跳至主要内容
简体中文

零信任网络访问:实施策略与最佳实践

本技术参考指南为IT领导者和网络架构师提供了一个在企业场馆中实施零信任网络访问(ZTNA)的务实蓝图。它涵盖了核心架构、微分段策略以及逐步部署方法论,以在不中断运营的情况下保护复杂环境。

📖 4 分钟阅读📝 946 🔧 2 应用实例3 练习题📚 8 关键定义

收听本指南

查看播客转录
零信任网络访问:实施策略与最佳实践 Purple情报简报——时长:约10分钟 --- 介绍与背景——约1分钟 欢迎收听Purple情报简报。我是主持人,今天我们直接切入主题:零信任网络访问——它在实践中究竟意味着什么,为什么传统的基于边界的安全模型在高密度场馆环境中不再适用,以及您的组织如何在不使运营陷入停滞的情况下实施ZTNA。 无论您是在经营一家拥有500间客房的酒店、一个区域性零售园区、一个会议中心,还是一个公共部门园区,威胁环境已经发生了根本性的变化。假设您网络内部的任何事物都是可信的,坦率地说,这是危险的。勒索软件、横向移动攻击和恶意物联网设备已经使这一假设过时。ZTNA用一个简单而强大的原则取而代之:验证一切,默认不信任任何事物,并在每一层执行最小权限访问。 在接下来的十分钟里,我们将逐步讲解架构、实施顺序、要避免的陷阱,以及您需要向董事会或预算负责人提交的商业案例。让我们开始吧。 --- 技术深度剖析——约5分钟 让我们从架构开始。零信任网络访问框架建立在五个核心支柱之上:基于身份的访问控制、设备状态验证、微分段、持续身份验证和实时威胁检测。这些不是独立的功能——它们是相互依赖的层级,只有在共同部署时才能发挥全部价值。 基于身份的访问控制是您的基础。在ZTNA下,访问决策是基于经过验证的身份做出的——而不是网络位置。这与传统模型有着根本的不同,在传统模型中,位于企业局域网内就足以访问内部资源。在场馆环境中,这意味着您的访客WiFi用户、员工、承包商和物联网设备,每个都在完全独立的身份策略下运行。连接到访客网络的酒店客人永远不应能够访问物业管理系统,无论他们位于哪个VLAN。IEEE 802.1X在此提供了身份验证框架,当与WPA3加密相结合时,您就拥有了身份强制访问的稳健基线。 设备状态验证增加了第二个维度。仅仅知道谁在连接是不够的——您需要知道什么在连接,以及该设备是否符合您的安全基线。操作系统是否已打补丁?端点保护是否已激活?设备是否已在您的MDM中注册?对于受管企业设备,这很简单。对于BYOD和访客设备,您应用不同的策略层级——通常是仅限互联网访问,没有通往内部资源的路由。策略引擎在连接时动态地做出这一决定,并在整个会话期间持续重新评估。 微分段是ZTNA在场馆环境中提供的一些最切实的运营价值的地方。与依赖带有宽泛VLAN分隔的扁平网络不同,微分段在网络段之间创建细粒度的、策略强制的边界。在零售环境中,您的销售点系统、访客WiFi、库存管理终端和楼宇管理物联网设备,每个都应该位于隔离的网段中,除非明确授权,否则不允许它们之间有任何东西向流量。这对于PCI DSS合规性至关重要——持卡人数据环境必须隔离,而微分段就是在网络层强制实施这种隔离的机制。访客WiFi网段中的入侵根本无法传播到支付网络。 持续身份验证超越了传统的“一次验证,永远连接”的模式。在ZTNA下,策略引擎在整个连接期间监控会话行为。异常的流量模式——异常的数据量、连接到意外的目的地、协议偏差——会触发重新身份验证或会话终止。这在像体育场和会议中心这样客流量大、访客人群快速更替、会话劫持或凭据共享风险较高的环境中尤其相关。 实时威胁检测与您的SIEM和网络监控工具集成,以提供所有网段的可见性。在零信任模型中,您生成的遥测数据比传统的基于边界的网络要多得多——每个访问请求都被记录,每个策略决策都被记录。这些数据就是您的早期预警系统。异常检测算法可以在横向移动尝试、异常身份验证模式和流向已知恶意端点的流量成为事件之前标记它们。 现在,让我们谈谈支撑这一切的标准。IEEE 802.1X是您用于有线和无线网络访问控制的身份验证标准。RADIUS服务器——无论是本地部署还是云托管——位于您的接入点后面,执行策略决策。WPA3为无线网段提供了加密基线。对于处理支付数据的组织,PCI DSS 4.0版本要求网络分段和访问控制,这些要求与ZTNA架构直接一致。对于在欧盟运营或处理欧洲访客数据的组织,GDPR第32条要求采取适当的技术措施来保护个人数据——而ZTNA的基于身份的访问控制和审计日志记录直接满足了这一要求。 还有一个值得强调的技术点:ZTNA不是单一产品。它是一种架构模型。您可能会结合使用软件定义边界或SDP解决方案、云交付的安全服务边缘或SSE平台、您现有的网络访问控制基础设施和您的身份提供商来实现它。这些组件的集成——以及它们之间的策略一致性——是大多数实施成败的关键所在。 --- 实施建议与陷阱——约2分钟 好的。让我们谈谈您如何实际部署,以及组织通常在哪里出错。 实施顺序非常重要。从发现和分类开始。在您能够执行零信任策略之前,您需要一份网络上每个设备、用户和工作负载的完整且准确的清单。在场馆环境中,这通常是最耗时的阶段——特别是物联网设备经常未记录、运行旧固件,并连接到它们不应有的网段。在您进行任何策略更改之前,使用网络发现工具建立该清单。 第二阶段是分段设计。将您的网段映射到您的业务功能和合规性要求。在酒店业中,这通常意味着五到六个网段:访客WiFi、员工运营、支付系统、楼宇管理、后台,以及可能用于会议或活动基础设施的专用网段。定义网段之间允许的流量——并且要保守。默认拒绝是您的朋友。 第三阶段是身份集成。将您的ZTNA策略引擎连接到您的身份提供商——无论是Active Directory、Azure AD、Okta还是基于云的身份服务。对于访客用户,您的强制门户或社交登录流程成为身份声明机制。例如,Purple的访客WiFi平台在连接点捕获经过验证的身份,并将该上下文传递给下游策略执行点。 第四阶段是策略推出。从监控模式开始——在强制执行策略之前,以仅观察模式部署策略。这使您能够看到哪些流量会被阻止,而不会造成运营中断。运行监控模式两到四周,查看日志,细化您的策略,然后过渡到强制执行。 我看到的最常见的陷阱是,组织跳过发现阶段,直接跳到策略强制执行。结果总是一样的:合法的业务流量被阻止,运营团队提出事件,而ZTNA项目因自己未造成的停机而受到指责。做好发现工作。它会带来回报。 第二个主要陷阱是将ZTNA视为一次性部署。零信任是一项持续的运营纪律。您的设备清单每天都在变化。新应用程序被部署。员工角色发生变化。您的策略需要随着环境的发展而演变。从第一天起,就将运营流程——定期策略审查、设备清单审计、异常警报分类——纳入您团队的工作流程中。 --- 快速问答——约1分钟 让我快速回答一些我经常从考虑ZTNA部署的IT团队那里听到的问题。 “ZTNA是否取代我们的VPN?”在大多数情况下,是的——对于内部应用程序访问。与传统的VPN相比,ZTNA提供了更细粒度、更注重身份的访问控制,并且显著减少了攻击面。VPN授予广泛的网络访问权限;ZTNA根据经过验证的身份和设备状态授予对特定应用程序或资源的访问权限。 “ZTNA如何与我们现有的防火墙基础设施交互?”ZTNA补充您的防火墙。您的边界防火墙处理南北向流量;ZTNA策略强制执行处理东西向流量和基于身份的访问决策。它们不是相互排斥的。 “对最终用户体验的影响是什么?”如果做得好,影响很小。对于使用受管设备的员工来说,身份验证体验基本上是透明的——通过802.1X的基于证书的身份验证不需要用户交互。对于访客来说,强制门户或社交登录流程是唯一可见的接触点。 “一次完整的ZTNA部署需要多长时间?”对于一个中等规模的场馆园区——比如十到二十个站点——预计需要六到十二个月进行分阶段推出。单站点部署可以在八到十二周内完成。 --- 总结与后续步骤——约1分钟 总结一下:零信任网络访问不是一个未来的愿望——它是任何运行高密度、多用户网络环境的组织当前的运营要求。基于身份的访问控制、微分段、持续身份验证和实时威胁检测的组合,为您提供了比传统基于边界的模型更强大、更可审计的安全态势。 您的后续步骤:如果您最近没有进行过,委托进行网络发现和分段审计。评估您的身份提供商集成选项。如果您在大规模运行访客WiFi,请查看您的访客访问平台如何与您更广泛的ZTNA策略框架集成——因为在零信任架构中,访客身份是一等公民,而不是事后才考虑的。 有关保护访客网络环境的更多信息,Purple的实施指南和分析平台文档是一个坚实的起点。链接在节目注释中。 感谢收听。下次再见。 --- 脚本结束 以每分钟约130个词的专业稳定语速计算,总预计时长:10分钟。 词数:约1,300词。

header_image.png

कार्यकारी सारांश

पारंपरिक परिधि-आधारित सुरक्षा मॉडल अब पुराना हो चुका है। 500 कमरों वाले होटलों से लेकर बड़े रिटेल परिसरों और अत्यधिक भीड़ वाले स्टेडियमों जैसे एंटरप्राइज़ स्थानों के लिए, यह मान लेना कि आंतरिक नेटवर्क ट्रैफ़िक स्वाभाविक रूप से सुरक्षित है, एक गंभीर संवेदनशीलता है। Zero Trust Network Access (ZTNA) इस त्रुटिपूर्ण धारणा को एक सख्त, पहचान-संचालित ढांचे से बदल देता है: हर चीज़ को सत्यापित करें, डिफ़ॉल्ट रूप से किसी पर भरोसा न करें, और हर स्तर पर न्यूनतम-विशेषाधिकार (least-privilege) एक्सेस लागू करें।

यह संदर्भ मार्गदर्शिका IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और वेन्यू ऑपरेशंस निदेशकों को Zero Trust Network Access कार्यान्वयन के लिए एक व्यावहारिक खाका प्रदान करती है। यह अकादमिक सिद्धांत को छोड़कर व्यावहारिक तैनाती पर ध्यान केंद्रित करती है: पहचान प्रदाताओं (identity providers) को एकीकृत करना, जटिल विरासत (legacy) परिवेशों में माइक्रोसेगमेंटेशन लागू करना, और प्रबंधित कॉर्पोरेट एंडपॉइंट्स और अप्रबंधित गेस्ट डिवाइस दोनों के लिए डिवाइस पोस्चर सत्यापन का प्रबंधन करना। इन रणनीतियों को लागू करके, वेन्यू अपने Guest WiFi बुनियादी ढांचे को सुरक्षित कर सकते हैं, PCI-DSS अनुपालन बनाए रखने के लिए भुगतान प्रणालियों को अलग कर सकते हैं, और उपयोगकर्ता अनुभव को प्रभावित किए बिना महत्वपूर्ण परिचालन तकनीक की रक्षा कर सकते हैं।

तकनीकी गहन विश्लेषण

एक मजबूत Zero Trust Network Access आर्किटेक्चर कई मुख्य घटकों के समन्वय पर निर्भर करता है, जो सुरक्षा परिधि को नेटवर्क एज से हटाकर व्यक्तिगत पहचान और डिवाइस पर स्थानांतरित करता है।

पहचान-आधारित एक्सेस नियंत्रण

ZTNA मॉडल में, एक्सेस के निर्णय नेटवर्क स्थान के बजाय पूरी तरह से सत्यापित पहचान पर आधारित होते हैं। बैक ऑफिस में स्विच पोर्ट से कनेक्ट होने वाले उपयोगकर्ता को सार्वजनिक एक्सेस पॉइंट से कनेक्ट होने वाले गेस्ट की तुलना में अधिक अंतर्निहित विश्वास नहीं मिलता है। वेन्यू परिवेशों में, पहचान नीतियों को अत्यधिक भिन्न उपयोगकर्ता श्रेणियों के अनुकूल होना चाहिए।

कर्मचारियों और ठेकेदारों के लिए, प्रमाणीकरण आमतौर पर एक केंद्रीय निर्देशिका (जैसे, Active Directory या Azure AD) से जुड़े IEEE 802.1X पर निर्भर करता है। गेस्ट उपयोगकर्ताओं के लिए, पहचान का सत्यापन कैप्टिव पोर्टल या सोशल लॉगिन तंत्र के माध्यम से होता है। Purple का प्लेटफ़ॉर्म इस संदर्भ में एक महत्वपूर्ण पहचान प्रदाता के रूप में कार्य करता है, जो कनेक्शन के समय सत्यापित पहचान को कैप्चर करता है और इस संदर्भ को डाउनस्ट्रीम नीति प्रवर्तन बिंदुओं पर भेजता है।

डिवाइस पोस्चर सत्यापन

केवल पहचान ही पर्याप्त नहीं है; कनेक्ट होने वाले एंडपॉइंट को भी सत्यापित किया जाना चाहिए। डिवाइस पोस्चर सत्यापन एक्सेस देने से पहले डिवाइस की सुरक्षा स्थिति का आकलन करता है। प्रबंधित कॉर्पोरेट उपकरणों के लिए, इसमें सक्रिय एंडपॉइंट सुरक्षा, OS पैच स्तर और MDM नामांकन की जांच करना शामिल है।

अप्रबंधित उपकरणों के लिए—जैसे कि Guest WiFi नेटवर्क पर मौजूद उपकरण—पोस्चर चेकिंग सीमित होती है, जिसके लिए आंतरिक रूटिंग के लिए डिफ़ॉल्ट-अस्वीकार (default-deny) नीति की आवश्यकता होती है। इन उपकरणों को केवल-इंटरनेट एक्सेस वाले एक अलग सेगमेंट में रखा जाता है। नीति इंजन कनेक्शन के समय और पूरे सत्र के दौरान लगातार इन मापदंडों का गतिशील रूप से मूल्यांकन करता है।

ztna_architecture_overview.png

निरंतर प्रमाणीकरण और खतरा पहचान

पारंपरिक नेटवर्क एक बार प्रमाणित करते हैं और सत्र को अनिश्चित काल तक बनाए रखते हैं। ZTNA निरंतर प्रमाणीकरण को अनिवार्य बनाता है। नीति इंजन सत्र के व्यवहार, डेटा की मात्रा और प्रोटोकॉल उपयोग की निगरानी करता है। असामान्य पैटर्न फिर से प्रमाणीकरण या तत्काल सत्र समाप्ति को ट्रिगर करते हैं। यह टेलीमेट्री SIEM प्लेटफ़ॉर्म को भेजी जाती है, जिससे वास्तविक समय में खतरे का पता लगाना और पार्श्व संचलन (lateral movement) के प्रयासों पर त्वरित प्रतिक्रिया संभव होती है।

कार्यान्वयन मार्गदर्शिका

लाइव वेन्यू परिवेश में ZTNA को तैनात करने के लिए परिचालन संबंधी व्यवधान से बचने के लिए एक चरणबद्ध, व्यवस्थित दृष्टिकोण की आवश्यकता होती है।

चरण 1: खोज और वर्गीकरण

नीतियों को संशोधित करने से पहले, आपको सभी उपकरणों, उपयोगकर्ताओं और वर्कलोड की एक व्यापक सूची स्थापित करनी होगी। Hospitality या Retail जैसे वेन्यू में, बिना दस्तावेज़ वाले IoT उपकरण और विरासत (legacy) प्रणालियाँ आम हैं। मौजूदा ट्रैफ़िक प्रवाह का मानचित्रण करने और सभी कनेक्टेड एंडपॉइंट्स की पहचान करने के लिए नेटवर्क खोज टूल का उपयोग करें।

चरण 2: सेगमेंटेशन डिज़ाइन

नेटवर्क सेगमेंट को व्यावसायिक कार्यों और अनुपालन आवश्यकताओं के अनुसार मैप करें। एक सामान्य वेन्यू को इनके लिए अलग सेगमेंट की आवश्यकता होती है:

  1. Guest WiFi: केवल-इंटरनेट एक्सेस।
  2. कर्मचारी संचालन: आंतरिक अनुप्रयोगों तक एक्सेस।
  3. भुगतान प्रणालियाँ (POS): PCI-DSS अनुपालन के लिए पूरी तरह से अलग।
  4. भवन प्रबंधन/IoT: आवश्यक नियंत्रण सर्वर तक सीमित।

डिफ़ॉल्ट-अस्वीकार (default-deny) रुख का उपयोग करके इन सेगमेंट के बीच अनुमत ट्रैफ़िक प्रवाह को परिभाषित करें।

चरण 3: पहचान एकीकरण

अपने ZTNA नीति इंजन को अपने पहचान प्रदाताओं के साथ एकीकृत करें। कर्मचारियों के लिए कॉर्पोरेट निर्देशिकाओं को कनेक्ट करें और गेस्ट पहचान को सत्यापित करने के लिए गेस्ट एक्सेस प्लेटफ़ॉर्म को कॉन्फ़िगर करें। सुनिश्चित करें कि प्रोफ़ाइल-आधारित प्रमाणीकरण तंत्र मजबूत और स्केलेबल हों ताकि वेन्यू की चरम क्षमता को संभाला जा सके।

चरण 4: नीति रोलआउट (निगरानी मोड)

शुरू में केवल-अवलोकन (observe-only) मोड में नीतियां तैनात करें। यह उस ट्रैफ़िक की दृश्यता प्रदान करता है जिसे ब्लॉक किया जाना है, जिससे आप वैध व्यावसायिक प्रक्रियाओं को बाधित किए बिना नियमों को परिष्कृत कर सकते हैं। 2-4 सप्ताह की निगरानी अवधि के बाद, प्रवर्तन (enforcement) मोड पर जाएं।

सर्वोत्तम प्रथाएँ

  1. उल्लंघन मान लें (Assume Breach): अपने नेटवर्क को इस धारणा के तहत डिज़ाइन करें कि हमलावर ने पहले ही एक एंडपॉइंट से समझौता कर लिया है। पार्श्व संचलन (lateral movement) के खिलाफ माइक्रोसेगमेंटेशन आपका प्राथमिक बचाव है।
  2. 802.1X और WPA3 का लाभ उठाएं: एक्सेस लेयर पर मजबूत प्रमाणीकरण और एन्क्रिप्शन लागू करें। परिनियोजन सहायता के लिए Windows 11 802.1X प्रमाणीकरण समस्याओं का निवारण मार्गदर्शिका देखें।
  3. गेस्ट पहचान को स्वचालित करें: उन प्लेटफ़ॉर्म का उपयोग करें जो अत्यधिक बाधा उत्पन्न किए बिना गेस्ट पहचान को सहजता से कैप्चर और सत्यापित करते हैं। Guest WiFi नेटवर्क को सुरक्षित करना: सर्वोत्तम प्रथाएँ और कार्यान्वयन देखें।
  4. IoT उपकरणों को अलग करें: IoT सेंसर और भवन प्रबंधन प्रणालियों को शायद ही कभी इंटरनेट एक्सेस या क्रॉस-सेगमेंट रूटिंग की आवश्यकता होती है। उन्हें पूरी तरह से अलग करें।

microsegmentation_infographic.png

समस्या निवारण और जोखिम शमन

Zero Trust Network Access कार्यान्वयन में सबसे आम विफलता मोड पर्याप्त खोज के बिना आक्रामक नीति प्रवर्तन है। इससे व्यवसाय-महत्वपूर्ण ट्रैफ़िक ब्लॉक हो जाता है और प्रोजेक्ट को वापस लेना पड़ता है।

जोखिम: विरासत (legacy) उपकरण (जैसे, पुराने POS टर्मिनल या HVAC नियंत्रक) आधुनिक प्रमाणीकरण प्रोटोकॉल का समर्थन नहीं कर सकते हैं। शमन: व्यापक ZTNA आर्किटेक्चर से समझौता किए बिना इन उपकरणों को सुरक्षित रूप से ऑनबोर्ड करने के लिए सख्त माइक्रोसेगमेंटेशन और प्रोफ़ाइलिंग के साथ संयुक्त MAC Authentication Bypass (MAB) का उपयोग करें।

जोखिम: भारी नीति प्रवर्तन ओवरहेड के कारण गेस्ट नेटवर्क का प्रदर्शन कम हो जाता है। शमन: गेस्ट ट्रैफ़िक रूटिंग को सीधे एज पर इंटरनेट पर ऑफ़लोड करें, जिससे गहन आंतरिक निरीक्षण इंजनों को बायपास किया जा सके, जब तक कि विशिष्ट खतरे की खुफिया जानकारी अन्यथा संकेत न दे।

ROI और व्यावसायिक प्रभाव

ZTNA को लागू करना जोखिम कम करने के अलावा मापने योग्य व्यावसायिक मूल्य प्रदान करता:

  • अनुपालन लागत में कमी: माइक्रोसेगमेंटेशन के माध्यम से कार्डधारक डेटा पर्यावरण (CDE) को पूरी तरह से अलग करके, वेन्यू PCI-DSS ऑडिट के दायरे और लागत को काफी कम कर देते हैं।
  • परिचालन लचीलापन: उल्लंघनों को एक ही सेगमेंट तक सीमित रखने से पूरे वेन्यू में होने वाले आउटेज को रोका जा सकता है, जिससे व्यस्त परिचालन घंटों के दौरान राजस्व प्रवाह सुरक्षित रहता है।
  • उन्नत विश्लेषण: ZTNA नीतियों द्वारा उत्पन्न विस्तृत पहचान और ट्रैफ़िक डेटा WiFi Analytics को समृद्ध करता है, जिससे उपयोगकर्ता के व्यवहार और नेटवर्क उपयोग के बारे में गहरी अंतर्दृष्टि मिलती है।

关键定义

微分段

将网络划分为隔离网段以减少攻击面并阻止横向移动的做法。

对于场馆IT团队而言,隔离POS系统与访客WiFi和员工网络至关重要,以确保合规性并遏制潜在入侵。

设备状态验证

在授予网络访问权限之前,评估端点安全状态(例如,操作系统版本、杀毒软件状态)的过程。

用于确保未打补丁或已受损的员工设备无法访问敏感的内部应用程序。

持续身份验证

持续监控用户会话,以确保其身份和行为保持有效且无异常。

在像体育场这样高流动性的环境中至关重要,用于检测会话劫持或异常数据外泄企图。

IEEE 802.1X

一种基于端口的网络访问控制标准,为希望连接到LAN或WLAN的设备提供身份验证机制。

网络架构师用于安全验证企业设备的基础协议。

横向移动

网络攻击者在搜索关键数据和资产时,逐步在网络中移动的技术。

ZTNA和微分段旨在消除扁平传统网络中的主要威胁。

软件定义边界(SDP)

一种安全方法,可以隐藏互联网连接的基础设施,使外部方和攻击者无法看到它,无论它托管在本地还是在云中。

通常用作部署ZTNA访问策略的技术实施机制。

最小权限访问

仅授予用户和系统执行其所需功能所需的最低访问权限的安全原则。

IT经理在ZTNA策略引擎中定义规则时必须使用的指导性策略框架。

MAC身份验证旁路(MAB)

一种回退身份验证方法,当设备不支持802.1X时,使用设备的MAC地址授予网络访问权限。

网络团队务实使用的方法,用于将传统物联网设备(如旧打印机或HVAC系统)加入隔离的网段。

应用实例

一家拥有400间客房的酒店需要在其所有客房部署新的智能电视。这些设备需要互联网访问以使用流媒体服务,并需要本地网络访问物业管理系统(PMS),以实现个性化问候和账单审查。在ZTNA模型下,应如何实施?

  1. 将所有智能电视置于专用的“客房娱乐”微分段中。 2. 配置策略以允许流媒体的出站互联网访问。 3. 实施严格的单向API网关策略,仅允许电视在特定端口(例如HTTPS/443)上查询PMS所需端点。 4. 拒绝各个电视之间的所有横向流量,并拒绝来自互联网的所有入站流量。
考官评语: 该方法遵循最小权限原则。通过隔离电视,单台设备因恶意流媒体应用而受损的情况无法扩散到其他电视或高度敏感的PMS网络。专用API网关的使用进一步检查并限制了跨网段流量。

一家大型零售连锁店正在为门店员工推出移动销售点(mPOS)平板电脑。这些平板电脑通过WiFi连接。您如何确保此部署的安全?

  1. 使用基于证书的IEEE 802.1XEAP-TLS)对平板电脑进行身份验证。 2. 通过MDM集成实施设备状态检查,以确保平板电脑在授予访问权限之前合规(已打补丁、未root)。 3. 将平板电脑动态分配到高度受限的“mPOS” VLAN/网段。 4. 仅允许流量流向特定的支付网关IP地址和内部库存API。
考官评语: 基于证书的身份验证可防止凭据被盗。状态检查确保受损设备无法连接。微分段确保即使mPOS平板电脑被入侵,也无法用于攻击更广泛的企业网络或访问访客WiFi网段。

练习题

Q1. 一位体育场IT总监希望允许第三方供应商(例如餐饮员工)通过体育场的WiFi访问他们自己的基于云的库存系统。应如何配置?

提示:考虑企业数据访问与第三方仅互联网访问之间的区别。

查看标准答案

创建一个专用的“供应商WiFi” SSID和微分段。使用强制门户或唯一的预共享密钥(WPA3-SAE)对供应商进行身份验证。配置网段策略仅允许出站互联网访问,严格拒绝任何到体育场内部运营网络或POS系统的路由。

Q2. 在ZTNA推出期间,运营团队报告仓库中几台传统条码扫描器停止工作。可能的原因和立即的解决方案是什么?

提示:想想当设备不支持现代身份验证协议时会发生什么。

查看标准答案

这些扫描器很可能不支持802.1X身份验证,并被新的默认拒绝策略阻止。立即的解决方案是为扫描器的特定MAC地址实施MAC身份验证旁路(MAB),并将它们置于一个高度受限的微分段中,该网段仅允许流量流向库存数据库服务器。

Q3. 一位CTO要求您证明在50个站点的零售园区实施微分段的成本是合理的。主要的业务理由是什么?

提示:重点关注风险遏制和合规性影响。

查看标准答案

主要的理由是风险遏制和合规范围缩减。通过对网络进行微分段,安全性较低的网段(如物联网设备或访客WiFi)中的入侵无法扩散到持卡人数据环境(CDE)。这极大地减少了年度PCI DSS审计的范围、复杂性和成本,同时防止局部事件演变为公司范围内的数据泄露。

继续阅读本系列