零信任WiFi架构：将零信任应用于场馆网络

零信任WiFi架构：将零信任应用于场馆网络。Purple企业简报。 欢迎。如果您是负责酒店集团、零售地产、体育场或会议中心的网络架构师、IT安全负责人或CTO，这份简报是为您准备的。在接下来的十分钟内，我们将穿透围绕零信任的噪音，为您提供一个实用的、可部署的框架，将其应用于您的无线基础设施。不为了理论而理论。只提供您在本季度做出合理决策所需的内容。 让我们从背景开始。 “零信任”一词自2010年John Kindervag在Forrester首次提出以来一直在流传。但对于大多数场馆运营商来说，它仍然是一个与企业数据中心和云安全相关的抽象概念。现实情况是，您的无线网络——您的客人、员工、承包商和物联网设备共享的那个网络——正是零信任原则带来最直接风险降低的地方。而实施它的工具今天已经可用，无需全面改造基础设施。 那么零信任对WiFi到底意味着什么？其核心，零信任是一个基于三个原则的安全模型：永不信任，始终验证；假设泄露；并执行最小权限访问。应用于无线网络，这意味着您不再将网络连接作为信任的代理。设备已成功关联到您的接入点并向您的SSID认证这一事实并不意味着它应被信任去访问您的内部系统、POS网络或楼宇管理基础设施。 传统的基于边界的安全假设网络内部的任何东西都是安全的。在场馆环境中——您可能在同一个物理基础设施上拥有数百个访客设备、数十台承包商笔记本电脑、物联网传感器、支付终端和员工手持设备——这种假设是灾难性错误的。 让我们谈谈零信任WiFi的四大支柱。 第一支柱是持续验证。这超越了大多数WiFi部署所依赖的一次性认证握手。当设备通过WPA2-Enterprise或WPA3连接到您的网络时，它认证一次。但30分钟后，当该设备的状态发生变化——VPN客户端断开连接，安全代理停止运行，或者设备被交给其他人时，会发生什么？在零信任模型中，验证是持续的。您使用RADIUS配置中的会话重新认证计时器，结合网络访问控制策略，定期重新评估设备是否应保留其当前访问级别。 第二支柱是最小权限访问。您网络上的每个设备和用户都应获得执行其功能所需的最低限度的访问权限。酒店客人的智能手机需要互联网访问，别无其他。POS终端需要访问支付网关，别无其他。设施经理的平板电脑需要访问楼宇管理系统，别无其他。这是通过动态VLAN分配来执行的——您的RADIUS服务器根据认证的身份或设备配置文件返回一个VLAN属性，将每个设备放入逻辑隔离的网络段。 第三支柱是微隔离。这是网络层上最小权限的架构表达。不是所有设备都可以横向通信的扁平网络，而是将您的无线基础设施划分为离散的段——通常映射到VLAN——每个段都有自己的防火墙策略。在零售环境中，这意味着您的访客WiFi、员工WiFi、支付终端和库存管理系统都位于不同的段上，它们之间有明确的、策略控制的路径。受感染的访客设备无法横向移动到您的POS网络，因为这些段之间没有允许的路由。 第四支柱是设备状态强制。这是零信任WiFi真正强大的地方。使用与您的RADIUS基础设施集成的网络访问控制解决方案，您可以在连接点评估设备的安全状态——并在之后持续评估。设备是否已注册到您的MDM平台？操作系统是否已修补到最新版本？端点安全代理是否正在运行？未通过状态检查的设备被放入隔离VLAN，只能访问补救资源，而不是被完全拒绝，这会产生运营摩擦。 现在让我们进入架构。 零信任WiFi的基础是IEEE 802.1X，即基于端口的网络访问控制标准。当设备尝试连接时，接入点充当认证器，将凭据转发到RADIUS服务器——认证服务器——该服务器验证身份并返回访问策略属性。这是您零信任执行的控制平面。 对于设备身份，您有两个主要选择。使用EAP-TLS的基于证书的认证是黄金标准——它完全消除了凭据钓鱼风险，并且对于您通过MDM或端点管理平台控制的任何设备都是强制性的。对于访客和BYOD场景，PEAP与MSCHAPv2仍然广泛部署，但您应尽可能向EAP-TLS迁移。如果您想详细了解这些方法之间的技术权衡，Purple比较EAP方法的指南——涵盖PEAP、EAP-TLS、EAP-TTLS和EAP-FAST——在最终确定您的认证架构之前值得回顾。 WPA3是支撑现代零信任WiFi的加密层。采用192位模式的WPA3-Enterprise为处理支付卡数据或敏感个人信息的环提供了所需的加密强度。WPA3的等时认证握手消除了使WPA2-Personal网络变得极易受离线字典攻击的漏洞。如果您仍然在任何处理纯访客互联网访问之外的任何段上运行WPA2-Personal的共享密码，这需要改变。 让我带您了解两个实际实施场景。 首先，一个在英国拥有多处物业的350间客房酒店集团。挑战：一个扁平网络架构，其中访客设备、员工设备、IP摄像机、智能电视和物业管理系统都在同一个VLAN上。一台受感染的访客设备有可能到达PMS并窃取客人记录——一个GDPR噩梦。解决方案部署了四个VLAN：访客互联网、员工企业、物联网和楼宇系统，以及PMS访问。通过酒店的MDM平台为员工设备部署了基于证书认证的802.1X。访客设备通过Captive Portal认证，基于MAC的RADIUS策略仅允许互联网访问。物联网设备通过MACOUI进行剖析，自动放入物联网VLAN，防火墙规则只允许每种设备类型所需的特定端口。PMS VLAN仅限于已知MAC地址的白名单，并采用802.1X证书认证。部署后，横向移动的攻击面减少了90%以上，该物业实现了与GDPR对网络可访问个人数据的数据最小化要求的一致。 第二个场景：一家拥有200家门店的英国大型零售连锁店。这里的合规驱动因素是PCI DSS——特别是要求将持卡人数据环境与其他网络段隔离。现有架构中，POS终端与员工生产力网络和客户WiFi在同一无线基础设施上。零信任部署创建了三个段：客户访客WiFi，在RADIUS层互联网仅允许访问，员工WiFi采用基于角色的VLAN分配——商店经理获得比销售助理更广泛的访问权限——以及专用的POS段，采用WPA3-Enterprise、EAP-TLS证书认证，并强制执行仅允许流向支付网关流量的严格防火墙规则。RADIUS记账日志被集成到SIEM平台中，为PCI DSS要求10提供审计追踪。结果是每年QSA评估的范围明显减少，大幅降低了合规开销。 现在，实施建议和要避免的陷阱。 在您接触任何配置之前，从网络审计开始。映射网络上的每种设备类型、其认证方法和当前的VLAN位置。如果不知道要分段什么，您就无法设计最小权限架构。 从第一天起就以高可用性配置部署RADIUS。一个单一的RADIUS服务器是整个认证基础设施的单点故障。对于任何生产环境，主动-被动或主动-主动配置的两台服务器是最低可行的部署。 不要试图同时迁移所有SSID。从您风险最高的段开始——通常是离支付系统或敏感数据最近的段——并将其迁移到具有VLAN强制功能的802.1X。验证策略，解决边缘情况，然后扩展。 我在场馆部署中看到的最常见陷阱是MAC地址绕过问题。许多物联网设备——打印机、智能电视、楼宇传感器——不支持802.1X。诱惑是通过MAC地址将其列入白名单。这作为过渡措施是可以接受的，但MAC地址很容易被欺骗。中期目标应该是设备剖析——使用DHCP指纹识别、HTTP用户代理分析和流量行为分析来动态分类设备，而不是仅依赖MAC地址。 第二个常见陷阱是过度分割。创建太多VLAN会增加操作复杂性，并可能在合法流量被阻止时导致意外的应用程序故障。从四到六个段开始，彻底验证，仅在风险状况需要时才增加粒度。 现在，快速问答，回答我最常听到的问题。 零信任WiFi能与不支持802.1X的传统设备一起工作吗？可以，通过MAC认证旁路结合设备剖析。设备根据其配置文件被放入受限VLAN，访问仅限于其所需的特定资源。 零信任WiFi需要更换现有接入点吗？在大多数情况下，不需要。过去五年内制造的任何企业级接入点都支持802.1X、动态VLAN分配和多个SSID。投资主要在于RADIUS基础设施、NAC策略和防火墙规则——而非硬件。 这与SD-WAN如何交互？非常直接。SD-WAN提供广域网层的分段和策略执行，与您的无线微隔离相辅相成。离开VLAN段的流量可以通过SD-WAN策略引导到适当的上游路径——这一主题在Purple关于现代企业SD-WAN优势的指南中有深入阐述。 合适的会话重新认证间隔是多少？对于采用基于证书认证的员工设备，八小时是一个合理的起点。对于访客设备，与您的会话超时策略对齐——通常两到四小时。对于物联网设备，重新认证应由状态变化事件触发，而不是固定计时器。 总结本次简报的关键要点。 零信任WiFi不是一个产品——它是一个基于802.1X、动态VLAN分配、设备状态强制和持续验证的架构。使能标准是IEEE 802.1X、WPA3-Enterprise和具有动态属性返回的RADIUS。微隔离是无线网络上最小权限的实际表达——四到六个定义明确的段覆盖了绝大多数场馆用例。对于所有托管设备，EAP-TLS基于证书的认证是目标状态。对于传统物联网，MAC认证旁路是一个可接受的桥梁，但设备剖析应该是中期目标。从您风险最高的段开始，验证，然后扩展。 您的下一步：进行设备和VLAN清单，评估当前RADIUS基础设施的高可用性准备情况，并确定您风险最高的网络段作为试点部署目标。Purple平台提供构成此架构基础的RADIUS策略引擎、VLAN强制执行和基于MAC的控制——而WiFi分析层则为您提供验证策略是否按预期工作的可见性。 感谢您的收听。这是Purple关于零信任WiFi架构的企业简报。