模式。如果 NAC 与 ZTNA 之间的 API 集成出现延迟,受感染的设备可能会保持对云应用程序的访问,其时间将超出可接受的范围。缓解措施是实施基于 Webhook 的推送通知,而不是完全依赖轮询机制,以确保近乎实时的策略更新。

过于严格的策略可能会在实施严格的态势检查而没有充分的用户沟通时,导致服务台工单量急剧飙升。使用 Captive Portal 通知用户不合规情况,并在完全阻止访问之前提供自助式修复指南。

IoT 设备身份验证失败在场馆环境中是不可避免的。无界面的 IoT 设备无法支持 802.1X 或 ZTNA 客户端。解决方案是采用 MAC 认证旁路 (MAB),并结合严格的设备分析和严苛的 VLAN 细分,将 IoT 流量与企业资源隔离。

API 集成健康状况监控经常被忽视。如果 NAC 和 ZTNA 之间的同步中断,就会出现两个系统都无法独立解决的安全漏洞。为集成健康状况实施专用的监控和告警,并定义故障安全策略,在同步丢失超过规定阈值时触发自动访问限制。

投资回报率 (ROI) 与业务影响

NAC 与 ZTNA 的融合带来了除风险缓解之外的可衡量的业务价值。统一的策略管理减轻了 IT 团队的行政负担,使他们能够专注于战略计划,而不是管理碎片化的安全孤岛。消除传统的 VPN 显著改善了混合工作体验,减少了停机时间和挫败感,同时提高了远程用户的应用程序性能。

展示持续态势评估和基于身份的访问控制的能力简化了 PCI-DSS 和 GDPR 等框架的合规性报告,这在持卡人数据和个人数据保护义务非常严格的 交通运输 和零售环境中尤为重要。部署了融合架构的企业一致报告称,遏制安全事件的平均时间 (MTTC) 有所减少,因为双向策略强制执行支持自动隔离,无需人工干预。

关键定义

网络准入控制 (NAC)

一种对试图访问网络基础设施的设备实施策略的安全解决方案,通常利用 IEEE 802.1X 进行身份验证和状态评估,以确定 VLAN 分配和访问权限。

对于保障本地环境的安全至关重要,可确保只有合规且经授权的设备才能连接到企业交换机和无线接入点。IT 团队在管理物理办公室和场馆网络时会遇到这一概念。

零信任网络访问 (ZTNA)

一种 IT 安全解决方案,根据定义的访问控制策略提供对应用程序和服务的安全远程访问,基于最小特权原则和持续身份验证,而非网络位置。

通过提供基于身份的微细分来取代传统 VPN,仅授予对特定应用程序而不是整个网络的访问权限。在保障远程员工和云应用程序访问安全时非常有用。

微细分

将网络划分为隔离段以减少攻击面并防止威胁参与者横向移动的做法,应用于应用程序或工作负载级别,而非网络边界。

ZTNA 在应用程序级别应用此概念,确保受感染的端点无法转向访问未经授权的资源。IT 团队在设计零信任架构时会遇到这一概念。

状态评估

在授予网络或应用程序访问权限之前评估设备安全状态(包括操作系统版本、启用的防病毒软件、安装的证书和补丁级别)的过程。

NAC 的核心功能,确保易受攻击或受感染的设备在与企业网络交互之前被隔离或修复。在设备入网和持续监控过程中非常有用。

IEEE 802.1X

用于基于端口的网络准入控制的 IEEE 标准,通过网络介质使用 EAP(可扩展身份验证协议),为希望加入局域网或无线局域网的设备提供身份验证机制。

企业网络身份验证的金标准,为设备身份提供强大的加密验证。IT 团队在配置交换机、无线控制器和 RADIUS 服务器时会遇到这一概念。

RADIUS (远程用户拨号认证服务)

一种网络协议,为连接和使用网络服务的用户提供集中的认证、授权和计费 (AAA) 管理,作为 NAC 和身份提供商之间的通信层。

NAC 解决方案用于与身份提供商通信并实施访问策略的后端协议。在将 NAC 与 Active Directory 或云 IdP 集成时非常有用。

MAC 身份验证绕过 (MAB)

NAC 解决方案对不支持 802.1X 的设备使用的一种备用身份验证方法,依靠设备的 MAC 地址作为标识符来分配网络访问策略。

在企业环境中容纳无源设备(打印机、物联网传感器、数字标牌)所必需。其安全性低于 802.1X,需要严格的 VLAN 细分以降低 MAC 欺骗风险。

身份提供商 (IdP)

一个系统实体,在联盟或分布式网络中为凭据主体创建、维护和管理身份信息,同时向依赖应用程序提供身份验证服务。

用户身份的中央唯一事实来源,与 NAC 和 ZTNA 集成,以确保一致的身份验证策略。IT 团队在企业系统中配置 SSO 和多因素认证 (MFA) 时会遇到这一概念。

VLAN (虚拟局域网)

物理网络的一个逻辑细分,将设备分组到隔离的广播域中,从而无需独立的物理基础设施即可实现流量分段。

在共享物理网络中隔离不同设备类别(企业、访客、IoT)的主要机制。这对于遵守 PCI-DSS 规定的持卡人数据环境隔离要求至关重要。

应用实例

一家拥有 500 个网点的全球零售连锁店需要为经常在门店、公司总部和远程家庭办公室之间往返的区域经理保障访问安全。他们目前频繁遇到 VPN 断开连接以及云端托管库存管理应用访问不稳定的问题。

在所有位置部署融合的 NAC/ZTNA 架构。通过 NAC 部署 802.1X,以便经理在门店或总部的物理现场时获得无缝、安全的访问,并通过与 Azure AD 集成的集中式 RADIUS 服务器进行身份验证。在所有公司笔记本电脑上部署 ZTNA 客户端。通过 API 集成 NAC 和 ZTNA 策略引擎,配置 Webhook 通知以实现即时状态更新。当经理连接到门店网络时,NAC 会对设备进行身份验证,并与 ZTNA 代理共享“受信任的内部”上下文。然后,ZTNA 代理授予对云端托管库存应用的直接、优化访问,而无需 VPN 隧道,从而降低延迟并消除断连问题。当经理在家办公时,ZTNA 客户端会建立到应用的安全微隧道,在不依赖公司网络边界的情况下保持相同的访问策略。门店内的访客和 IoT 设备则通过 Purple 的 Guest WiFi 平台管理的独立 VLAN 进行隔离。

考官评语: 这种方法通过提供无缝的、上下文感知的访问(无论身在何处),解决了与传统 VPN 相关的用户体验问题。API 集成确保了安全状态得到持续评估,从而降低了被劫持设备访问关键应用的风险。关键的架构决策是“本地边缘”路由 - 在公司网络上时,ZTNA 流量应路由到本地代理,而不是通过云代理进行折返(这会抵消延迟优势)。

一家大型会议中心需要为公司员工提供安全的 WiFi,同时隔离每天数以千计的访客连接以及第三方供应商的 IoT 设备(包括数字标牌、BLE 信标和环境传感器)。

部署一个强大的 NAC 解决方案,在三个不同的层级上配置严格的 VLAN 划分。第一层:公司员工设备通过 802.1X 进行身份验证,并被分配到可以完全访问内部管理系统的安全内部 VLAN。第二层:采用 Purple 的 Guest WiFi 平台来管理公共访问,在捕获有价值的分析数据的同时,通过仅限互联网访问的专用访客 VLAN 确保与公司网络完全隔离。第三层:对于供应商的 IoT 设备,利用 MAC 地址认证绕过 (MAB) 并结合深度设备画像 - 分析 DHCP 指纹、HTTP 用户代理和流量特征 - 以准确识别设备类型并将其分配到受限的、仅限互联网访问的 VLAN。为公司员工集成 ZTNA,以便从场馆内的任何位置或远程安全地访问内部管理应用。对于 BLE 信标基础设施,请参阅 企业蓝牙低功耗技术解析 指南以了解集成注意事项。

考官评语: 此场景突出了在单一物理环境中处理多种设备类型的必要性。三层细分模型是正确的方法 - 试图在单个策略框架内管理所有设备类型,无一例外会导致策略过于宽松或过于严格。在此处使用 Purple 的 Guest WiFi 平台处理访客层尤为适用,因为它既提供了安全所需的隔离,又提供了场馆运营所需的分析能力。

练习题

Q1. 您的组织正在部署 ZTNA 来替代传统 VPN。然而,返回公司办公室的用户在访问本地托管在本地数据中心中的应用程序时遇到了延迟,因为 ZTNA 流量正通过云托管代理进行路由。推荐的架构解决方案是什么?

提示:考虑 ZTNA 客户端如何根据用户的物理网络环境确定通往应用程序的最佳路径。

查看标准答案

在公司数据中心内实施 Local Edge 或 On-Premises ZTNA Broker。配置 ZTNA 客户端以检测设备何时通过 NAC 在内部公司网络上通过身份验证,并通过内部代理将流量直接路由到本地应用程序,而不是通过云托管代理进行折返。这在保持相同的基于身份的访问控制的同时,减少了本地应用程序的延迟。通过 API 进行的 NAC 上下文共享应向 ZTNA 代理发出信号,表明该设备位于可信的内部网络上,从而实现本地路由决策。

Q2. 一家医院的 IT 团队需要保护数百台连接的医疗设备 - 输液泵、患者监护仪、成像设备 - 这些设备无法运行 802.1X 客户端或 ZTNA 客户端。如何在融合的 NAC/ZTNA 架构中保护这些设备的安全?

提示:对于无法参与基于身份的控制的设备,请考虑备用身份验证方法和网络级隔离原则。

查看标准答案

在 NAC 解决方案上利用 MAC 验证旁路 (MAB),并结合使用 DHCP 指纹、HTTP 用户代理和流量行为分析的深度设备分析,以准确识别和分类每种医疗设备类型。识别后,NAC 会动态地将这些设备分配到高度受限、隔离的 VLAN,这些 VLAN 仅允许与特定的、必需的医疗服务器和系统进行通信 - 默认情况下阻止所有其他流量。ZTNA 不适用于这些设备;安全完全取决于严格的网络分段和针对异常行为的持续流量监控。确保医疗设备 VLAN 与持卡人数据环境完全隔离,以保持 PCI-DSS 合规性。

Q3. 在生产部署期间,您的 NAC 和 ZTNA 解决方案之间的 API 集成发生静默失败 - 未触发任何警报。随后,公司网络上用户的笔记本电脑感染了恶意软件。请描述预期的安全结果并确定导致该结果的架构缺陷。

提示:独立分析中断的上下文同步对每个策略引擎的影响,并考虑应该建立什么样的监控。

查看标准答案

NAC 解决方案将通过 EDR 集成检测到降低的安全态势,并在本地网络上隔离设备,防止企业环境内部的横向移动。然而,由于 API 集成静默失败,ZTNA 代理未收到更新的态势上下文。如果用户尝试访问云应用程序,且初始身份验证令牌依然有效且未过期,ZTNA 客户端可能仍会建立连接。这一架构缺陷包含两方面:首先,API 集成本身缺乏健康监控;其次,缺乏故障保护策略,即在上下文同步丢失超过定义阈值时无法触发自动访问限制。修复方法是对集成健康状况实施带告警的专用监控,配置 ZTNA 代理以要求定期进行态势重新验证(而不仅仅是初始身份验证),并定义一个默认拒绝策略,在 NAC 上下文提交流失效超过指定间隔时激活。