基于身份的网络：它是什么以及为什么重要

执行摘要

基于身份的网络（IBN）代表了网络访问管理方式的根本性转变，从静态的、基于端口的模式转变为动态的、以用户为中心的模式。在传统网络中，访问权限与物理端口或MAC地址绑定，从而形成了一个僵化且不安全的环境。IBN将网络访问权限与用户的已验证身份相关联。这意味着，无论用户如何连接或从哪里连接——通过Wi-Fi、以太网或VPN——他们对网络资源的访问权限取决于他们是谁，而不是他们使用的设备或他们插接的位置。

对于在酒店、零售连锁店和体育场等环境中管理庞大、多样化用户群的组织来说，这是一个改变游戏规则的创举。它默认启用零信任安全态势，即每个用户和设备都必须经过身份验证和授权才能获得访问权限。这极大地简化了网络分段，通过遏制威胁来增强安全性，并简化了对PCI DSS和GDPR等法规的合规性。

对于CTO来说，IBN通过减少管理复杂VLAN和访问控制列表（ACL）的行政开销、降低安全漏洞风险，并提供对网络使用模式的深度可见性（这可以为业务战略提供信息），从而带来显著的投资回报率。Purple的IBN实施利用了现有的基础设施，并与云身份提供商无缝集成，以提供一个可扩展、有弹性且智能的接入层，非常适合现代企业。

技术深度解析

从端口到人员：核心架构转变

传统网络是设备固定、用户固定在办公桌上的时代的遗物，它基于网络边界内隐含信任的原则运行。经过身份验证的设备是可信的，其物理连接点（交换机端口）决定了其网络访问权限。在BYOD（自带设备）、物联网和移动劳动力的现代时代，这种模式充满了挑战。

基于身份的网络（IBN），通常使用IEEE 802.1X标准实施，从根本上颠覆了这种模式。它将用户与物理端口解耦，并使身份成为新的边界。IBN架构的核心组件有：

请求者（Supplicant）：请求网络访问的客户端设备（例如，笔记本电脑、智能手机）。它运行与认证者通信的软件。现代操作系统——Windows、macOS、iOS和Android——都包含本机的802.1X请求者，因此最终用户无需安装其他软件。

认证者（Authenticator）：网络接入设备，如无线接入点（WAP）或以太网交换机。它充当网守，阻止或允许来自请求者的流量。认证者将端口保持为未授权状态，直到从认证服务器收到明确的指令。

认证服务器（AS）：通常是RADIUS（远程身份验证拨入用户服务）服务器。该服务器是操作的智能层。它从认证者接收请求者的凭据，根据身份存储库（例如，Azure Active Directory、Google Workspace、本地数据库）验证凭据，并发送回包含特定网络策略的授权决定。

当用户连接时，认证者将端口置于未授权状态，阻止除802.1X身份验证数据包之外的所有流量。请求者提供其凭据，认证者将凭据转发给认证服务器。AS检查身份，并根据预定义的策略，指示认证者该怎么做。这个指令不仅仅是简单的允许或拒绝的二元决策；它可以包括动态VLAN分配、服务质量（QoS）配置文件、会话超时和特定的防火墙规则。公司用户可能被分配到CORP_VLAN，可以访问内部服务器，而宾客被分配到GUEST_VLAN，只能访问互联网——从同一个SSID或物理端口。

Purple如何实现IBN

Purple的平台充当云原生的认证服务器和策略引擎，专为大型公共场馆的复杂性而设计。我们的方法专注于抽象化RADIUS和802.1X配置的复杂性。

云原生RADIUS：我们消除了对本地认证服务器的需求，提供了一个全球分布、高可用的服务，可按需扩展。无需安装服务器，无需修补固件，也没有单点故障。

身份提供者（IdP）集成：我们与领先的身份提供者无缝连接，包括Azure AD、Okta和Google Workspace。这允许组织使用其现有的身份单点可信源，确保当员工账户被禁用时，其网络访问权限立即被撤销。

动态策略引擎：我们直观的管理控制台允许IT经理根据用户属性（如组成员身份、角色和部门）创建精细的访问策略。一个策略可能会规定：“在上午9点到下午5点之间连接到‘Staff-WiFi’ SSID的‘Retail-Staff’组中的所有用户，都被分配到‘POS_VLAN’，带宽限制为10 Mbps。”

动态VLAN分配：这是我们IBN实施的基石。不是手动在每个交换机端口上配置VLAN，而是网络根据用户身份动态地将用户分配到正确的VLAN。这是一个巨大的运营效率提升和显著的安全增强。

实施指南

与Purple一起部署IBN是一个结构化的过程，旨在从第一天起就最大限度地减少中断并最大限度地提高安全性。

步骤1：网络基础设施审计

在部署之前，验证您的网络硬件——交换机和接入点——是否支持IEEE 802.1X。过去十年中制造的大多数企业级设备都支持。这包括思科、Meraki、Aruba和Ruckus等供应商。确保所有固件都是最新的，因为旧固件版本可能存在已知的802.1X漏洞。

步骤2：定义用户角色和访问策略

这是最关键的阶段。与人力资源、运营和管理方面的利益相关者合作，将所有网络用户划分为不同的角色。常见的例子包括公司员工（完全访问内部资源）、访客用户（通过captive portal仅访问互联网）、承包商（对特定应用程序的限时访问）和物联网设备（对专用VLAN的高度受限访问，仅与其特定管理服务器通信）。对于每个角色，明确界定所需的访问权限级别。

步骤3：将Purple配置为认证服务器

在您的网络控制器中——例如Meraki Dashboard或Aruba Central——配置一个新的RADIUS配置文件，指向Purple的认证端点，并设置共享密钥。这会在您的网络硬件和Purple云之间建立信任关系。Purple的入门文档提供了所有主要硬件供应商的分步配置指南。

步骤4：分阶段推广和测试

不要尝试一次性迁移。从一组试点用户或您场馆的特定区域开始，例如单层楼或非关键零售店。为IBN试用创建一个新的专用SSID。让试点用户上线并测试所有定义的角色。验证用户是否被分配到正确的VLAN，并且访问权限是否得到正确执行。最重要的是，测试故障模式：如果RADIUS服务器不可达会发生什么？将硬件配置为故障关闭状态。

步骤5：全面部署和旧系统淘汰

一旦试点成功，将推广范围扩大到整个组织。制定清晰的沟通计划，指导用户完成连接到新安全网络的一次性过程。一旦所有用户迁移完毕，就淘汰旧的、不安全的SSID和端口配置。

最佳实践

利用WPA3-Enterprise：在支持的地方，将WPA3-Enterprise与802.1X结合使用。它比WPA2提供了显著的安全增强，包括对管理帧（802.11w）的保护和更强的加密算法。

基于证书的身份验证：对于公司设备，超越用户名和密码凭据（EAP-PEAP），实施基于证书的身份验证（EAP-TLS）。这是802.1X安全的黄金标准，因为它可以降低网络钓鱼风险，并通过消除密码提示来简化用户体验。

集中身份：维护一个单一的、权威的用户身份可信源。这可以防止身份蔓延，并确保当员工离开组织时，其网络访问权限会从源头上立即被撤销。

定期策略审查：用户角色和访问需求会发生变化。每季度审查您的IBN策略，以确保它们仍然符合业务需求和安全原则。删减未使用的角色并收紧宽松的规则。

故障排除与风险缓解

故障模式：RADIUS服务器不可达

如果认证者无法访问Purple云，默认的硬件行为可能是故障开放（允许所有访问）或故障关闭（拒绝所有访问）。将您的硬件配置为故障关闭状态，以实现最大安全性。Purple的地理分布式基础设施使得长时间中断极不可能发生，但纵深防御至关重要。考虑为关键基础设施配置本地RADIUS回退。

故障模式：策略配置错误

编写不当的策略可能会授予过多权限或拒绝合法访问。在推送到生产环境之前，使用暂存环境或试点组测试每个策略变更。Purple的策略模拟器允许您在提交变更之前测试用户的预期访问级别。

风险：入门复杂性

用户的初始连接过程可能很复杂，尤其是在证书部署方面。提供清晰的分步指南，附带屏幕截图，并在过渡期间提供帮助台支持。考虑部署入门工具，如Purple的Network Access Manager，以自动化设备配置过程。

风险：不支持802.1X的旧设备

并非所有设备——特别是旧的物联网硬件、打印机和医疗设备——都支持802.1X。对这些设备使用MAC认证绕过（MAB），预先注册其MAC地址，并将它们分配到具有严格防火墙规则的高度受限、隔离的VLAN。

投资回报率与业务影响

IBN的商业案例建立在三个支柱上：成本降低、风险缓解和业务赋能。

成本降低：主要的节省是运营方面的。自动化VLAN和ACL管理极大地减少了网络管理所需的人工时。根据独立的网络运营基准，动态VLAN分配可以将网络配置时间减少85%以上。这使得IT人员能够专注于战略性举措，而不是日常维护。

风险缓解：数据泄露的成本是巨大的——IBM的数据泄露成本报告始终将全球平均成本置于400万美元以上。通过实施零信任模型和微隔离，IBN显著减少了攻击面。如果用户的设备遭到入侵，漏洞将被限制在其特定的、有限的网络段内。这对于零售业的PCI DSS合规性和公共部门组织的GDPR合规性至关重要。

业务赋能：IBN提供关于谁在使用网络、他们在哪里以及他们在做什么的丰富数据。这种智能对于场馆运营来说是无价的。酒店可以了解客人的移动模式，零售商可以分析不同部门的客流量，体育场可以根据实时人群密度优化人员配备。这将网络从成本中心转变为战略业务资产。