您的網路中可能已經有比您團隊能輕鬆追踪的還要多的身分識別。員工筆記型電腦、個人手機、印表機、智慧電視、POS 終端、掃描器、平板電腦、醫療器材、訪客設備、承包商、居民、多功能事務機。問題不只是它們能否連接,而是每一個設備是否「應該」連接、連接到什麼,以及在什麼條件下連接。
這就是人們開始提出一個非常實際的問題:到底什麼是網路存取控制( Network Access Control )?不是廠商簡報上的版本,而是營運實務上的版本。
簡單來說,網路存取控制(NAC)是一個原則層,用於決定誰和什麼設備可以進入您的網路,然後執行正確的存取層級。一個好的 NAC 部署不只是檢查使用者名稱並放行流量。它會識別設備、檢查其是否符合原則,並將其置於網路的正確部分,或者根本不允許其存取。
這在現今尤為重要,因為英國的組織正在應對高密度、高速且混合使用的環境。英國政府的 2024 年網路安全漏洞調查(Cyber Security Breaches Survey 2024)發現,50% 的英國企業在過去 12 個月內報告過網路安全漏洞或攻擊,其中大型企業的比例高達 74%( 此處參考英國漏洞數據 )。在這種背景下,預設允許任何具有 WiFi 訊號或乙太網路連接埠的設備進入網路簡直是自找麻煩。
數位警衛 - 為什麼每個網路都需要存取控制
想像一棟管理良好的大樓,設有接待處、旋轉閘門、員工證、訪客識別證和管制樓層。警衛不只是詢問是否有人到訪。他們會檢查身分、目的以及該人員應該被允許前往的地方。
NAC 對於網路也執行相同的工作。
防火牆仍然重要,但光靠它是不夠的。防火牆主要管理流量。NAC 則管理准入。它位於設備試圖加入網路的位置,並提出一組不同的問題:這是誰、這是什麼設備、它是否合規,以及它應該被允許存取什麼?
為什麼舊模式會失效
許多網路是圍繞著一個簡單的假設構建的:如果一個設備進入了內部,它基本上就是受信任的。在現代環境中,這種模式已經崩潰,因為「內部」包含了未受管理的電話、IoT 設備、訪客流量和臨時使用者。
幾個常見的例子:
- 承包商的筆記型電腦連接到財務人員使用的同一個無線環境。
- 訪客設備進入了一個未與內部服務乾淨隔離的網路。
- 共用平板電腦使用憑證進行驗證,但缺少了您的原則所要求的控制措施。
- 受侵害的端點獲得了正常存取權限,並開始進行橫向滲透。
這些都不是罕見的情境。它們是正常的運營現實。
實用規則:如果您無法在邊緣決定存取權限,最終就必須在網路更深處嘗試解決信任問題,而那裡的控制難度更高。
在英國,這就是為什麼 NAC 能夠自然融入 Zero Trust 網路存取方法 的原因。您不再假設位置等於信任。身處實體場所、連上 SSID 或接入有線網路,並不意味著使用者或裝置應該獲得廣泛的存取權限。
NAC 在實務上改變了什麼
NAC 帶來的最大轉變是:連線不等於信任。
與其給予裝置廣泛的存取範圍並依賴下游控制來解決問題,NAC 可以:
- 在授予正常存取權限之前驗證使用者和裝置
- 剖析端點特徵,使未知或未受管理的設備不會混入其中
- 套用基於角色的存取控制,使員工、訪客和裝置不會共享相同的網路體驗
- 隔離不合規的系統,而不是讓它們與生產資產混合在一起
這使 NAC 成為前線控制,而非事後清理層。在許多人和裝置共享相同實體基礎架構,但絕不應共享相同信任層級的場所中,它特別有用。
了解 NAC 的核心元件
NAC 看起來可能很複雜,因為有多個系統協同運作。一個實用的思考模型是城市的自動化交通系統:一個系統決定規則,一個系統驗證誰獲准通過,另一個系統則控制地面上的柵欄和車道變更。
這些部分就是原則引擎、驗證伺服器和執行點。
原則引擎
這是決策者。它接收有關使用者、裝置、位置、連線類型和狀態的輸入,然後將其對應至存取結果。
簡單來說,原則引擎回答以下問題:
- 這是員工筆記型電腦、訪客手機還是印表機?
- 使用者是否在正確的群組中?
- 此裝置是否已知且合規?
- 此工作階段應該獲得完整存取權限、僅限網際網路存取權限,還是修復存取權限?
原則引擎之所以重要,是因為 NAC 不僅僅是身分驗證檢查。它是一個原則執行系統。兩個人可以提供有效的身分,但仍會獲得不同的網路路徑,因為原則引擎處理情境的方式不同。
身分驗證伺服器
這是身分驗證器。在許多環境中,這代表 RADIUS,通常與目錄和身分識別系統相連結。
當裝置嘗試連線時,身分驗證伺服器會檢查提供的憑證或憑證,並回應核准、拒絕或網路可以使用的其他屬性。這些屬性可能包括角色、VLAN 分配或存取條件。
非專業人士常有的一個誤解是 NAC 和 RADIUS 是一樣的。它們並不相同。RADIUS 通常只是工作流程的一部分。NAC 使用該工作流程,然後在之上疊加原則與執行。
一個健全的 NAC 設計會將身分證明與存取意圖分離。身分驗證說明了「是誰」。NAC 則決定該身分在本次工作階段的此網路上「可以做什麼」。
執行點
網路執行其控制功能。執行點通常是授予、限制或拒絕連線的交換器、無線控制器或 access point。
如果原則規定「僅限網際網路」,執行點可以將端點引導至訪客 VLAN 或受限角色。如果原則規定「隔離」,端點就會被隔離。如果原則規定「拒絕」,它就無法前往任何地方。
一個簡單的視圖如下所示:
| 元件 | 主要工作 | 典型範例 |
|---|---|---|
| 原則引擎 | 套用存取邏輯 | NAC 平台 |
| 身分驗證伺服器 | 驗證身分 | RADIUS 服務 |
| 執行點 | 變更網路存取 | 交換器、AP、控制器 |
在營運上最重要的是這些元件之間的交接。如果身分資料薄弱,原則就會變成憑空猜測。如果執行力薄弱,原則就會流於形式。
探索 NAC 類型與執行機制
並非每個 NAC 部署的運作方式都相同。某些控制發生在裝置獲得有意義的存取權限之前。其他控制則在連線後繼續進行,並隨著條件變化調整存取權。最佳的實作通常會將兩者結合。
在英國企業網路中,NAC 最常被部署為圍繞 IEEE 802.1X and RADIUS 的策略執行層,交換器或無線控制器會在數位入口處阻止裝置,並使用 RADIUS 檢查憑證與健康狀況,然後 NAC 再決定是否應將該裝置分配到特定的 VLAN、受限網路中,或完全拒絕存取( NAC 搭配 802.1X and RADIUS 的技術概覽 )。
准入前與准入後
准入前控制(Pre-admission control)是較乾淨的模型。裝置在獲得實際存取權限之前,必須先證明身分並符合策略。如果失敗,網路可以封鎖它或將其放入嚴格限制的區段中。
准入後控制(Post-admission control)則假設初始連線並非故事的全部。裝置可能會變得不合規,帳戶可能會變更,且行為在登入後可能會變得可疑。准入後控制允許 NAC 在工作階段期間重新評估並收緊存取權限。
實用比較:
| 方法 | 優勢 | 挑戰 |
|---|---|---|
| 准入前 | 及早阻止不良存取 | 對舊版和非受管裝置較為困難 |
| 准入後 | 回應變化的狀況 | 需要良好的可見度與明確的觸發條件 |
團隊往往過度關注第一道關卡,而忽略了工作階段控制。這是一個錯誤。上午 9 點時符合要求的裝置,如果其安全狀態改變或風險背景發生變化,稍後可能就不再符合要求。
基於代理程式與無代理程式
某些 NAC 平台在端點上使用代理程式(agent),以更可靠地回報安全狀態。這對於受管的員工筆記型電腦和其他企業裝置非常有用。
其他情境則需要無代理程式(agentless)技術。訪客的手機、消費型裝置和許多 IoT 端點不會安裝您的代理程式,強制安裝通常會帶來更多阻力而非價值。在這些情況下,裝置剖析、憑證檢查、入口網站流程或網路中繼資料往往是更務實的選擇。
這兩種模型沒有絕對的優劣。關鍵問題在於您擁有哪些裝置類型,以及其中哪些是您可以控制的。
關鍵的執行工具
當人們詢問什麼是網路存取控制時,通常期望得到單一的機制。實際上,NAC 是多種執行方法的集合。
以下是一些最常見的方法:
802.1X
連接埠存取控制的標準。當裝置能正確支援時,這是首選路徑,因為它能在有線和無線網路中提供更強固的識別型准入控制。動態 VLAN 分配
NAC 可以根據原則將使用者和裝置置於不同的 VLAN。相同的交換器連接埠或 SSID,卻能有不同的網路結果。角色型存取控制
財務部門的筆記型電腦、訪客手機和印表機不應該繼承相同的信任等級。角色型存取控制(RBAC)讓原則反映工作職能和裝置類型,而不再僅僅是連線位置。隔離網路
當裝置為已知但未符合相容性規範時非常有用。NAC 可以將其置於可以進行補救的區域,而不是做出一翻兩瞪眼的絕對決定,且不會接觸到敏感系統。MAC 驗證旁路
這通常用於無法執行 802.1X 的裝置,例如某些印表機、掃描器或專業設備。此方法有效,但比憑證或使用者型驗證方法更弱,因此需要更嚴格的原則來防護。Captive Portal 與網頁驗證
在訪客存取環境中很常見。適合臨時存取,但對於重複存取的使用者來說有些繁瑣,並非員工或受信任裝置的理想長期解決方案。
對於評估平台選項的組織,根據這些強制執行模式的支援程度(而不僅僅是頭條功能列表)來比較 network access control solutions 會很有幫助。
NAC 如何與您現有的 IT 堆疊整合
當 NAC 不是單打獨鬥時,最能發揮其效用。獨立運行時,它只能檢查連線請求並套用本地規則。若整合得當,它就會成為一個結合了身分識別、裝置信任和操作背景資訊的存取決策點。
這改變了決策的品質。
身分識別平台與目錄服務
大多數組織不希望由 NAC 維護一套獨立的使用者和角色。他們希望將其與現有定義員工身分識別的系統進行綁定。在實務上,這通常意味著與 Microsoft Entra ID、Google Workspace、Okta 或現有的目錄服務進行整合。
這讓 NAC 能夠提出更有價值的問題:
- 此使用者目前是否有效且處於活動狀態?
- 他們屬於哪一個群組或角色?
- 存取權限是否已被集中撤銷?
- 這個人應該被視為員工、承包商、訪客還是常駐人員?
當存取原則遵循目錄伺服器的真實資料時,入職和離職的管理會變得更加乾淨俐落。如果由 HR 主導的身份變更可以直接套用到存取決策中,網路就不會再落後於其他控制平面。
憑證、姿態與無密碼存取
最強大的 NAC 環境不會依賴在 SSID 之間流傳的共用密碼或生存時間過長的靜態憑證。它們使用 憑證 和裝置信任訊號來識別端點本身。
這非常重要,因為使用者帳戶只能說明部分情況。在未知裝置上使用有效的使用者帳戶,仍然存在著風險疑慮。
實戰建議: 如果您的員工存取仍然依賴共用的 WiFi 密碼,您就沒有真正意義上的准入控制。您只有一個為了方便的設定。
這也是 NAC 開始與現代無密碼網路重疊的地方。以身份為導向的存取可以延伸到舊有 Captive Portal 體驗之外。對於訪客和場域環境,OpenRoaming 和 Passpoint 等技術正朝向安全、自動且低摩擦的連線發展。這種存取仍然需要原則,只是不再需要過去那種笨拙的使用者歷程。
NAC 實戰 - 常見應用場景
當您看到 NAC 解決的營運問題時,NAC 就會顯得更有意義。原則引擎和 RADIUS 流程固然重要,但大多數買家最在意的只有一件事:它是否能在不破壞使用者體驗的情況下提升控制力?
旅宿業
飯店充滿了重疊的信任區域。訪客的手機和筆記型電腦需要網際網路存取。員工裝置需要存取營運系統。電視、門禁系統、資訊看板和後台設備需要連線,但預設情況下不能互相通訊。
一個優良的 NAC 設計可以乾淨地分離這些類別,即使它們共用相同的實體基礎設施。訪客可以獲得簡單的引導和網際網路存取。員工裝置可以透過組織的身份識別堆疊進行驗證。營運裝置則落入嚴格限制範圍的區段中。
最行不通的是偷懶的做法。一個寬泛的 SSID、一個密碼,然後想著「我們會把敏感部分放在其他地方」。在旅宿業中,這通常會演變成疑難排解的痛苦和權責不清。
零售業
零售環境通常混合了公共 WiFi、員工平板電腦、POS 系統、掃描器、數位看板和供應商維護的設備。如果沒有部署 NAC,商店最終可能會面臨那些僅僅因為距離相近就互相信任的系統。
在這裡,更高價值的控制是區段准入。POS 系統應該只能與它們需要的對象通訊。訪客流量絕對不應與預設信任的鄰近設備混在一起。供應商的設備應該是可以被識別且受到限制的。
良好的零售 NAC 設置還能減少運作上的模糊空間。當網路中出現異常情況時,團隊可以更快地進行分類並套用已知策略,而不需要在營業時間內臨時應變。
醫療保健
醫療保健是 NAC 迅速發揮價值的地方。其環境包含臨床醫生、行政人員、訪客、承包商、未託管的醫療設備,以及無法一律乾淨地支援現代驗證的舊型專用設備。
來自 NCSC 的英國公營部門指南與 NAC 原則一致,建議組織採取零信任思維,在授予存取權限之前驗證每位使用者和設備,並使用網路分段來限制遭到入侵時的影響( 英國公營部門指南中的零信任與 NAC 一致性 )。
在醫院和診所中,困難的部分不在於理論,而是在不破降低整個環境信任度的情況下,處理混合的設備類別。
多租戶住宅與學生宿舍
住宅營運商需要一種對住戶而言簡單,但在幕後保持隔離的網路模式。一位住戶不應該只因為與其他住戶使用相同的建築基礎設施,就能偵測到其他住戶的設備。
在這些情況下,NAC 策略、專用網路分配以及 iPSK 等方法非常實用。住戶可以獲得家一般的體驗。舊型設備仍然可以連線。營運商則保留了隔離與控制權。
這與企業辦公室的 NAC 問題截然不同,但適用相同的准入邏輯。身分、設備類型和策略決定了該使用者所能存取的網路樣貌。
部署最佳實踐與投資報酬率(ROI)考量
大多數 NAC 部署失敗並非由於技術薄弱,而是因為過於龐大的策略、混亂的環境,以及團隊試圖在太早的階段強制執行太多規定。
更好的方法是遵守紀律且按部就班。這在網路安全領域通常是一種讚美。
行之有效的方法
首先從觀察開始,而不是直接阻擋。盡可能在監控或低影響模式下運行 NAC,建立設備類型的真實樣貌,然後分階段收緊策略。
一個實用的步驟順序如下:
盤點優先
了解有哪些設備正在連線。組織通常會發現比預期更多的未託管或分類錯誤的設備。從簡單的原則開始
企業託管裝置、訪客、印表機和未知裝置,對於初始模型來說就足夠了。您可以在之後再加入更細微的調整。為例外情況制定明確計劃
舊版裝置、臨床設備、專用 IoT 和設施系統需要一條替代路徑。假裝它們能完全符合乾淨的模型只會浪費時間。將有線與無線網路一併處理
如果原則在 WiFi 上很強,但在交換器連接埠上很弱,人們就會找到這個脆弱的縫隙。
英國隱私與合規性是設計的一部分
這部分在 NAC 文章中經常被忽略,但在英國卻非常重要。NAC 會收集並評估裝置與使用者屬性,這會產生治理問題。根據 UK GDPR 的資料極小化和儲存限制原則,組織應收集其定義目的所需的資料,且僅保留必要的時間。這意味著 NAC 設計應定義哪些屬性對於存取決策是必不可少的、記錄什麼、日誌保留多久,以及安全性資料如何與行銷或分析用途進行隔離 ( 關注英國的 NAC 和隱私設計考量討論 )。
這並非指 NAC 存在問題,它只代表資料模型需要紀律。
不要將 NAC 建立為吸取每個可用身分和裝置屬性的吸塵器。應將其建立為一個具有合理證據集的決策系統。
投資報酬率(ROI)比減少入侵更廣泛
安全性買家經常要求投資報酬率,但卻將其定義得過於狹隘。其價值不僅僅在於「NAC 是否阻止了事件」,它也體現在日常營運中。
常見的投資報酬領域包括:
- 降低支援阻力,因為員工和訪客能更一致地進入正確的存取狀態
- 更快的疑難排解,因為網路具有更清晰的身分和原則脈絡
- 更乾淨的離職流程,當存取取決於中央身分和憑證狀態時
- 減少手動例外處理,一旦可重複的角色和裝置類別被正確對應
這也是雲端管理和身分優先選項發揮作用的地方。某些組織仍然希望將地端 NAC 與本地 RADIUS 和交換相結合。其他組織則偏好更少的基础設施開銷。例如 Purple 的網路與無線安全服務 等平台,透過結合身分驅動的存取、無密碼工作流程和廠商整合,來契合後者的模式,而無需傳統共用密碼和大量手動訪客流程的營運負擔。
存取的未來 - 從 NAC 到身分識別網路
傳統 NAC 仍然非常重要。它依然是告知網路在何種條件下、以何種存取權限信任誰以及信任什麼的准入層。
然而,圍繞 NAC 的使用者體驗正在改變。
截至 2024 年 1 月,96% 的英國場所已可使用具備千兆位元能力的寬頻( 在此處參閱英國連線更新報告 )。這種水準的連線性意味著更多裝置、更多工作階段,以及對即時存取更高的期望。共享密碼、繁瑣的 Captive Portal 和手動排除的舊模式,在這種環境下已無法有效擴充。
未來的發展方向是身分識別網路 (identity networking)。存取決策仍遵循 NAC 原則,但實作變得更加無縫。員工透過基於身分識別且達到憑證等級的信任進行驗證。訪客透過降低阻力並從第一個封包起就改善加密的標準進行連線。多租戶和混合用途的場域則可在不讓每位使用者費力完成登入步驟的情況下,獲得隔離保護。
這就是現今網路存取控制是什麼的最新解答。它不再只是傳統的守門人,而是同時兼顧安全、區隔與實用性,實現無密碼、身分識別驅動存取的基石。
Purple 透過為訪客、員工和多租戶環境提供安全的無密碼存取,取代共享密碼和 Captive Portal,協助企業組織從基本的 WiFi 存取轉型為基於身分識別的網路。如果您正在評估 NAC 原則如何支援 OpenRoaming、Passpoint、基於憑證的員工存取或隔離的住戶連線性, Purple 是一個值得評估的平台。
