跳至主要内容

保护混合办公:结合 NAC 和 ZTNA 实现无缝访问

这本权威的技术指南涵盖了网络访问控制 (NAC) 和零信任网络访问 (ZTNA) 的架构融合,以保护公司、零售、酒店和公共部门场所的混合工作环境。它为需要消除孤立本地和云访问域造成的安全漏洞的 IT 架构师和 CTO 提供了分阶段部署蓝图、真实案例研究和合规指导。

📖 6 分钟阅读📝 1,285 🔧 2 应用实例3 练习题📚 9 关键定义

收听本指南

查看播客转录
欢迎收听 Purple 企业架构简报。我是您的主持人,今天我们将深入探讨 IT 领导者面临的一个关键挑战:保护混合劳动力。具体来说,我们探讨网络访问控制 (NAC) 和零信任网络访问 (ZTNA) 的架构融合。如果您正在管理公司场所、零售空间或公共部门环境的复杂网络,这期节目适合您。 让我们设定背景。传统边界已死。我们都知道这一点。用强大的 NAC 保护公司总部,同时依赖传统 VPN 进行远程访问已不再足够。这给用户带来摩擦,给 IT 带来盲点。现代企业需要统一的安全态势,无缝地连接本地基础设施和云原生应用。这就是结合 NAC 和 ZTNA 的原因。 历史上,这些是孤立的领域。NAC 使用像 802.1X 这样的标准,出色地控制大楼内的物理和无线访问。它检查设备态势并分配 VLAN。另一方面,ZTNA 是为云时代构建的——基于身份和上下文保护远程访问,而不是网络位置。问题是当混合办公人员在两个域之间移动时会发生什么。他们在家通过 ZTNA 无缝认证,但当他们走进办公室时,却遇到了割裂的策略障碍。这令人沮丧,效率低下,坦率地说,这制造了攻击者可以利用的安全漏洞。 因此,让我们谈谈技术架构。解决方案是建立统一身份和上下文中介层。我们需要同步 NAC 和 ZTNA 策略引擎之间的遥测数据。可以将其视为跟随用户的持续态势评估,无论他们身在何处。 在实践中是这样工作的。当设备连接到公司网络时,NAC 执行全面的态势检查——操作系统版本、杀毒软件状态、证书验证。它通过 API 集成立即将此上下文共享给 ZTNA 中介。如果设备的态势降级——比如检测到恶意软件——NAC 在本地网络上隔离它,同时指示 ZTNA 中介撤销对关键云应用的访问。当用户从办公室移动到远程位置时,ZTNA 客户端保持已建立的信任上下文。无需重新认证。体验是无缝的,但安全性是持续的。 现在,让我们深入了解支撑这一切的标准。IEEE 802.1X 是本地认证的黄金标准。它在端口级别提供设备身份的加密验证。RADIUS 作为后端协议,在 NAC 解决方案和您的身份提供者之间通信。在 ZTNA 方面,您需要考虑像 Azure Active Directory 或 Okta 这样的身份提供者,以及来自领先供应商的 ZTNA 中介。关键是确保这些系统能够双向通信。 对于场馆运营商——酒店、会议中心、体育场——还有额外的复杂性。您在同一物理基础设施上管理公司员工、承包商、访客以及不断增长的物联网设备群。NAC 处理分割。公司员工获得 802.1X 认证并访问内部资源。访客被隔离在专用网络上,理想情况下通过像 Purple 的 Guest WiFi 这样的平台管理,该平台提供强大的隔离,同时捕获有价值的分析。不支持 802.1X 的物联网设备——想想数字标牌、环境传感器、销售点终端——通过 MAC 认证旁路 (MAB) 处理,并进行严格的 VLAN 分割以遏制任何潜在的妥协。 让我带您看一个真实的部署场景。考虑一个拥有五百个地点的全球零售连锁店。区域经理在门店、总部和家庭办公室之间不断出差。他们遇到 VPN 断开连接以及对库存管理应用的不一致访问。解决方案是融合的 NAC 和 ZTNA 架构。当经理在门店时,NAC 通过 802.1X 认证设备,并将受信任的内部上下文共享给 ZTNA 中介。然后,中介授予对云托管库存应用的直接、优化访问——无需 VPN 隧道。当经理在家工作时,ZTNA 客户端建立一条安全微隧道到应用,维持相同的访问策略。结果是什么?一致的访问、减少的帮助台呼叫以及可衡量的安全态势改善。 现在,实施。我推荐三阶段方法。第一阶段是可见性。首先以监控模式部署 NAC。发现和分类网络上的所有内容——笔记本电脑、BYOD 设备、物联网、访客设备。先不要执行任何操作。同时,将您的身份提供者与 NAC 和 ZTNA 集成,以整合用户身份。使用您的 ZTNA 解决方案映射应用访问模式。这为您编写合理的策略提供数据。 第二阶段是策略定义。为公司设备定义基线态势要求。根据用户角色和应用敏感度实施 ZTNA 微隔离。关键是,在 NAC 和 ZTNA 平台之间建立 API 集成,以实现双向上下文共享。在转向执行之前,彻底测试此集成。 第三阶段是执行。逐步启用 NAC 执行,从试点组开始。监控认证失败并调整策略。将 ZTNA 客户端推广到所有公司端点。并使用管理平台将零信任原则扩展到您的访客网络。 让我快速指导您最常见的陷阱。首先,上下文同步延迟。如果 NAC 和 ZTNA 之间的 API 集成出现延迟,被攻破的设备可能会过长时间保留对云应用的访问。解决方法是使用基于 Webhook 的推送通知,而不是依赖轮询机制。这确保了近乎实时的策略更新。 其次,过于严格的策略导致帮助台工单激增。在没有充分用户沟通的情况下实施严格的态势检查,是造成混乱的处方。使用 Captive Portal 通知用户不合规情况,并在完全阻止访问之前提供自助修复。 第三,物联网设备认证失败。无头物联网设备根本无法支持 802.1X 或 ZTNA 客户端。答案是 MAC 认证旁路结合严格的设备分析和严格的 VLAN 分割。 第四,这是一个大问题——未能监控 API 集成本身的健康状况。如果 NAC 和 ZTNA 之间的同步中断,您就会有一个安全漏洞。对集成健康实施监控和警报,并定义在同步丢失超过预定义阈值时触发的故障安全策略。 那么投资回报率是多少?此架构的业务案例很有说服力。整合策略管理减少了 IT 团队的管理负担。淘汰传统 VPN 显著改善了混合办公体验,减少了停机时间和挫败感。并且能够展示持续态势评估和基于身份的访问控制,简化了 PCI DSS 和 GDPR 等框架的合规报告——在零售和医疗环境中尤为重要。 总结今天简报的关键要点。身份是新边界,上下文是关键。使用 NAC 用于线路,ZTNA 用于应用。永不信任,始终验证——并持续进行。分阶段实施:先可见性,然后策略,最后执行。并且不要忘记访客网络和物联网资产——它们需要成为安全架构的一部分,而不是事后补救。 如果您希望更深入地了解 AI 驱动的网络安全未来,请查看 Purple 关于 AI 驱动的 NAC 和威胁检测的指南。对于那些管理分布式站点的人,我们的 SD-WAN 与 MPLS 对比指南非常值得您花时间。 今天的简报到此结束。感谢收听,我们下期再见。

header_image.png

執行摘要

對於管理分散式環境的企業網路架構師和 CTO 而言,網路邊界已不復存在。傳統上利用強大的網路存取控制(NAC)保護企業總部,同時依賴傳統 VPN 進行遠端存取的模式已不再可行。現代企業需要統一的安全態勢,以無縫連接本地基礎設施與雲端原生應用程式。本指南詳細介紹了 NAC 與零信任網路存取(ZTNA)的架構整合,為在不影響使用者體驗或網路吞吐量的情況下,保障混合工作環境的安全提供了藍圖。

透過將 NAC 的裝置級態勢強制執行與 ZTNA 以身分為中心的微隔離相結合,企業無論使用者身在何處,都能實現持續的信任驗證。這種融合對於人流量大且合規要求複雜的行業尤為重要,例如 零售業醫療保健業旅宿餐飲業 。此外,利用 Purple 的 Guest WiFi 基礎設施等平台,可以將這些零信任原則擴展到訪客網路,確保符合 GDPR 和 PCI DSS 義務的強大隔離與數據保護。

技術深挖:融合架構

孤立安全域的局限性

歷史上,NAC 和 ZTNA 作為孤立的安全域運行。NAC 利用 IEEE 802.1X 和 RADIUS,擅長控制企業邊界內的實體和無線存取。它提供了強大的裝置分析、態勢評估和 VLAN 分配。相反,ZTNA 的出現是為了保護對雲端和本地應用程式的遠端存取,其運行原則是基於使用者身分和上下文,而非網路位置,實行「永不信任,始終驗證」。

當混合工作者在這些領域之間切換時,就會產生摩擦。使用者在日常在家中透過 ZTNA 無縫驗證,但在進入企業辦公室時,往往會面臨脫節的體驗,因為當地的 NAC 策略可能與其 ZTNA 上下文不一致。這種碎片化引入了安全盲點和營運開銷,直接影響了 IT 效率和終端使用者生產力。

統一身分與上下文代理

架構解決方案在於建立一個統一的身分與上下文代理層,同步 NAC 與 ZTNA 策略引擎之間的遙測數據。這種整合允許進行跨越網路邊界持續存在的持續態勢評估。

nac_ztna_architecture_overview.png

此整合透過三個關鍵機制運行。首先,持續態勢評估:當裝置連接到企業網路時,NAC 解決方案會進行全面的態勢檢查,涵蓋作業系統版本、防毒軟體狀態和憑證驗證。此上下文會立即透過 API 整合與 ZTNA 代理共享。其次,動態策略執行:如果裝置的安全性降低(例如檢測到惡意軟體),NAC 系統會將該裝置隔離在本地網路上,同時指示 ZTNA 代理撤銷對關鍵雲端應用程式的存取權限。第三,無縫過渡:當使用者從辦公室移動到遠端位置時,ZTNA 用戶端會保持已建立的信任上下文,從而消除重新驗證的需要,並確保對授權資源的無間斷存取。

如需深入了解支援這些部署的底層無線技術,請參閱我們的指南: Wi-Fi 頻段:2026 年 Wi-Fi 頻段指南

hybrid_work_security_comparison.png

實施指南:逐步部署

部署融合的 NAC/ZTNA 架構需要採取分階段的方法,以最大程度地減少中斷並確保強大的策略執行。

階段 1:身分與資產發現

在實施強制執行策略之前,您必須實現對網路環境的完整可視性。在僅監控模式下部署您的 NAC 解決方案——將其配置為發現並分析所有連接的裝置,包括企業筆記型電腦、BYOD、IoT 和訪客裝置,而不阻止存取。透過將 NAC 和 ZTNA 解決方案與中央身分識別提供者(如 Azure AD 或 Okta)整合,來鞏固使用者身分。這可確保兩個領域之間的一致驗證策略。同時,利用您的 ZTNA 解決方案監控應用程式存取模式,識別哪些使用者需要存取特定應用程式,並形成微隔離策略的基礎。

階段 2:策略定義與微隔離

透過基於最小權限原則定義細粒度的存取策略,從可視性過渡到控制。建立企業裝置的基準安全要求,包括最低作業系統版本和作用中的 EDR 代理程式要求,並配置 NAC 解決方案以針對本地存取強制執行這些要求。定義 ZTNA 策略,根據使用者角色和裝置上下文限制對應用程式的存取,確保與 NAC 解決方案中定義的態勢要求保持一致。至關重要的是,配置 NAC 和 ZTNA 平台之間的 API 整合,以啟用雙向上下文共享,確保 NAC 檢測到的裝置態勢變化能夠即時立即觸發 ZTNA 代理中的策略更新。

第三階段:強制執行與最佳化

逐步啟用強制執行模式,監控異常情況並根據需要微調策略。將 NAC 解決方案從監控模式過渡到強制執行模式,先從試點用戶群組或地點開始,並監控身分驗證失敗的情況。將 ZTNA 用戶端部署到所有企業端點,確保無縫存取雲端和地端應用程式。使用 Purple 的 Guest WiFi 等平台擴展強大的訪客存取策略,確保訪客流量與企業資源嚴格隔離。利用 WiFi Analytics 監控使用模式並檢測整個訪客資產中的潛在異常。

企業環境的最佳實踐

在整個部署過程中優先考慮用戶體驗。安全不應阻礙生產力,地端與遠端存取之間的過渡對用戶而言必須是透明的,利用單一登入和持續身分驗證機制。對於地端存取,強制所有企業設備進行 IEEE 802.1X 身分驗證,因為這在連接埠層級提供了對設備身分強大的加密驗證。

將 AI 驅動的威脅檢測功能整合到您的 NAC 和 ZTNA 解決方案中,以識別異常行為並自動隔離受損設備。有關此功能的遠瞻性觀點,請參閱 The Future of Wi-Fi Security: AI-Driven NAC and Threat Detection 以及西班牙語對應版本 El Futuro de la Seguridad Wi-Fi: NAC Impulsado por IA y Detección de Amenazas 。對於分散式企業,將 ZTNA 與 SD-WAN 整合可以最佳化應用程式路由並提高多個站點的效能 — 請參閱我們在 SD WAN vs MPLS: The 2026 Enterprise Network Guide 上的比較。

疑難排解與風險緩釋

上下文同步延遲代表了最關鍵的失效模式。如果 NAC 和 ZTNA 之間的 API 整合出現延遲,受損設備存取雲端應用程式的時間可能會超出可接受的範圍。緩釋措施是實施基於 Webhook 的推播通知,而不是僅依賴輪詢機制,以確保近乎即時的策略更新。

過度限制的策略在實施嚴格的狀態檢查且未與用戶進行充分溝通時,可能會導致服務台工單量急劇增加。利用 Captive Portal 通知用戶不合規情況,並在完全阻止存取之前提供自助修復說明。

IoT 設備身分驗證失敗在場域環境中是不可避免的。無周邊的 IoT 設備無法支援 802.1X 或 ZTNA 用戶端。解決方案是採用 MAC 身分驗證繞過 (MAB),結合嚴格的設備分析和嚴格的 VLAN 區隔,將 IoT 流量與企業資源隔離。

API 整合健康狀況監控經常被忽視。如果 NAC 和 ZTNA 之間的同步中斷,就會存在兩個系統都無法獨立解決的安全漏洞。對整合健康狀況實施專門的監控和警報,並定義安全防護策略,如果同步遺失超過定義的閾值,則觸發自動存取限制。

投資報酬率與業務影響

NAC 和 ZTNA 的融合帶來了超越風險緩釋的可衡量業務價值。整合策略管理減輕了 IT 團隊的行政負擔,使他們能夠專注於策略性倡議,而不是管理分散的安全孤島。消除傳統 VPN 顯著改善了混合工作體驗,減少了停機時間和挫折感,同時提高了遠端用戶的應用程式效能。

展示持續狀態評估和基於身分的存取控制的能力,簡化了 PCI DSS 和 GDPR 等框架的合規性報告,這在 Transport 和零售環境中尤為重要,因為這些環境中的持卡人資料和個人資料保護義務非常嚴格。部署了融合架構的組織一致報告,遏制安全事件的平均時間 (MTTC) 有所減少,因為雙向策略強制執行實現了自動隔離,而無需手動干預。

关键定义

网络访问控制 (NAC)

一种对寻求访问网络基础设施的设备强制执行策略的安全解决方案,通常利用 IEEE 802.1X 进行认证和态势评估,以确定 VLAN 分配和访问权限。

对于保护本地环境至关重要,确保只有合规且授权的设备能够连接到公司交换机和无线接入点。IT 团队在管理物理办公室和场地网络时会遇到此问题。

零信任网络访问 (ZTNA)

一种 IT 安全解决方案,根据定义的访问控制策略提供对应用和服务的安全远程访问,基于最小权限和持续身份验证而非网络位置的原则运行。

通过提供基于身份的微隔离取代传统 VPN,仅授予对特定应用的访问权限,而不是整个网络。在保护远程工作者和云应用访问时相关。

微隔离

将网络划分成隔离段以减少攻击面并防止威胁行为者横向移动的实践,在应用或工作负载级别而非网络边界上实施。

ZTNA 在应用层应用此概念,确保被攻破的端点无法横向移动访问未授权资源。IT 团队在设计零信任架构时会遇到此问题。

态势评估

在授予网络或应用访问权限之前评估设备安全状态的过程——包括操作系统版本、活动的杀毒软件、安装的证书和补丁级别。

NAC 的核心功能,确保漏洞或被攻破的设备在与公司网络交互之前被隔离或修复。在设备入网和持续监控期间相关。

IEEE 802.1X

一种用于基于端口的网络访问控制的 IEEE 标准,为希望连接到 LAN 或 WLAN 的设备提供认证机制,使用 EAP(可扩展认证协议)通过网络介质。

企业网络认证的黄金标准,提供设备身份的强大加密验证。IT 团队在配置交换机、无线控制器和 RADIUS 服务器时会遇到此标准。

RADIUS (远程认证拨入用户服务)

一种网络协议,为连接和使用网络服务的用户提供集中式认证、授权和计费 (AAA)管理,充当 NAC 与身份提供者之间的通信层。

NAC 解决方案用于与身份提供者通信并执行访问策略的后端协议。在将 NAC 与 Active Directory 或云 IdP 集成时相关。

MAC 认证旁路 (MAB)

NAC 解决方案为不支持 802.1X 的设备使用的一种后备认证方法,依赖设备的 MAC 地址作为标识符来分配网络访问策略。

对于容纳无头设备——打印机、物联网传感器、数字标牌——在企业环境中是必要的。安全性低于 802.1X,需要严格的 VLAN 分割以减轻 MAC 欺骗风险。

身份提供者 (IdP)

一种系统实体,在联合或分布式网络中创建、维护和管理主体身份信息,同时向依赖应用提供认证服务。

用户身份的中心真相来源,与 NAC 和 ZTNA 集成以确保一致的认证策略。IT 团队在跨企业系统配置 SSO 和 MFA 时会遇到此问题。

VLAN (虚拟局域网)

物理网络的逻辑细分,将设备分组到隔离的广播域,实现流量分割而无需单独的物理基础设施。

在共享物理网络内隔离不同设备类别——公司、访客、物联网——的主要机制。对于遵守 PCI DSS 要求的持卡人数据环境隔离至关重要。

应用实例

一家拥有 500 个地点的全球零售连锁店需要为经常往返于门店、公司总部和远程家庭办公室的区域经理保障访问安全。他们目前经常遇到 VPN 断开连接,以及对云托管库存管理应用的访问不一致的问题。

在所有地点实施融合的 NAC/ZTNA 架构。通过 NAC 部署 802.1X,实现无缝、安全的访问,当经理在门店或总部时,通过集成 Azure AD 的集中式 RADIUS 服务器进行认证。在所有公司笔记本电脑上部署 ZTNA 客户端。通过 API 集成 NAC 和 ZTNA 策略引擎,配置 Webhook 通知以实现即时态势更新。当经理连接到门店网络时,NAC 认证设备并将“受信任的内部”上下文共享给 ZTNA 中介。然后,ZTNA 中介授予对云托管库存应用的直接、优化访问,无需 VPN 隧道,减少延迟并消除断连问题。当经理在家工作时,ZTNA 客户端建立一条安全微隧道到应用,维持相同的访问策略,不依赖公司网络边界。店内的访客和物联网设备通过 Purple 的 Guest WiFi 平台管理,隔离在单独的 VLAN 上。

考官评语: 这种方法通过提供无缝、上下文感知的访问(无论位置如何),解决了与传统 VPN 相关的用户体验问题。API 集成确保持续评估安全态势,降低被攻破设备访问关键应用的风险。关键的架构决策是‘本地边缘’路由——当在公司网络上时,ZTNA 流量应路由到本地中介,而不是通过云中介发夹式路由,后者会抵消延迟优势。

一个大型会议中心需要为公司员工提供安全的 WiFi,同时隔离每天数千次访客连接和第三方供应商的物联网设备,包括数字标牌、BLE 信标和环境传感器。

部署一个强大的 NAC 解决方案,配置严格的 VLAN 分割,分为三个不同的层级。第一层:公司员工设备通过 802.1X 认证,并被分配到一个安全的内部 VLAN,具有对内部管理系统的完全访问权限。第二层:实施 Purple 的 Guest WiFi 平台来管理公共访问,捕获有价值的分析,同时确保通过专用的访客 VLAN 与公司网络完全隔离,仅提供互联网访问。第三层:对于供应商物联网设备,利用 MAC 认证旁路 (MAB) 结合深度设备分析——分析 DHCP 指纹、HTTP 用户代理和流量模式——准确识别设备类型,并将其分配到受限的、仅限互联网访问的 VLAN。集成 ZTNA,使公司员工能够从场所内任何位置或远程安全访问内部管理应用。对于 BLE 信标基础设施,请参阅 BLE 低能耗企业应用解析 指南以了解集成注意事项。

考官评语: 这个场景凸显了在单一物理环境中处理多样化设备类型的必要性。三层分割模型是正确的方法——试图在单一的策略框架内管理所有设备类型,不可避免地导致过于宽松或过于严格的策略。在此场景中,使用 Purple 的 Guest WiFi 平台处理访客层尤为相关,因为它既提供了所需的安全隔离,又提供了场馆运营所需的分析能力。

练习题

Q1. 您的组织正在部署 ZTNA 以取代传统 VPN。然而,返回公司办公室的用户在访问本地托管在本地数据中心的应用时遇到延迟,因为 ZTNA 流量通过云托管的中介路由。推荐的架构解决方案是什么?

提示:考虑 ZTNA 客户端如何根据用户的物理网络上下文确定最佳路径到达应用。

查看标准答案

在企业数据中心内部署本地边缘或本地 ZTNA 中介。配置 ZTNA 客户端,当设备通过 NAC 认证在内部企业网络上时,直接将流量通过内部中介路由到本地应用,而不是通过云托管中介发夹式路由。这降低了本地应用的延迟,同时保持相同的基于身份的访问控制。通过 API 共享的 NAC 上下文应该向 ZTNA 中介信号设备在受信任的内部网络上,从而启用本地路由决策。

Q2. 一个医院的 IT 团队需要保护数百个连接的医疗设备——输液泵、患者监护仪、成像设备——这些设备无法运行 802.1X 请求方或 ZTNA 客户端。这些设备在融合的 NAC/ZTNA 架构中应如何保护?

提示:考虑后备认证方法以及对于无法参与基于身份控制的设备的网络级隔离原则。

查看标准答案

在 NAC 解决方案上利用 MAC 认证旁路 (MAB),结合使用 DHCP 指纹、HTTP 用户代理和流量行为分析的深度设备分析,准确识别和分类每种医疗设备类型。一旦识别,NAC 动态地将这些设备分配到高度受限、隔离的 VLAN,仅允许与特定的、所需的医疗服务器和系统通信——默认阻止所有其他流量。ZTNA 不适用于这些设备;安全完全依赖于严格的网络分割和持续流量监控异常行为。确保医疗设备 VLAN 与持卡人数据环境完全隔离,以维持 PCI DSS 合规。

Q3. 在生产部署期间,NAC 和 ZTNA 解决方案之间的 API 集成悄无声息地失败了——没有触发警报。公司网络上的一台用户笔记本电脑随后感染了恶意软件。描述预期的安全结果,并指出允许这种情况发生的架构差距。

提示:分析上下文同步中断对每个策略引擎的独立影响,并考虑原本应该存在的监控。

查看标准答案

NAC 解决方案将通过 EDR 集成检测到态势降级,并在本地网络上隔离该设备,防止在公司环境内横向移动。但是,由于 API 集成无声失败,ZTNA 中介未收到更新的态势上下文。如果用户尝试访问云应用,并且初始身份认证令牌仍然有效且未过期,ZTNA 客户端可能仍会建立连接。架构差距有两方面:第一,缺少对 API 集成本身的健康监控;第二,缺少在上下文同步丢失超过预定义阈值时触发自动访问限制的故障安全策略。补救措施是实现带有警报的集成健康专门监控,配置 ZTNA 中介要求定期态势重新验证(不仅仅是初始认证),并定义默认拒绝策略,如果 NAC 上下文反馈在指定间隔内不可用,则激活该策略。

保护混合办公:结合 NAC 和 ZTNA 实现无缝访问 | 技术指南 | Purple