跳至主要内容

医疗保健行业的 NAC:保障医疗设备和患者数据安全

本指南为在医疗保健环境中部署网络准入控制(NAC)提供了全面的技术参考,涵盖了针对医疗物联网、临床系统和访客接入的架构设计、认证机制、设备画像以及 VLAN 划分。它解决了 HIPAA、NHS DSP Toolkit、ISO 27001 和 GDPR 的合规要求,并提供了具体的实施方案和与厂商无关的最佳实践。对于医疗保健行业的 IT 总监和 CTO 而言,这是在不干扰临床工作流程的前提下保障医疗设备和患者数据安全的操作蓝图。

📖 8 分钟阅读📝 1,980 🔧 2 应用实例3 练习题📚 10 关键定义

收听本指南

查看播客转录
欢迎回到 Purple 企业 IT 简报。我是您的主持人,今天我们将深入探讨一个对于管理医疗设施的 IT 总监或 CTO 来说至关重要的主题:网络接入控制(NAC),具体侧重于保护医疗设备和患者数据的安全。如果您正在管理医院网络,您就会知道边界已经不复存在。核磁共振扫描仪、智能输液泵、员工 BYOD 以及数以千计的访客设备都在争夺空口时间和交换机端口。今天,我们将剖析如何在不破坏临床工作流程的情况下,将这些设备牢牢锁定并保护起来。 让我们先从背景说起。为什么 NAC 目前在医疗行业如此关键?这归结于医疗物联网 —— IoMT 的爆发式增长。十年前,您最大的担忧是医生的笔记本电脑感染病毒。今天,您拥有各种无头设备 —— 输液泵、监护仪 —— 运行着无法运行防病毒代理的遗留操作系统。如果其中一个设备受到损害,这不仅是数据泄露,更是患者安全问题。 从合规角度来看 —— 美国的 HIPAA、英国的 NHS DSP Toolkit、欧洲的 GDPR —— 如果您无法准确证明谁和什么在您的网络上,您就是违规。就这么简单。 那么,让我们进入技术深挖。我们究竟如何构建它? 现代 NAC 架构依赖于三大核心支柱:身份(Identity)、准入状态(Posture)和分段(Segmentation)。 首先,身份。对于您的企业设备 —— 员工笔记本电脑、工作站 —— 您需要转向采用 EAP-TLS 的 802.1X。这意味着基于证书的身份验证。密码可能会被钓鱼;而机器证书在密码学上是安全的。 但是那些医疗物联网设备呢?它们不支持 802.1X。这就是 MAC 地址认证绕过(MAB)发挥作用的地方。交换机看到 MAC 地址并询问 NAC 服务器:“你认识这个设备吗?” 但仅凭 MAB 是脆弱的 —— MAC 地址可以被伪造。 这引出了我们的第二大支柱:准入状态与画像。您的 NAC 系统需要像侦探一样工作。它不应该仅仅信任 MAC 地址。它需要查看 DHCP 指纹、HTTP 用户代理(User-Agent)字符串和流量模式,以判断:“是的,这个 MAC 地址属于飞利浦 IntelliVue 监护仪,而且它的行为也符合该设备的特征。” 如果该监护仪突然开始对您的子网运行 Nmap 扫描,NAC 系统需要立即将其隔离。 这就把我们带到了第三大支柱:分段。一旦设备通过身份验证并生成画像,它会流向哪里?您不能拥有一个扁平的网络。您需要动态 VLAN 分配。 当医生使用其企业笔记本电脑登录时,NAC 服务器会向交换机推送一项策略,将其放入临床 VLAN 中。当输液泵连接时,它会进入一个高度受限的物联网 VLAN,该 VLAN 只能与其特定的管理服务器通信。而当患者连接他们的 iPad 时?他们会直接进入访客 VLAN,由强大的 Captive Portal 解决方案 —— 例如 Purple 的访客 WiFi 平台 —— 处理,与临床端完全隔离。 让我们来谈谈部署。如何才能在不影响重症监护室(ICU)正常运转的情况下部署这一方案? NAC 部署的金科玉律是:先监控,后强制。 首先从“监控模式”开始。您需要配置交换机向 NAC 服务器发送身份验证请求,但指示 NAC 服务器允许所有流量。让其运行数周。在此期间收集数据,为网络上的每台设备建立全面的概况。您会发现影子 IT,以及您甚至不知道其存在的设备。 一旦掌握了这一基准,即可进入第二阶段:“策略定义”。在此阶段,您需要构建 VLAN 并编写访问控制列表。 然后进入第三阶段:“强制执行”。这一步需要逐步进行。先从低影响的强制措施开始 - 阻断已知的恶意流量。然后逐步过渡到封闭模式,逐个部门进行。从行政办公室开始,解决所有棘手问题,最后再处理重症监护病房。 常见的陷阱有哪些?我们遇到的最大问题是“静默 IoT 设备”。一些医疗设备会通过休眠来省电。当它们唤醒时,并不总是能正确重新进行身份验证,从而导致交换机将其断开。您需要调整 MAC 老化定时器,并确保您的配置引擎能够顺利处理这些瞬时连接。 另一个需要重点考虑的是“故障模式”。如果您的 NAC 服务器离线,会发生什么?在企业办公室中,您可能会选择“故障关闭” - 在服务器恢复前,任何人无法接入网络。但在医院中,“故障关闭”策略可能意味着影像设备无法向急诊室发送关键的扫描结果。您通常必须为关键的临床 VLAN 设计“故障打开”或限制访问的备用方案,并依靠强大的网络级 ACL 在断网期间维持安全。 接下来,我们针对 IT 总监经常提出的问题进行快速问答。 问题 1:“我能对所有设备都使用 WPA3-Enterprise 吗?”回答:不能。WPA3 在无线安全方面表现出色,但它无法解决有线网络的问题,而且许多传统医疗设备尚不支持。您需要一个涵盖有线、无线和 VPN 接入的整体 NAC 策略。 问题 2:“访客 WiFi 如何融入其中?”回答:访客 WiFi 是您场所内最危险的流量。您必须使用专用平台来处理 Captive Portal、服务条款和带宽限速,确保该流量与您的临床网络完全隔离。Purple 的平台在这方面表现优异,而且您获得的分析数据实际上可以帮助场所运营团队了解访客流量。 总结:医疗行业中的 NAC 不是可选项。它是零信任安全的基础。第一:企业设备使用 802.1X EAP-TLS。第二:医疗 IoT 使用带有深度配置的 MAB。第三:动态进行网络微隔离。第四:先在“监控模式”下部署。切勿仓促执行强制策略。 今天的简报到此结束。欲获取完整的技术解析(包括架构图和特定厂商的配置指南),请参阅我们网站上的完整参考指南。感谢您的收听,并请确保您的网络安全。

header_image.png

执行摘要

保护现代医疗网络的安全已不再仅仅是防御网络边界 - 而是要管理整个园区内呈爆炸式增长的联网设备。从 MRI 扫描仪和智能输液泵,到患者平板电脑和访客智能手机,庞大的终端数量和多样性创造了前所未有的攻击面。网络准入控制(NAC)是识别、验证和授权连接到网络的每个设备所必需的关键基础设施,可确保医疗设备和患者数据的安全。

对于医疗机构的 CTO 和 IT 总监而言,部署强大的 NAC 解决方案是遵守 HIPAA、NHS DSP 工具包和 GDPR 以及切实降低风险的必要条件。本指南专为医疗环境量身定制,深入探讨了 NAC 架构、实施策略和最佳实践。我们将探索如何实现零信任网络访问,将临床 IoT 设备与公共流量进行隔离,并使用 Guest WiFi 等解决方案来安全地管理访客访问,同时又不损害核心临床网络的安全性。

技术深度剖析

医疗网络面临的挑战

医疗网络具有独特的复杂性。它们必须同时支持对正常运行时间和数据完整性有严格要求的临床系统、运行传统操作系统的庞大医疗物联网(IoMT)设备群、员工自带设备(BYOD)以及数以千计的非托管患者和访客设备。传统的边界安全或静态 VLAN 分配在这种环境中完全力不从心。需要一种动态的、身份驱动的方法,在整个网络架构中强制执行最小特权访问。

这一问题的规模是巨大的。一所典型的拥有 500 张床位的医院在任何给定时间可能有超过 10,000 台联网设备。这些设备中只有不到 30% 能够运行传统的终端安全代理。其余 70%(输液泵、监护仪、成像设备、智能床位)必须通过网络级控制而不是主机级控制来确保安全。这正是 NAC 旨在解决的问题。

核心 NAC 架构

在医疗保健环境中,生产级的 NAC 部署依赖于四个协同工作的核心组件。**Supplicant(客户端)**是连接设备上的客户端软件或原生操作系统组件,用于发起身份验证交换。对于缺乏 Supplicant 功能的无头 IoT 设备,则使用 MAC 身份验证绕过 (MAB) 作为备用方案。**Authenticator(认证器)**是网络接入设备(交换机或无线接入点),用于拦截连接请求并充当看门人,将凭据转发给身份验证服务器。Authentication Server(身份验证服务器)(通常是基于 RADIUS 的策略引擎,例如 Cisco ISE、Aruba ClearPass 或 ForeScout)是系统的中央智能机构;它负责验证身份、评估安全状况,并返回带有动态 VLAN 分配的授权决策。最后,Directory Store(目录存储)(通常是 Microsoft Active Directory 或 LDAP)为用户和设备提供身份记录,RADIUS 服务器根据这些记录验证请求。

身份验证机制

IEEE 802.1X 是基于端口的网络访问控制的金标准。它提供了一个框架,用于封装 Supplicant 与身份验证服务器之间的 EAP(可扩展身份验证协议)消息。对于公司拥有的设备,强烈建议使用 EAP-TLS(基于证书的双向身份验证),而不是 PEAP-MSCHAPv2(基于密码的身份验证)。EAP-TLS 完全消除了凭据盗取途径 - 如果身份验证需要由内部 PKI 签名的有效机器证书,那么仅凭泄露的密码绝对无法获取网络访问权限。

MAC 身份验证绕过 (MAB) 是无法支持 802.1X 的设备的务实解决方案,这涵盖了大多数医疗 IoT 设备。认证器将设备的 MAC 地址用作其身份凭据。由于 MAC 地址可以被伪造,MAB 本身保护力度较弱,但结合深度设备画像和行为分析,它就成了管理已知医疗设备的强大控制手段。

Captive Portal 身份验证是访客和患者接入的机制。一个实施良好的 Guest WiFi 解决方案可以处理用户注册、服务条款接受和带宽管理,确保公共流量从设备与接入点关联的那一刻起,就与临床网络完全隔离。

architecture_overview.png

设备画像与安全状况评估

了解“谁”在连接只是成功了一半;了解他们使用的是“什么”设备同样至关重要。设备分析结合了被动和主动的网络探测技术(DHCP指纹、HTTP User-Agent字符串、SNMP查询、基于Nmap的主动扫描和流量模式分析)来对网络上的每个设备进行分类。一个经过精细调整的分析引擎仅凭网络行为就能区分Philips IntelliVue患者监护仪和Baxter Sigma Spectrum输液泵,尽管这两者都是通过MAB连接的。

准入评估适用于受管理的企业设备。在授予临床 VLAN 访问权限之前,NAC系统会查询终端以确认合规性:操作系统是否已修补到所需版本?防病毒特征库是否是最新的?是否启用了全盘加密?未通过准入检查的设备将被动态分配到修复 VLAN,它们可以在该网络中接收更新,但无法访问临床系统。

实施指南

在真实的医院环境中部署NAC需要仔细规划,以避免中断关键的医疗服务。分阶段实施不仅是推荐的做法 - 它是强制性的。

阶段1:发现与分析(监控模式)

首先将NAC解决方案部署在监控模式下。配置交换机和接入点将身份验证请求转发到NAC服务器,但指示服务器允许所有访问,同时记录每次连接。运行此阶段至少四周,以覆盖所有轮班模式和设备使用周期。此阶段的输出是网络上每个设备的完整、经过验证的清单,包括可能未出现在CMDB中的影子IT和遗留设备。使用这些数据来完善设备分析规则,并识别在执行阶段需要特殊处理的任何设备。

阶段2:策略定义与 VLAN 划分

根据发现的数据,定义映射到特定 VLAN 的细粒度访问策略。临床 VLAN 应限制为通过 802.1X EAP-TLS 进行身份验证的授权员工设备,以及通过带有验证分析的MAB进行身份验证的已知医疗IoT设备。IoT VLAN 应根据设备类别进一步细分(例如,输液泵专用 VLAN,成像设备独立 VLAN),并使用严格的ACL,仅允许与每个设备类别所需的特定管理服务器进行通信。访客 VLAN 将所有未经验证的流量引导至 Captive Portal,使用集成 WiFi Analytics 的平台,在与内部网络完全隔离的同时提供运营可见性。

有关特定厂商的配置指南,请参阅我们关于 如何在 Cisco Meraki 中配置 VLAN 引导 NAC 策略 的详细教程。

阶段3:渐进式执行

分阶段从监控模式(Monitor Mode)过渡到强制执行。首先从低影响强制执行开始:应用阻止已知恶意流量模式但允许大多数合法流量的基本 ACL。利用此阶段识别并解决任何策略配置错误,以免影响临床运营。然后过渡到封闭模式(Closed Mode)强制执行,按部门逐步推广 - 行政区域优先,临床支持区域次之,重症监护室最后。在每个阶段,保持快速回滚程序,并确保临床工程团队处于准备状态,以便在强制执行后验证医疗设备功能是否正常。

compliance_framework.png

最佳实践

强制执行基于证书的身份验证。 对于所有企业拥有的设备,使用内部 PKI 颁发的机器证书的 EAP-TLS 应该是唯一接受的身份验证方法。密码是一项隐患;证书则不然。

对医疗 IoT 进行微隔离。 不要将所有医疗设备合并到一个 IoT VLAN 中。按设备类别进行隔离,并应用零信任 ACL。输液泵应该只能访问其特定的管理服务器和 EMR 系统 - 别无其他。应在网络层阻止设备类别之间的横向移动。

实施持续的行为监控。 NAC 不是一项一劳永逸的控制措施。将您的 NAC 策略引擎与 SIEM 或网络检测与响应 (NDR) 平台集成。如果已配置文件的 IoT 设备开始表现出异常行为 - 例如意外的端口扫描、异常的出站连接 - NAC 系统应动态隔离该设备,而无需等待人工干预。

优化您的无线基础设施。 确保您的接入点部署为每个临床区域的设备密度提供足够的覆盖范围和容量。了解不同无线频段的影响至关重要 - 我们的指南 Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 涵盖了在混合 IoT 和临床环境中 2.4 GHz、5 GHz 和 6 GHz 之间的实际权衡。

将访客接入作为首要的安全控制进行整合。 访客 WiFi 不是一个可选的附加功能 - 它是您网络上风险最高的流量类型之一。专用的 Guest WiFi 平台可确保患者和访客设备与临床网络隔离、独立进行身份验证和管理。由此产生的 WiFi Analytics 数据还支持患者流量和设施管理方面的运营改进。

故障排除与风险缓解

常见故障模式

静默 IoT 设备(Silent IoT Device)是医疗 NAC 部署中最为常见的运维问题。进入低功耗睡眠状态的医疗设备会中断其网络连接,并在唤醒时无法正确重新进行身份验证。这导致设备在 NAC 系统中显示为离线,但实际上物理存在并试图正常工作。缓解措施包括调整交换机上的 MAC 老化定时器,使其与每类设备的预期睡眠周期相匹配,并配置 NAC 分析引擎以识别重新连接的设备,而无需进行完整的重新验证周期。

证书过期是一种系统性风险,如果不进行主动管理,可能会同时锁定数百台员工设备。建议使用 SCEP 或 EST 协议实施自动化的证书生命周期管理,并对 60 天内过期的证书配置告警。在不同的设备组之间错开证书更新周期,以避免大规模同时过期。

RADIUS 服务器配置错误 - 包括错误的 IP 地址、不匹配的共享密钥或网络接入设备上配置错误的 EAP 方法 - 会导致隐性的身份验证失败,若没有适当的日志记录,这些失败将很难诊断。使用集中式网络管理将标准化的 RADIUS 配置推送到所有交换机和接入点,并实施 RADIUS 计费以提供所有身份验证事件的审计追踪。

故障打开(Fail-Open)与故障关闭(Fail-Closed)的抉择

这是医疗 NAC 部署中最为关键的架构决策。故障关闭策略(如果无法连接 NAC 服务器,则拒绝网络访问)提供了最强的安全保障,但在服务器宕机期间可能会面临隔离生命攸关的医疗设备的风险。故障打开策略(如果服务器发生故障,则授予有限的访问权限)可以保持临床业务的连续性,但会造成安全控制力下降的窗口期。推荐的方法是采用分层故障策略:对于关键的临床 VLAN 采用故障打开,并辅以强大的网络级 ACL,而行政和访客 VLAN 则采用故障关闭。在多个物理位置或可用区之间部署高可用性集群中的 NAC 策略引擎,以尽量减少触发该决策的频率。

ROI 与业务影响

在医疗行业部署 NAC 的业务可行性在多个维度上都非常引人瞩目。首要驱动因素是降低风险:一旦计入监管罚款、法律诉讼成本、补救费用和声誉损失,涉及受保护健康信息 (PHI) 的单次可报告数据泄露的平均成本将超过 1000 万美元。NAC 通过确保只有获得授权且合规的设备才能访问包含 PHI 的系统,直接降低了此类事件发生的概率以及潜在的波及范围。 运营效率是次要但重要的好处。自动化的设备画像和引导加入消除了在没有 NAC 的环境中消耗大量 IT 服务台时间的手动交换机端口配置。临床工程团队可获得实时、准确的设备库存,以支持生命周期管理、维护调度和采购计划。

合规姿态得到直接改善。HIPAA 的访问控制标准 (45 CFR §164.312(a)(1))、NHS DSP Toolkit 的网络安全要求以及 GDPR 第 32 条的处理安全义务,都要求对哪些人员和设备可以访问包含患者数据的系统进行可证明的控制。一份记录完善的 NAC 部署可提供满足这些义务所需的审计证据。

最后,患者体验将受益于实施良好的访客访问策略。为患者和访客提供可靠、安全的 Guest WiFi 可提高满意度评分,而底层的 WiFi Analytics 数据则支持病床管理、访客流和设施利用方面的运营改进。

关键定义

网络准入控制 (NAC)

一种安全框架,可基于策略强制控制允许哪些设备和用户连接到网络,以及他们在连接后可以访问哪些资源。NAC 结合了身份验证、设备配置文件分析、状态评估和动态策略执行。

IT 团队将 NAC 视为一种产品类别(Cisco ISE、Aruba ClearPass、ForeScout)和一种架构方法。在医疗保健领域,NAC 是在临床系统、医疗 IoT 和访客接入之间实施网络隔离的主要机制。

IEEE 802.1X

一种用于基于端口的网络准入控制的 IEEE 标准,为希望连接到 LAN 或 WLAN 的设备提供身份验证框架。它定义了请求方(客户端)、验证方(交换机/AP)和身份验证服务器 (RADIUS) 的角色,并在它们之间封装了 EAP 消息。

802.1X 是 NAC 部署中用于公司拥有设备的身份验证机制。IT 团队在网络接入设备(交换机、AP)和终端设备(通过操作系统级请求方设置或组策略)上进行配置。

MAC 身份验证旁路 (MAB)

一种用于无法支持 802.1X 的设备的备用身份验证机制。网络接入设备将连接设备的 MAC 地址用作其身份凭据,并将其转发给 RADIUS 服务器进行授权。

MAB 是医疗保健 NAC 部署中医疗 IoT 设备的主要身份验证方法。它必须与设备配置文件分析相结合,才能提供有意义的安全保护,因为 MAC 地址可能会被伪造。

EAP-TLS (可扩展身份验证协议 - 传输层安全)

一种基于证书的 EAP 方法,使用 X.509 数字证书在客户端和身份验证服务器之间提供双向身份验证。客户端和服务器均出示证书,从而消除了基于密码的凭据窃取媒介。

EAP-TLS 是医疗保健 NAC 部署中公司设备推荐的身份验证方法。它需要一个正常运行的内部 PKI 来颁发和管理机器证书。

VLAN Steering

根据 NAC 系统的认证结果和策略决定,将连接的设备动态分配到特定的 VLAN。RADIUS 服务器将返回一个 VLAN ID(或 VLAN 名称)作为 Access-Accept 响应的一部分,然后认证器将设备端口划分到该 VLAN 中。

VLAN 导向是 NAC 实施网络分段的机制。IT 团队在认证服务器上配置 RADIUS 属性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID),以指定每个设备类别的主机 VLAN。

设备画像

使用被动网络探测(DHCP 指纹、HTTP User-Agent 字符串、mDNS/Bonjour 广播)和主动扫描技术(Nmap、SNMP 查询)来识别连接设备的类型、制造商和操作系统的过程。

在医疗行业 NAC 部署中,设备画像对于准确分类医疗 IoT 设备至关重要。如果没有画像,通过 MAB 认证的设备将无法相互区分,从而无法应用特定设备类别的访问策略。

合规性评估

在授予网络访问权限之前,对连接设备的安全合规状态进行评估。合规性检查通常会验证操作系统补丁级别、防病毒签名最新状态、磁盘加密状态以及是否存在所需的安全软件。

合规性评估适用于医疗行业 NAC 部署中的托管企业设备(笔记本电脑、工作站)。未通过合规性检查的设备会被动态分配到修复 VLAN,在此处它们可以接收更新,但无法访问临床系统。

隔离 VLAN

当未合规或未识别的设备未能通过认证或合规性评估时,被分配到的受限网络分段。隔离 VLAN 通常仅提供对修复资源(补丁服务器、防病毒更新服务器)的访问,并阻止对所有临床和企业系统的访问。

IT 团队将隔离 VLAN 作为违反 NAC 策略的强制执行机制。隔离 VLAN 中的设备实际上与网络的其余部分隔离,但仍能够接收达到合规所需的更新。

IoMT(医疗物联网)

通过网络进行通信以收集和传输患者数据的互连医疗设备和医疗应用生态系统。IoMT 包括输液泵、监护仪、成像设备、智能病床和可穿戴健康监测器。

在医疗行业 NAC 部署中,IoMT 设备代表了最大且最具挑战性的设备类别。它们通常运行遗留操作系统,无法支持终端安全代理,并且需要专门的画像和微隔离策略。

零信任网络访问 (ZTNA)

一种消除网络架构中隐式信任的安全模型。在 ZTNA 下,默认情况下不信任任何设备或用户,无论其网络位置如何。每个访问请求都必须经过明确的认证、授权和持续验证。

ZTNA 是支持现代 NAC 部署的架构理念。在医疗行业中,ZTNA 意味着即使是临床 VLAN 上的设备也必须持续证明其身份和合规状态 - 仅凭网络位置并不能授予访问敏感系统的权限。

应用实例

一家拥有 350 张床位的 NHS Trust 正在为年度 DSP Toolkit 申报做准备。IT 总监发现目前网络没有任何设备认证 - 所有设备都连接到只有一个 VLAN 的扁平网络中。目前大约有 2,400 台连接的设备,其中估计有 800 台是医疗物联网设备(输液泵、监护仪、呼吸机)。该 Trust 需要在 6 个月内实现合规,且不能干扰临床业务。他们应该从哪里开始?

项目从为期 4 周的监控模式(Monitor Mode)部署开始。配置所有核心交换机和无线控制器,将 802.1X 和 MAB 请求转发给新部署的 RADIUS 策略引擎(在此规模下,Cisco ISE 或 Aruba ClearPass 是主要选择)。服务器设置为“全部允许”但记录所有日志。4 周后,分析画像数据以对所有 2,400 台设备进行分类。预计会发现大约 800 台医疗物联网设备(MAB 候选对象)、600 台企业工作站和笔记本电脑(802.1X 候选对象)、400 台员工个人自带设备(BYOD)以及 600 台患者/访客设备。在第 5 到 8 周,定义 VLAN 架构:用于员工设备和连接电子病历(EMR)系统的临床 VLAN (10.10.0.0/22)、用于带有访问控制列表(ACL)以限制与特定管理服务器通信的医疗设备的物联网 VLAN (10.20.0.0/22),以及路由到 Captive Portal 的访客 VLAN (10.30.0.0/22)。为面向患者的网络部署专用的访客 WiFi 平台。在第 9 到 16 周,从行政区域开始逐步实施强制执行。在第 17 到 24 周,将强制执行扩展到临床区域,在强制执行前与临床工程团队共同验证每种医疗设备类别。到第 6 个月,该 Trust 将拥有一个完全隔离的网络并附带已记录的访问控制,满足 DSP Toolkit 要求 5(访问控制)并为申报提供所需的审计证据。

考官评语: 这里的关键见解是不可妥协的监控模式(Monitor Mode)阶段。在没有完整设备资产清单的情况下,在临床环境中匆忙进行强制执行,是医疗保健行业中 NAC 部署失败最常见的原因。按物理区域(先行政,后临床)分阶段推广 VLAN 是正确的风险管理方法。为面向患者的网络集成专用的访客 WiFi 平台至关重要 - 尝试通过与临床设备相同的 NAC 策略引擎来管理访客接入会增加不必要的复杂性和风险。

一家私立医院集团正在扩展其网络,以支持拥有 150 台新连接医疗设备的新肿瘤科大楼,其中包括来自两个不同制造商的 40 台输液泵、60 台监护仪和 50 台混合设备(智能床、呼叫系统)。网络团队现有的 Cisco Meraki 基础设施中没有部署 NAC。CISO 希望在大楼 8 周后启用前实现微隔离。其部署策略是什么?

在以 Cisco Meraki 为现有基础设施的情况下,该部署利用了 Meraki 内置的 RADIUS 集成和组策略功能。首先,部署 RADIUS 服务器(FreeRADIUS 或 Cisco ISE),并配置新翼楼中的所有 Meraki 交换机和 MR 接入点,使其使用该服务器进行身份验证。为所有医疗设备配置 MAB,利用 Meraki 的客户端指纹技术协助进行设备分类。在 Meraki 控制面板中定义三个组策略:IoT-InfusionPumps(VLAN 210,ACL 仅允许流量发送至位于 10.10.5.20 的输液泵管理服务器和位于 10.10.1.10 的 EMR)、IoT-PatientMonitors(VLAN 220,ACL 允许流量发送至位于 10.10.5.30 的监护服务器和 EMR)以及 IoT-General(VLAN 230,针对混合设备放宽限制的 ACL)。从采购文档中获取所有 150 台设备的 MAC 地址,预先导入到 RADIUS 服务器中。在新翼楼试营业的前两周运行监控模式,验证所有设备是否已正确进行配置文件分析和分配。在第 3 周过渡到完全强制执行。有关特定于 Meraki 的 VLAN Steering 配置详情,请参阅 如何在 Cisco Meraki 中为 VLAN Steering 配置 NAC 策略 指南。

考官评语: 此场景突出了在设备到达现场之前,根据采购文档预先填入 MAC 地址数据库的重要性。等到设备物理连接后再去发现其 MAC 地址,会给强制执行时间表带来不必要的延迟。针对这两家输液泵供应商使用特定于制造商的 VLAN 也值得注意 - 如果发现某家供应商的设备存在漏洞,爆炸半径将被限制在单个 VLAN 内,而不是整个 IoT 网段。

练习题

Q1. 一家区域医院拥有 1,200 台连接的设备。在监控模式下的 NAC 部署期间,画像引擎识别出 340 台具有未知画像的设备 - 它们不符合任何已知的医疗设备指纹,也不是企业工作站。CISO 希望在 2 周内转入强制执行阶段。正确的做法是什么?在 CISO 的时间线内继续推进有哪些风险?

提示:思考那 340 台未知设备可能是什么,以及如果它们保持未分类状态,在强制执行生效时会发生什么。

查看标准答案

正确的做法是延迟强制执行,直到这 340 台未知设备经过调查和分类。在强制执行上线时,这些设备将被置于隔离 VLAN 中,其中可能包括对患者护理至关重要的临床设备。调查应包括:(1) 将 MAC 地址 OUI 前缀与制造商数据库进行交叉比对,以识别可能的设备类型;(2) 审查交换机端口位置以物理识别设备;(3) 邀请临床工程部门识别未在 CMDB 中的任何医疗设备;以及 (4) 审查 DHCP 日志以寻找主机名模式。只有在所有 340 台设备都分类完毕并定义了适当的策略后,才能继续进行强制执行。在 CISO 规定的 2 周时间线上继续执行的风险是,如果在危重病症场景中隔离了未分类的医疗设备,可能会导致潜在的患者安全事故。

Q2. 一位 IT 架构师正在为新的医院大楼设计 NAC 故障模式策略。临床主任坚持认为,即使 NAC 服务器离线,医疗设备也绝不能失去网络连接。CISO 则坚持对所有 VLAN 采用故障关闭(fail-closed)策略。您如何解决这一冲突?需要哪些补偿性控制措施?

提示:思考分层故障策略,以及在停机期间哪些网络级控制可以替代 NAC 策略强制执行。

查看标准答案

解决方案是采用满足这两项要求的分层故障策略。IoT VLAN 和临床 VLAN 配置为故障打开(fail-open,即如果 RADIUS 服务器不可达则允许访问),而访客 VLAN 和管理 VLAN 配置为故障关闭(fail-closed)。使临床 VLAN 接受故障打开策略的补偿性控制措施包括:(1) 在 VLAN 网关处应用严格的 ACL,无论 NAC 状态如何均限制 VLAN 间流量;(2) 部署 NAC 服务器高可用性(跨两个数据中心的 active-active 集群),以最大程度地降低触发故障模式的概率;(3) 在临床 VLAN 上进行网络级 IDS/IPS 监控,以检测 NAC 停机期间的异常流量;以及 (4) 针对 NAC 停机场景编制文档化的事件响应程序。这种方法既满足了临床主任的可用性要求,又为 CISO 提供了文档化的补偿性控制措施,从而保持了可接受的安全态势。

Q3. 某医院的 NAC 部署已在完全强制执行模式下运行了 3 个月。安全团队收到警报,IoT VLAN 上的一个设备(分析为输液泵)正尝试在端口 443 上与外部 IP 地址建立出站连接。该设备的 MAC 地址与预期画像匹配。直接的响应措施是什么?此事件对 NAC 架构说明了什么?

提示:同时考虑直接的遏制措施和允许尝试此流量(即使被阻止)的架构漏洞。

查看标准答案

直接的响应是通过 NAC 策略引擎动态隔离该设备,将其从 IoT VLAN 中隔离以待调查。安全团队应从该设备的交换机端口捕获数据包跟踪以分析流量内容,并应通知临床工程人员对设备进行物理检查,并在必要时将其脱机。该事件表明了两个架构问题:(1) IoT VLAN 上的 ACL 未阻止输液泵的出站互联网流量 - ACL 应仅允许发往特定管理服务器 IP 和 EMR 的流量,并对所有其他目的地应用显式的全部拒绝规则;(2) 行为监控集成工作正常(生成了警报),但 ACL 应该在尝试建立连接之前就阻止该流量。纠正措施是收紧 IoT VLAN ACL,以实施默认拒绝态势,仅允许每个设备类别明确需要的通信路径。