網路存取控制的裝置狀態評估

裝置狀態評估用於網路存取控制。Purple 技術簡報。 歡迎。我是今天簡報的主持人，如果您正在聆聽這個，您可能是一位 IT 安全架構師、網路工程師，或是被要求加強整個組織的網路存取控制的技術長。您可能正在經營一個飯店集團、零售連鎖店、會議中心或公共部門設施——而且您已經到了僅僅檢查誰正在連線到您的網路已不再足夠的地步。您需要知道是什麼正在連線，以及該裝置是否處於可被信任的合適狀態。 這正是我們今天要探討的內容。用於網路存取控制的裝置狀態評估——它是什麼，它在技術層面如何運作，您如何將它與您現有的 RADIUS 基礎架構和 MDM 平台整合，以及關鍵的是，您如何處理未通過檢查的裝置。讓我們開始吧。 第一節。背景以及狀態評估為何現在很重要。 在過去十年中，大多數企業 WiFi 部署都依賴於基於身份的存取控制。您驗證使用者——透過 802.1X、Captive Portal 或預共用金鑰——如果憑據查核無誤，您就授予存取權限。問題在於，僅靠身份驗證無法告訴您裝置本身的安全狀態。一個有效的使用者名稱和密碼可以在執行著三年未修補、沒有防毒軟體的作業系統的筆記型電腦上輸入，並連線到您的公司 VLAN。該裝置在觸及您網路的那一刻就是一個負債。 向零信任架構的轉變從根本上改變了這裡的計算方式。零信任的運作原則是從不信任，始終驗證——而這種驗證必須超越身份，涵蓋裝置健康狀況。這就是裝置狀態評估登場的地方。狀態評估在驗證時審問端點，檢查一組定義的健康標準，並將結果饋入存取控制決策。其結果就是基於狀態的網路存取——一種模型，在此模型中，您可以在網路上做什麼不僅取決於您是誰，還取決於您正在使用的裝置的安全狀態。 從合規的角度來看，這一點非常重要。PCI DSS 4.0 版明確要求組織控制哪些裝置可以存取持卡人資料環境。GDPR 的責任原則要求組織實施適當的技術措施來保護個人資料——而允許未修補、未管理的裝置進入承載個人資料的網路，在稽核中越來越難以辯護。對於醫療保健環境，同樣的邏輯也適用於 NHS Cyber Essentials 要求，以及在美國情境下的 HIPAA。 第二節。技術深度探討——狀態評估實際上如何運作。 讓我為您講解其機制。裝置狀態評估的核心是一個在驗證交握期間或之後立即執行的程序，在授予完整網路存取之前。您將遇到三種主要的架構模型。 第一種是基於代理的狀態評估。一個輕量級的軟體代理——安裝在端點上，通常是您的 MDM 或端點偵測與回應平台的一部分——收集健康遙測數據，並將其呈現給 NAC 策略引擎。這是最全面的方法。該代理可以檢查作業系統版本、累積修補程式等級、防毒特徵碼的時效性、防火牆狀態、磁碟加密狀態、是否正在執行特定的禁止應用程式，以及裝置是否已在您的 MDM 中註冊。代理會透過 RADIUS CoA——變更授權——或透過供應商特定的 API 整合等協定，將此數據傳送給 RADIUS 伺服器或專用的策略引擎。 第二種模型是無代理狀態評估。在此，NAC 系統嘗試在沒有本機代理的情況下推斷裝置健康狀況，通常是直接查詢您的 MDM 平台。當裝置連線並進行驗證時，策略引擎會透過 API 向 Microsoft Intune、Jamf 或 VMware Workspace ONE 發出呼叫，擷取裝置的合規記錄，並將其用作狀態訊號。這對於已在 MDM 中註冊的受管理公司裝置效果很好。限制很明顯——未管理或 BYOD 裝置不會有 MDM 記錄，因此您需要為這些裝置制定回退策略。 第三種模型是基於網路的評估。NAC 系統使用 SNMP 查詢、透過網路的 WMI 呼叫或流量模式被動指紋等技術掃描連線裝置。這是最不可靠的方法，通常僅用作輔助檢查，或用於無法部署代理的傳統環境。 現在，讓我們具體談談與 RADIUS 和 802.1X 的整合，因為這是架構變得有趣的地方。 在標準的 802.1X 部署中，請求者——即裝置——向驗證者（您的無線存取點或交換器）提供憑據，驗證者將驗證請求轉發給 RADIUS 伺服器。RADIUS 伺服器驗證憑據，並返回 Access-Accept 或 Access-Reject。在感知狀態的部署中，您會擴展此流程。在初始驗證成功後，RADIUS 伺服器——或協同定位的策略引擎，例如 Cisco ISE、Aruba ClearPass 或 Forescout——會觸發狀態評估。裝置最初被放置在一個受限的 VLAN 中——有時稱為狀態 VLAN 或隔離 VLAN——同時進行評估。如果裝置通過所有狀態檢查，則會向存取點發送 RADIUS 變更授權訊息，將裝置移動到適當的生產 VLAN。如果失敗，它將留在受限的 VLAN 中，並被導向一個修復入口網站。 EAP 方法在此很重要。使用相互憑證驗證的 EAP-TLS 是公司裝置存取的黃金標準，因為它允許 RADIUS 伺服器不僅驗證使用者，還驗證裝置憑證——確認它是一個已知、受管理的端點。帶有 MSCHAPv2 的 EAP-PEAP 或 EAP-TTLS 對於基於使用者憑據的驗證很常見，但本身提供的裝置層級保證較少。為了使狀態評估真正穩健，您需要將 EAP-TLS 與 MDM 合規性檢查相結合——這種組合為您提供了加密的裝置身份和即時的健康訊號。 狀態檢查通常評估哪些特定屬性？大多數企業部署的核心檢查清單涵蓋：作業系統版本和組建編號——裝置是否執行受支援的作業系統版本？修補程式等級——重要和高嚴重性的修補程式是否已在定義的視窗內（通常為 30 天）套用？防毒軟體或端點偵測與回應狀態——是否已安裝、執行中且使用最新特徵碼的公認安全產品？主機型防火牆——是否已啟用？磁碟加密——BitLocker 或 FileVault 是否啟用中？MDM 註冊——裝置是否已在您的管理平台註冊？而且，越來越多的組織正在新增對禁止軟體的檢查——是否存在已知的易受攻擊應用程式？——以及憑證有效性的檢查。 第三節。實施建議和常見陷阱。 讓我為您提供在飯店業、零售業和公共部門環境中部署這些系統的實用指導。 首先，在強制執行之前先從可見性開始。在將狀態檢查設為封鎖模式之前，請先以僅監控模式執行至少四週。這能為您提供實際裝置資產的基準——不合規裝置的百分比、哪些狀態屬性最常失敗，以及您的策略閾值是否校準正確。在沒有此基準的情況下直接進入強制執行，是最常見的錯誤，它會在第一天就導致一波服務台工單和使用者感到沮喪。 第二，在設定狀態策略之前設計您的 VLAN 分段。您至少需要三個網路區段：一個為合規的受管理裝置提供完整存取的公司 VLAN，一個具有網際網路存取權限以及修補程式管理和 MDM 基礎架構存取權限但別無其他的修復 VLAN，以及一個用於未管理個人裝置的來賓 VLAN。有些組織會增加第四個——一個受限的公司 VLAN，用於狀態失敗但需要有限存取特定資源以進行修復的受管理裝置。在您編寫任何策略規則之前，將這些 VLAN 對應到您的狀態結果。 第三，明確處理 BYOD 和來賓裝置問題。特別是在飯店業環境中——這同樣適用於旅館、會議中心和零售員工休息區——您將有大量永遠不會註冊 MDM 的個人裝置。您的狀態策略必須為這些裝置定義一個明確的路徑。典型的做法是自動將未註冊的裝置路由到來賓 VLAN，並搭配適當的頻寬控制和內容過濾，而不是完全阻擋它們。在飯店或會議環境中阻擋個人裝置會立即造成營運問題，您的第一線團隊會比您的安全團隊更早感受到。 第四，設定實際的修復逾時時間。當裝置狀態失敗並被放置在修復 VLAN 時，您需要定義它有在多長時間內進行自我修復，否則就會被移動到隔離區或遭到阻擋。對於修補程式相關的失敗，24 到 48 小時是受管理公司裝置的合理視窗——足夠裝置下載更新，短到足以維持壓力。對於防毒軟體失敗，視窗應該更短——四到八小時——因為沒有啟用端點保護的裝置是更直接的風險。 第五，徹底測試您的變更授權流程。CoA 是在裝置通過狀態檢查後，將其從修復 VLAN 移動到生產 VLAN 的機制。它也是如果定期重新檢查失敗，可以將裝置移回隔離區的機制。CoA 失敗——RADIUS 伺服器發送了 CoA 訊息但存取點未對其採取行動——是使用者抱怨的常見來源。在生產部署之前，在您的實驗室中端對端測試此流程，並在部署後監控 RADIUS 日誌中的 CoA 成功率。 現在，談談特定於大型場地環境的陷阱。在擁有數千個並行連線的體育場或會議中心中，狀態評估會為驗證流程增加延遲。需要代理收集遙測數據並回報的基於代理的檢查，可能會為連線時間增加二到五秒。在大規模情況下，這是很明顯的。透過預先快取狀態結果來進行最佳化——大多數策略引擎允許您在定義的期間內（通常為一到四小時）快取裝置的狀態結果，以便重新驗證不會每次都觸發完整的重新評估。這是高密度環境的關鍵效能最佳化。 第四節。快問快答。 問題：我可以在不向每台裝置部署代理的情況下進行狀態評估嗎？可以，透過 MDM API 整合針對已註冊的裝置，以及針對其他裝置的基於網路的指紋識別，但您的涵蓋範圍和準確性將低於使用代理。對於混合環境，混合方法——公司裝置使用代理、已註冊的 BYOD 使用 MDM API、網路指紋識別作為備用——是務實的答案。 問題：狀態評估可以與 WPA3 搭配使用嗎？可以。WPA3 Enterprise 使用與 WPA2 Enterprise 相同的 802.1X 驗證架構，因此狀態評估以相同的方式整合。WPA3 更強大的 PMF——受保護的管理訊框——和 SAE 驗證實際上是透過強化狀態評估所在的驗證層，來補充狀態檢查。 問題：狀態評估和 NAC 有什麼區別？NAC——網路存取控制——是控制哪些裝置可以存取哪些網路資源的更廣泛架構。狀態評估是 NAC 決策的一個輸入，特別是裝置健康訊號。您可以擁有沒有狀態評估的 NAC——例如，僅限身份的存取控制——但沒有 NAC 架構來強制執行結果，就無法擁有基於狀態的存取控制。 問題：這如何與像 Purple 這樣的平台整合？Purple 的平台在 WiFi 層管理裝置身份和存取策略。狀態評估是下一個控制層——它用裝置健康數據來豐富存取決策。對於注重安全的營運商，將來自 MDM 的狀態訊號整合到 Purple 的策略引擎中，讓您可以根據身份和裝置合規狀態來強制執行差異化存取。 第五節。總結與後續步驟。 總結今天簡報的重點。 裝置狀態評估是在驗證時評估端點健康狀況——作業系統版本、修補程式等級、防毒軟體狀態、MDM 註冊——並使用該健康訊號來決定網路存取權限的實務。 此架構結合了 802.1X 驗證、RADIUS 策略引擎、MDM API 整合和 VLAN 分段，以建立基於狀態的存取控制系統。 三種狀態結果——完整存取、修復 VLAN 和隔離——必須在啟用強制執行之前設計和測試。 從監控模式開始，建立您的基準，然後轉向強制執行。如果您希望順利推出，這不是可選的。 對於場地營運商，BYOD 和來賓裝置群需要明確的策略處理——路由到來賓 VLAN 而不是封鎖，是營運上合理的預設值。 您的立即後續步驟：稽核您當前的 VLAN 架構，並確認您擁有基於狀態路由所需的區段。評估 MDM 平台用於狀態數據匯出的 API 功能。檢閱您的 RADIUS 伺服器或 NAC 平台的狀態策略功能。如果您是從頭開始，請考慮分階段方法——先部署 802.1X，以監控模式新增狀態檢查，然後在 90 天的視窗內轉向強制執行。 感謝您的聆聽。如需更多關於 802.1X 驗證架構和零信任 WiFi 部署的資訊，請造訪 Purple 指南庫。如果您正在為您的場地網路評估基於狀態的存取控制，Purple 團隊可以引導您完成部署評估。下次見。