NAC 状态评估：确保受管理设备在入网前符合合规性要求

欢迎收看 Purple 技术简报系列。今天我们将深入探讨企业网络安全中一个最具运营关键性——且经常被误解的领域：NAC 状态评估，特别是如何确保只有受管理的合规设备，在它们发送哪怕一个生产流量数据包之前，就能获得对您网络的访问权限。 如果您是负责多站点园区的 IT 经理、网络架构师或 CTO——无论是酒店集团、零售连锁店、体育场馆还是公共部门机构——这都与您当前的安全状态直接相关。我们将涵盖架构、标准、实际部署模式，以及甚至会让经验丰富的团队踩坑的陷阱。让我们开始吧。 那么，究竟什么是 NAC 状态评估？网络访问控制 (NAC) 是一个总体框架，它管理哪些设备可以连接到您的网络以及连接条件。状态评估是 NAC 中的特定机制，它在设备连接之前或之后立即询问其安全状态。可以将其想象为门口的体检。设备不仅需要证明它是谁；还需要证明它处于值得信任的状态。 这里的架构有三个核心组件。首先，有策略执行点 (PEP)。这通常是您的接入点、交换机或无线控制器。它是物理控制流量是否流动的守门人。其次，有策略决策点 (PDP)。这是您的 NAC 引擎，通常与 RADIUS 或 AAA 服务器集成。它接收状态数据，根据您的策略对其进行评估，并告诉 PEP 该怎么做。第三，有状态评估引擎本身——这要么是运行在端点上的代理，要么是使用 SNMP、WMI 或 SSH 等协议远程查询设备的无代理机制。 现在，支撑这一切的身份验证层是 IEEE 802.1X。这是基于端口的网络访问控制标准，自 2001 年就已存在，但至今仍是企业 NAC 的骨干。802.1X 定义了三种角色：请求者——即尝试连接的设备；认证者——您的交换机或接入点；以及认证服务器——您的 RADIUS 服务器。请求者和认证服务器通过 EAP（可扩展身份验证协议）进行通信，并通过认证者建立隧道。EAP-TLS 使用基于证书的双向身份验证，是这里的黄金标准。如果您对受管理设备合规性是认真的，就应该部署它。 状态检查实际上关注什么？有六个主要类别。操作系统补丁级别——设备是否运行受支持的操作系统版本，关键补丁是否在定义的窗口内应用？端点安全状态——批准的 AV 或 EDR 代理是否已安装、处于活动状态且定义最新？防火墙状态——基于主机的防火墙是否已启用且其策略完好？磁盘加密——全磁盘加密是否处于活动状态且未挂起？证书有效性——设备是否持有由您的 PKI 颁发的有效、受信任的机器证书？最后，配置合规性——设备的安全配置是否与您定义的基线匹配？ 根据这些检查的结果，NAC 策略引擎分配三种状态之一。合规——设备通过所有必需的检查，并获得完整的网络访问权限，通常分配到其分配的 VLAN 或角色。条件性——设备通过关键检查，但未能通过一项或多项非关键检查；它获得受限访问，可能仅限互联网，并向用户发送通知。不合规——设备未能通过关键检查，被置于隔离 VLAN，仅可访问修复门户。该修复门户是设备可以下载补丁、更新 AV 定义或接收手动修复说明的地方。 那么，WPA3 如何适应呢？WPA3-企业版，特别是 192 位模式，增强了 802.1X 之下的加密层。它强制使用 GCMP-256 进行加密，并使用 HMAC-SHA-384 进行完整性校验，这对于处理支付卡数据或受 GDPR 约束的敏感个人数据的环境尤其相关。如果您运行的是具有 PCI DSS 范围的零售环境，或处于 NHS 数据治理要求下的医疗保健设施，则应将 WPA3-企业版列入新部署的路线图。 让我们谈谈无代理与基于代理的状态评估，因为这是一个真正的架构决策点。基于代理的评估——在端点上运行轻量级客户端——为您提供最深入的可见性。您可以查询注册表项、正在运行的进程、已安装的软件以及实时安全状态。代价是部署开销：您需要一个 MDM 或端点管理平台来在整个设备资产中推送和维护代理。无代理评估使用基于网络的探测——通过网络进行的 SNMP、WMI，或对 MDM 平台的 API 调用。它更容易部署，但提供的可见性较浅，且更容易被规避。对于受管理的企业资产，基于代理是正确的答案。对于受管理和非受管理设备混合的环境——例如会议中心或酒店后台网络——混合方法更合理。 还有一个值得一提的架构要点：持续状态评估与时间点评估。大多数传统的 NAC 实施仅在连接时检查状态。这是一个显著的缺口。一台设备在早上九点连接时合规，可能在十一点被用户禁用了 AV。现代 NAC 平台支持持续评估——在规定的时间间隔或响应事件时重新评估状态，并动态更改设备的网络访问级别，而无需重新连接。这是您应该前进的方向。 好的，让我们实际一点。当您部署 NAC 状态评估时，我看到的最常见的失败模式是直接进入执行模式。不要这样做。从监控模式开始——有时称为审计模式或可见性模式。运行状态检查，记录结果，但不要执行策略。至少运行两到四周。您几乎肯定会发现网络上存在您不知道的设备，并且您会发现相当大比例的已知设备未能通过一项或多项状态检查。在执行之前，利用这些数据来修复您的设备资产。 第二个陷阱是证书基础设施。使用 EAP-TLS 的基于代理的状态评估需要一个正常运行的 PKI。如果您没有 PKI，或者证书生命周期管理是手动且临时的，您将会遇到故障。证书会过期。设备在重建时可能没有证书。在规划 NAC 部署之前，先规划好您的 PKI。 第三：VLAN 设计。您的隔离 VLAN 需要真正隔离——不仅仅是同一物理基础设施上的不同子网。它应该只能访问您的修复门户，必要时还包括 Windows Update 或补丁管理服务器。如果您的隔离 VLAN 有任何通往生产系统的路由，您就制造了一种虚假的安全感。 第四：例外和绕过流程。每个组织都有无法运行代理的设备——打印机、物联网传感器、楼宇管理系统。您需要一个记录在案、已获批准的流程来授予这些设备 MAC 认证旁路，并采取补偿性控制措施。如果您不预先定义此流程，最终会得到一个无人负责、无人审计的非正式白名单。 从标准的角度来看，将您操作系统的状态策略与 CIS 基准保持一致。这些基准是供应商中立的、定期更新的，并被广泛接受为企业端点安全的基线。对于 PCI DSS 环境，关于补丁管理的需求 6.3 和关于反恶意软件的需求 5.3 直接映射到您的状态检查类别。 现在来回答几个快节奏的问题。 NAC 状态评估可以用于 BYOD 设备吗？可以，但您需要一个单独的策略轨道。BYOD 设备通常通过不同的 EAP 方法——使用用户凭据的 EAP-PEAP，而不是使用机器证书的 EAP-TLS——并获得更受限的网络段。对 BYOD 的状态检查通常较轻：操作系统版本、基本的 AV 存在、屏幕锁定已启用。 这与访客 WiFi 网络如何交互？它不会也不应该。访客 WiFi 是一个完全独立的 SSID 和网段，与您的企业基础设施隔离。NAC 状态评估仅适用于您的企业 SSID。这两个网络绝不应共享 VLAN 或相互路由。 完整的 NAC 部署的典型时间表是怎样的？对于一家中型企业——例如，在多个站点有五百到两千个端点——从设计到全面执行需要十二到十六周。这包括 PKI 设置、代理部署、监控模式、修复和分阶段执行推出。 总结一下：NAC 状态评估是确保您的网络访问控制框架有力的机制。仅凭身份——知道谁在连接——是不够的。您需要了解设备的安全状态，根据策略对其进行验证，并对不合规行为强制执行后果。该架构是成熟的，并且围绕 802.1X、RADIUS 和 EAP-TLS 很好地标准化了。实施挑战是真实的，但如果您采用分阶段方法，是可以管理的。 您接下来的步骤是：使用现有的 MDM 或端点管理工具，审核当前端点资产的状态合规性。评估 PKI 就绪程度。为合规、有条件、隔离段设计 VLAN 架构。并在触及执行之前，规划监控模式部署。 对于运行混合环境的组织——企业后台与访客或公共 WiFi 并存——像 Purple 这样的平台提供访客端网络智能和分析，与您的企业 NAC 部署相辅相成，保持这两个世界完全分离，同时为您提供两者的完整可见性。 感谢收听。在 Purple 平台上探索完整的书面指南，获取架构图、工作示例和配置参考。