NAC 狀態評估：在網路存取前確保託管裝置合規性

歡迎來到 Purple 技術簡報系列。今天我們將深入探討企業網路安全中，在營運上最關鍵且最常被誤解的領域之一：NAC 狀態評估（posture assessment），特別是您如何確保只有受管理、符合合規性的裝置在傳送任何生產流量之前，就能安全地存取您的網路。 如果您是負責多據點資產（無論是飯店集團、零售連鎖店、體育場館還是公共部門機構）的 IT 經理、網路架構師或 CTO，這與您目前的安全性狀態直接相關。我們將介紹其架構、標準、實際部署模式，以及即使是經驗豐富的團隊也容易落入的陷阱。讓我們開始吧。 那麼，什麼是 NAC 狀態評估？網路存取控制（Network Access Control，簡稱 NAC）是管理哪些裝置可以連接到您的網路以及在何種條件下連接的整體框架。狀態評估是 NAC 內部的特定機制，用於在裝置連接之前或緊接在連接之後，查詢該裝置的安全狀態。您可以將其視為入口處的健康檢查。裝置不僅需要證明它是誰，還需要證明它處於值得信賴的健康狀態。 此處的架構有三個核心元件。首先是策略執行點（Policy Enforcement Point）— PEP。這通常是您的存取點、交換器或無線控制器。它是實體控制流量是否流動的守門人。第二是策略決策點（Policy Decision Point）— PDP。這是您的 NAC 引擎，通常與 RADIUS 或 AAA 伺服器整合。它接收狀態數據，根據您的策略進行評估，並告訴 PEP 該怎麼做。第三是狀態評估引擎本身 — 這可以是在端點上執行的代理程式（agent），或是使用 SNMP、WMI 或 SSH 等協定遠端查詢裝置的無代理程式（agentless）機制。 現在，支援這一切的驗證層是 IEEE 802.1X。這是自 2001 年以來就存在、基於連接埠的網路存取控制標準，但至今仍是企業 NAC 的骨幹。802.1X 定義了三種角色：Supplicant（用戶端）— 嘗試連接的裝置；Authenticator（驗證者）— 您的交換器或存取點；以及 Authentication Server（驗證伺服器）— 您的 RADIUS 伺服器。Supplicant 與驗證伺服器透過 EAP（可延伸驗證協定，Extensible Authentication Protocol）進行通訊，該協定透過 Authenticator 建立通道。使用雙向憑證驗證的 EAP-TLS 是此處的黃金標準。如果您重視受管理裝置的合規性，這就是您應該部署的方案。狀態檢查（Posture Check）實際上會檢查哪些項目？主要有六大類別。作業系統修補程式層級：裝置是否正在執行受支援的 OS 版本，且關鍵修補程式是否在您定義的時間內套用？端點安全狀態：是否安裝了經核准的 AV 或 EDR 代理程式、該代理程式是否處於作用中，且其定義檔是否為最新？防火牆狀態：主機型防火牆是否已啟用且其原則完好無損？磁碟加密：全磁碟加密是否處於作用中且未暫停？憑證有效性：裝置是否持有由您的 PKI 核發、有效且受信任的機器憑證？最後是組態合規性：裝置的安全組態是否符合您定義的基準？ 根據這些檢查的結果，您的 NAC 原則引擎會指派三種狀態之一。合規（Compliant）：裝置通過所有必要的檢查並獲得完整的網路存取權限，通常是存取其指派的 VLAN 或角色。條件式合規（Conditional）：裝置通過了關鍵檢查，但未通過一項或多項非關鍵檢查；它會獲得受限的存取權限（例如僅限網際網路），並向使用者發送通知。不合規（Non-Compliant）：裝置未通過關鍵檢查，會被放入隔離 VLAN，且僅能存取修復入口網站。該修復入口網站是裝置可以下載修補程式、更新 AV 定義檔或接收手動修復說明的地方。 那麼，WPA3 在其中扮演什麼角色？WPA3-Enterprise（特別是 192 位元模式）強化了 802.1X 之下的密碼編譯層。它強制要求使用 GCMP-256 進行加密，並使用 HMAC-SHA-384 確保完整性，這對於處理付款卡資料或 GDPR 規範下敏感個人資料的環境尤為重要。如果您正在營運符合 PCI DSS 範圍的零售環境，或是符合 NHS 資料治理要求的醫療保健機構，WPA3-Enterprise 應納入您新部署的規劃藍圖中。 接著我們來談談無代理程式（Agentless）與代理程式型（Agent-based）的狀態評估，因為這是一個真正的架構決策點。代理程式型評估（在端點上執行輕量級用戶端）能為您提供最深度的可視性。您可以查詢登錄檔機碼、執行中的程序、已安裝的軟體以及即時安全狀態。其代價是部署開銷：您需要 MDM 或端點管理平台來在您的資產中推送和維護該代理程式。無代理程式評估則使用基於網路的詢問，例如 SNMP、網路上的 WMI，或對您 MDM 平台的 API 呼叫。它更容易部署，但提供的可視性較淺，且更容易被規避。對於受管理的企業資產，代理程式型是正確的解決方案。對於同時擁有受管理和未受管理裝置的混合環境（例如會議中心或飯店後台網路），混合方法則更具合理性。 還有一個值得指出的架構重點：持續性狀態評估與特定時間點評估的對比。大多數傳統的 NAC 實作僅在連線時檢查狀態。這是一個重大的漏洞。一個在早上九點連線時符合規範的裝置，其防毒軟體可能會在十一點被使用者停用。現代 NAC 平台支援持續性評估——在定義的時間間隔或因應事件重新評估狀態——並動態變更裝置的網路存取層級，而無需重新連線。這才是您應該發展的方向。 好，讓我們切入實際操作。當您部署 NAC 狀態評估時，我最常看到的單一失敗模式就是直接進入強制執行模式。千萬不要這樣做。請先從監控模式開始——有時稱為稽核模式或可視性模式。執行您的狀態檢查，記錄結果，但不要強制執行原則。這樣運行至少二到四週。您幾乎肯定會發現網路上存在您不知道的裝置，並且會發現很大一部分已知裝置未能通過一項或多項狀態檢查。在強制執行之前，利用這些數據來修復您的資產。 第二個陷阱是憑證基礎架構。使用 EAP-TLS 的代理程式型狀態評估需要運作良好的 PKI。如果您沒有 PKI，或者您的憑證生命週期管理是手動且臨機操作的，您將會遇到中斷。憑證會過期。裝置在重建時會遺失憑證。在規劃 NAC 部署之前，請先規劃您的 PKI。 第三：VLAN 設計。您的隔離 VLAN 需要真正被隔離——而不僅僅是相同實體基礎架構上的不同子網路。它應該只能存取您的修復入口網站，以及在必要時存取 Windows Update 或您的修補程式管理伺服器。如果您的隔離 VLAN 有任何路由可通往生產系統，您就只是創造了一種虛假的安全感。 第四：例外與繞過流程。每個組織都有無法執行代理程式的裝置——印表機、IoT 感測器、大樓管理系統。您需要一個經過記錄且核准的流程，以向這些裝置授予 MAC 驗證繞過權限，並搭配補償性控制措施。如果您沒有預先定義此流程，您最終會得到一個無人負責且無人稽核的非正式白名單。 從標準的角度來看，請將您的狀態原則與適用於您作業系統平台的 CIS 基準保持一致。這些基準與廠商無關、定期更新，且被廣泛接受為企業端點安全的基準。對於 PCI DSS 環境，關於修補程式管理的 Requirement 6.3 和關於防惡意軟體的 Requirement 5.3 直接對應到您的狀態檢查類別。 現在來進行幾個快速問答。 NAC 狀態評估是否適用於 BYOD 裝置？是的，但您需要獨立的策略流程。BYOD 裝置通常採用不同的 EAP 方法（使用使用者憑證的 EAP-PEAP，而非使用機器憑證的 EAP-TLS），並分配到受限較多的網路區段。BYOD 的狀態檢查通常較為輕量：作業系統版本、基本防毒軟體存在與否、是否啟用螢幕鎖定。 這與訪客 WiFi 網路如何互動？答案是完全不互動，也不應該互動。訪客 WiFi 是一個完全獨立的 SSID 和網路區段，與您的企業基礎架構相隔離。NAC 狀態評估僅適用於您的企業 SSID。這兩個網路絕不應該共用 VLAN 或互相路由。 完整的 NAC 部署通常需要多少時間？對於中型企業（例如在多個據點擁有 500 到 2,000 個端點），從設計到完全執行大約需要 12 到 16 週。這包括 PKI 設定、代理程式部署、監控模式、修復以及分階段的執行推廣。 總結來說：NAC 狀態評估是確保您的網路存取控制架構發揮實效的機制。單憑身分識別（知道是誰在連線）是不夠的。您需要了解裝置的安全狀態、對照策略進行驗證，並對不合規的情況執行相應處置。此架構已圍繞 802.1X、RADIUS 和 EAP-TLS 發展得相當成熟且標準化。雖然實作上面臨挑戰，但如果採取分階段的方法，這些挑戰是完全可以克服的。 您接下來的即時步驟：使用現有的 MDM 或端點管理工具，稽核目前端點設備的狀態合規性。評估您的 PKI 準備狀況。針對合規、條件式和隔離區段設計您的 VLAN 架構。並在正式執行限制之前，先規劃監控模式的部署。 對於運行混合環境（企業後台與訪客或公共 WiFi 並存）的組織，像 Purple 這樣的平台提供了訪客端的網路智慧與分析，與您的企業 NAC 部署相輔相成，在保持這兩個世界乾淨分離的同時，為您提供跨雙方的完整可見性。 感謝您的收聽。歡迎在 Purple 平台上探索完整的書面指南，以獲取架構圖、實際範例和設定參考。