跳至主要內容

保障混合工作安全:結合 NAC 與 ZTNA 實現無縫存取

本權威技術指南介紹了網路存取控制 (NAC) 與零信任網路存取 (ZTNA) 的架構融合,旨在保障企業、零售、旅宿和公共部門場所混合工作環境的安全。它為 IT 架構師和 CTO 提供分階段部署藍圖、實際案例研究以及合規指南,幫助解決因隔離的本地與雲端存取網域所產生的安全漏洞。

📖 6 分鐘閱讀📝 1,285 字數🔧 2 範例3 練習題📚 9 關鍵定義

收聽此指南

查看播客逐字稿
歡迎來到 Purple 企業架構簡報。我是您的主持人,今天我們將深入探討 IT 領導者面臨的一個關鍵挑戰:確保混合工作團隊的安全。具體而言,我們將探討網路存取控制(NAC)與零信任網路存取(ZTNA)的架構整合。如果您正在管理企業場域、零售空間或公共部門環境中的複雜網路,這將非常適合您。 讓我們來看看背景脈絡。傳統的邊界防護已經不復存在,我們大家都知道這點。使用強大的 NAC 來保護企業總部,同時依賴傳統 VPN 進行遠端存取,這種方式已經不再適用。這會為使用者帶來阻礙,並為 IT 團隊帶來盲點。現代企業需要一個統一的安全態勢,無縫連接地端基礎架構與雲端原生應用程式。這就是結合 NAC 與 ZTNA 的用武之處。 在過去,這些是孤立的領域。使用 802.1X 等標準的 NAC 非常擅長控制建築物內部的實體和無線存取。它會檢查裝置狀態並分配 VLAN。另一方面,ZTNA 是為雲端時代而設計的 - 根據身分和上下文(而非網路位置)來確保遠端存取安全。問題在於,當混合工作者在這些領域之間移動時,他們在家中可以透過 ZTNA 無縫進行驗證,但一走進辦公室就會遇到脫節的策略限制。這令人沮喪、缺乏效率,坦白說,這會產生攻擊者可以利用的安全漏洞。 因此,讓我們來談談技術架構。解決方案是一個統一的身分與上下文經紀商層(context brokerage layer)。我們需要同步 NAC 與 ZTNA 策略引擎之間的遙測數據。您可以將其視為跟隨使用者的持續狀態評估,無論他們身在何處。 以下是其在實際應用中的運作方式。當裝置連線到企業網路時,NAC 會進行全面的狀態檢查 - 包括作業系統版本、防毒軟體狀態、憑證驗證。它會立即透過 API 整合與 ZTNA 經紀商分享此上下文。如果裝置的狀態變差 - 例如偵測到惡意軟體 - NAC 會將其隔離在本地網路上,並同時指示 ZTNA 經紀商撤銷對關鍵雲端應用程式的存取權。當使用者從辦公室移動到遠端位置時,ZTNA 用戶端會維持該已建立的信任上下文。不需要重新驗證。體驗是無縫的,但安全防護是持續不間斷的。 現在,讓我們深入探討支持這項技術的標準。IEEE 802.1X 是地端驗證的金鑰標準。它在連接埠層級提供裝置身分的加密驗證。RADIUS 作為後端協定,在 NAC 解決方案與您的身分識別提供者之間進行通訊。在 ZTNA 方面,您會看到像 Azure Active Directory 或 Okta 等身分識別提供者,以及來自領先廠商的 ZTNA 經紀商。關鍵在於確保這些系統能夠進行雙向通訊。 對於場域營運商(如飯店、會議中心、體育場)而言,情況更為複雜。您必須在同一個實體基礎設施上,同時管理企業員工、承包商、訪客以及數量不斷增加的 IoT 裝置。NAC 負責處理網路分割。企業員工獲得 802.1X 驗證並可存取內部資源。訪客則被隔離在專用網路中,最理想的方式是透過像 Purple 的 Guest WiFi 這類平台進行管理,該平台在提供強大隔離功能的同時,還能收集寶貴的分析數據。至於無法支援 802.1X 的 IoT 裝置(例如數位看板、環境感測器、POS 終端機),則透過 MAC 驗證繞過(MAB)進行處理,並搭配嚴格的 VLAN 分割,以防堵任何潛在的安全漏洞。 讓我帶您看看一個實際的部署情境。假設有一家擁有 500 個據點的全球連鎖零售商。區域經理經常在門市、總部和居家辦公室之間出差,他們常遇到 VPN 斷線以及存取庫存管理應用程式不穩定的問題。解決方案是採用融合 NAC 與 ZTNA 的架構。當經理在門市時,NAC 會透過 802.1X 驗證裝置,並與 ZTNA 代理程式共享受信任的內部環境資訊。接著,代理程式會授與直接且經過最佳化的存取權限,以存取雲端託管的庫存應用程式 - 不需要 VPN 隧道。當經理在家工作時,ZTNA 用戶端會建立通往應用程式的安全微型隧道,並維持相同的存取原則。結果如何?一致的存取體驗、減少技術支援電話,以及顯著提升的安全防禦態勢。 接下來是實作。我建議採取三階段的方法。第一階段是可見性。首先以監控模式部署 NAC。探索並分析網路上的所有裝置,包括筆記型電腦、BYOD 裝置、IoT 和訪客裝置。此時先不要執行任何強制策略。同時,將您的身分識別提供者與 NAC 和 ZTNA 整合,以合併使用者身分。使用您的 ZTNA 解決方案來繪製應用程式存取模式。這能為您提供撰寫合理策略所需的數據。 第二階段是策略定義。為企業裝置定義基準安全防禦態勢要求。根據使用者角色和應用程式敏感度實作 ZTNA 微分割。關鍵在於,在您的 NAC 和 ZTNA 平台之間建立 API 整合,以進行雙向環境資訊共享。在進入強制執行階段之前,請徹底測試此整合。 第三階段是強制執行。逐步啟用 NAC 強制執行,從試點群組開始。監控驗證失敗的情況並調整原則。將 ZTNA 用戶端部署到所有企業端點。並使用託管平台將零信任原則延伸到您的訪客網路。讓我為您提供一些關於最常見陷阱的快速指南。首先,上下文同步延遲。如果 NAC 與 ZTNA 之間的 API 整合出現延遲,受感染的裝置可能會在超過可接受的時間內繼續保留雲端應用程式的存取權限。解決方法是使用基於 webhook 的推播通知,而不是依賴輪詢機制。這可確保近乎即時的原則更新。 其次,過於嚴格的原則導致服務台工作量激增。在沒有與使用者進行充分溝通的情況下執行嚴格的狀態檢查是造成混亂的根源。使用 Captive Portal 告知使用者不符合規定的情況,並在完全阻止存取之前提供自我服務修復。 第三,IoT 裝置驗證失敗。無前端的 IoT 裝置根本無法支援 802.1X 或 ZTNA 用戶端。解決方法是使用 MAC 驗證繞過(MAB),並結合嚴格的裝置剖析與嚴格的 VLAN 區隔。 第四,這是一個大問題 - 未能監控 API 整合本身的健康狀況。如果 NAC 與 ZTNA 之間的同步中斷,您就會面臨安全漏洞。請針對整合健康狀況實施監控與警報,並定義在同步中斷超過定義閾值時觸發的故障安全原則。 那麼投資報酬率如何?此架構的商業案例非常吸引人。整合原則管理可減輕 IT 團隊的行政負擔。消除傳統 VPN 可顯著改善混合工作體驗,減少停機時間和挫折感。此外,能夠證明持續的狀態評估和基於身分的存取控制,可簡化符合性報告,例如 PCI-DSS 和 GDPR - 這在零售和醫療保健環境中尤其重要。 總結一下今天簡報的重點。身分是新的邊界,而上下文是關鍵。對實體線路使用 NAC,對應用程式使用 ZTNA。永不信任,始終驗證 - 並且要持續進行。分階段實施:先可見性,然後是原則,最後是執行。不要忘記訪客網路和 IoT 資產 - 它們需要成為您安全架構的一部分,而不是事後才想到的事。 如果您想更深入了解 AI 驅動的網路安全未來,請參閱 Purple 的「AI-Driven NAC and Threat Detection」指南。而對於管理分散式站點的人員,我們的「SD-WAN versus MPLS」指南非常值得您花時間閱讀。 今天的簡報就到這裡。感謝您的收聽,我們下次再見。

header_image.png

摘要

對於管理分散式環境的企業網路架構師和 CTO 而言,網路邊界已不復存在。傳統保護公司總部使用強固網路存取控制(NAC)而遠端存取依賴傳統 VPN 的模式已不再可行。現代企業需要一個統一的安全狀況,將地端基礎設施與雲端原生應用程式無縫橋接。本指南詳細介紹了 NAC 與零信任網路存取(ZTNA)的架構融合,為確保混合工作環境的安全提供了藍圖,同時不會影響使用者體驗或網路吞吐量。

透過將 NAC 的裝置級狀態實施與 ZTNA 以身分為中心的微隔離相結合,企業無論使用者身在何處,都可以實現持續的信任驗證。這種融合對於高人流量和具有複雜合規要求的行業尤為重要,例如 零售業醫療保健業旅宿業 。此外,利用 Purple 的 Guest WiFi 基礎設施等平台,可以將這些零信任原則擴展到訪客網路,確保符合 GDPR 和 PCI-DSS 義務的強固隔離與資料保護。

技術深入探討:融合架構

隔離安全網域的局限性

過去,NAC 和 ZTNA 一直作為隔離的安全網域運作。NAC 利用 IEEE 802.1X 和 RADIUS,擅長控制公司邊界內的實體和無線存取。它提供強固的裝置分析、狀態評估和 VLAN 分配。相比之下,ZTNA 的出現是為了確保對雲端和地端應用程式的遠端存取安全,其運作原則是「永不信任,始終驗證」,基於使用者身分和上下文,而非網路位置。

當混合工作者在這些網域之間移動時,就會產生摩擦。使用者每天在家中透過 ZTNA 進行無縫驗證,但在進入公司辦公室時,通常會面臨脫節的體驗,因為本地 NAC 策略可能與其 ZTNA 上下文不一致。這種碎片化引入了安全盲點和營運開銷,直接影響 IT 效率和終端使用者生產力。

統一身分與上下文代理

架構解決方案在於建立一個統一的身分與上下文代理層,以同步 NAC 和 ZTNA 策略引擎之間的遙測數據。這種整合允許進行持續的狀態評估,並跨越網路邊界持續存在。

nac_ztna_architecture_overview.png

此整合透過三個關鍵機制運作。首先是持續狀態評估:當裝置連線到企業網路時,NAC 解決方案會進行全面的狀態檢查,包括作業系統版本、防毒軟體狀態與憑證驗證。此環境資訊會立即透過 API 整合與 ZTNA 代理程式共享。其次是動態策略執行:如果裝置的安全狀態降低(例如偵測到惡意軟體),NAC 系統會將該裝置隔離在區域網路中,同時指示 ZTNA 代理程式撤銷其對關鍵雲端應用程式的存取權限。第三是無縫轉換:當使用者從辦公室移動到遠端位置時,ZTNA 用戶端會維持已建立的信任環境資訊,無需重新進行身分驗證,確保無中斷存取授權資源。

如需深入了解支援這些部署的底層無線技術,請參閱我們的指南: WiFi 頻率:2026 年 WiFi 頻段指南

hybrid_work_security_comparison.png

實作指南:分階段部署

部署融合的 NAC/ZTNA 架構需要採用分階段的方法,以減少中斷並確保強健的策略執行。

第一階段:身分與資產探索

在實施執行策略之前,您必須全面掌握您的網路環境。以「僅監控」模式部署您的 NAC 解決方案 - 將其配置為探索並剖析所有已連線的裝置,包括企業筆記型電腦、BYOD、IoT 和訪客裝置,而不封鎖存取。透過將 NAC 和 ZTNA 解決方案與中央身分識別提供者(例如 Azure AD 或 Okta)進行整合,來合併使用者身分識別。這可確保跨兩個網域的驗證策略一致。同時,使用您的 ZTNA 解決方案監控應用程式存取模式,識別哪些使用者需要存取特定的應用程式,並奠定微分割策略的基礎。

第二階段:策略定義與微分割

透過基於最小權限原則定義細粒度的存取策略,從可見性轉向控制。為企業裝置建立基準安全要求,包括最低 OS 版本與作用中 EDR 代理程式要求,並設定 NAC 解決方案以在本地存取中強制執行這些要求。定義 ZTNA 策略,根據使用者角色與裝置上下文限制應用程式存取,確保與 NAC 解決方案中定義的狀態要求保持一致。至關重要的是,設定 NAC 與 ZTNA 平台之間的 API 整合以實現雙向上下文共享,確保 NAC 偵測到的裝置狀態變化能立即即時觸發 ZTNA 代理中的策略更新。

第三階段:強制執行與最佳化

逐步啟用強制執行模式,監控異常情況並根據需要微調策略。將 NAC 解決方案從監控模式過渡到強制執行模式,從試點使用者群組或位置開始,並監控身分驗證失敗。將 ZTNA 用戶端部署到所有企業端點,確保無縫存取雲端與地端應用程式。使用 Purple 的 Guest WiFi 等平台擴展強大的訪客存取策略,確保訪客流量與企業資源嚴格隔離。利用 WiFi Analytics 監控使用模式並偵測整個訪客資產中的潛在異常。

企業環境的最佳實踐

在整個部署過程中優先考慮使用者體驗。安全不應阻礙生產力,地端與遠端存取之間的過渡對使用者而言必須是透明的,並利用單一登入與持續身分驗證機制。對於地端存取,強制所有企業裝置進行 IEEE 802.1X 身分驗證,因為這在連接埠層級提供了對裝置身分強大的加密驗證。

將 AI 驅動的威脅偵測功能整合到您的 NAC 與 ZTNA 解決方案中,以識別異常行為並自動隔離受感染的裝置。有關此功能的未來展望,請參閱 The Future of Wi-Fi Security: AI-Driven NAC and Threat Detection 及其西班牙語對應版本 El Futuro de la Seguridad Wi-Fi: NAC Impulsado por IA y Detección de Amenazas 。對於分散式企業,將 ZTNA 與 SD-WAN 整合可以最佳化應用程式路由並提高多個站點的效能 - 請參閱我們的比較: SD WAN vs MPLS: The 2026 Enterprise Network Guide

疑難排解與風險緩釋

上下文同步延遲代表了最關鍵 ovip 故障模式。如果 NAC 與 ZTNA 之間的 API 整合出現延遲,受感染的裝置可能會在超出可接受的時間內繼續保留對雲端應用程式的存取權限。緩解措施是實施基於 webhook 的推播通知,而不是完全依賴輪詢機制,以確保近乎即時的原則更新。

過於嚴格的原則可能會在實施嚴格的態勢檢查且未與使用者進行充分溝通時,導致客服工單量急劇上升。使用 Captive Portal 通知使用者未符合規範,並在完全封鎖存取之前提供自我服務的修復指引。

IoT 裝置驗證失敗在場域環境中是不可避免的。無周邊的 IoT 裝置無法支援 802.1X 或 ZTNA 用戶端。解決方案是採用 MAC 驗證繞過(MAB),並結合嚴格的裝置特徵分析與嚴謹的 VLAN 區隔,將 IoT 流量與企業資源進行隔離。

API 整合健康狀況監控經常被忽視。如果 NAC 與 ZTNA 之間的同步中斷,將會產生兩個系統都無法獨立解決的安全漏洞。為整合健康狀況實施專用的監控與警報,並定義容錯安全原則,在同步中斷超過定義的臨界值時,觸發自動存取限制。

ROI 與業務影響

NAC 與 ZTNA 的融合不僅能降低風險,還能帶來可衡量的業務價值。統一的原則管理減輕了 IT 團隊的系統管理負擔,使他們能夠專注於策略性計劃,而不是管理支離破碎的安全孤島。淘汰傳統的 VPN 可顯著改善混合工作體驗,減少停機時間與挫敗感,同時提高遠端使用者的應用程式效能。

能夠展示持續的態勢評估與基於身分的存取控制,可簡化 PCI-DSS 與 GDPR 等架構的合規性報告,這在 大眾運輸 與零售環境中尤為重要,因為這些環境中對於持卡人資料與個人資料保護的義務極為嚴格。部署融合架構的企業一致表示,安全事件的平均控制時間(MTTC)有所縮短,因為雙向原則執行可實現無須人工介入的自動隔離。

關鍵定義

網路存取控制 (NAC)

一種安全解決方案,用於對尋求存取網路基礎設施的裝置執行策略,通常利用 IEEE 802.1X 進行驗證與狀態評估,以決定 VLAN 分配與存取權限。

對於保護內部部署環境至關重要,可確保只有合規且獲得授權的裝置才能連接到企業交換器與無線存取點。IT 團隊在管理實體辦公室與場域網路時會遇到此情況。

零信任網路存取 (ZTNA)

一種 IT 安全解決方案,根據定義的存取控制策略,提供對應用程式和服務的安全遠端存取,其運作基於最小權限原則與持續身分驗證,而非網路位置。

透過提供基於身分的微分割來取代舊型 VPN,僅授予特定應用程式的存取權限,而非整個網路。在保護遠端工作者與雲端應用程式存取安全時非常有用。

微分割 (Micro-segmentation)

將網路劃分為隔離客群的實務操作,以減少受攻擊面並防止威脅者進行橫向移動,套用於應用程式或工作負載層級,而非網路周邊。

ZTNA 在應用程式層級套用此概念,確保受損的端點無法轉向存取未授權的資源。IT 團隊在設計零信任架構時會遇到此情況。

狀態評估 (Posture Assessment)

在授予網路或應用程式存取權限之前,評估裝置安全狀態的程序 - 包括作業系統版本、啟動的防毒軟體、已安裝的憑證和修補程式層級。

NAC 的核心功能,確保有漏洞或受損的裝置在與企業網路互動之前遭到隔離或修復。在裝置上線與持續監控期間非常重要。

IEEE 802.1X

基於連接埠的網路存取控制的 IEEE 標準,為希望連線到 LAN 或 WLAN 的裝置提供驗證機制,在網路介質上使用 EAP(可延伸驗證協定)。

企業網路驗證的金鑰標準,提供裝置身分的強大密碼學驗證。IT 團隊在設定交換器、無線控制器與 RADIUS 伺服器時會遇到此情況。

RADIUS (遠端使用者撥入驗證服務)

一種網路協定,為連線和使用網路服務的使用者提供集中式驗證、授權和計費 (AAA) 管理,作為 NAC 與身分識別提供者之間的通訊層。

NAC 解決方案所使用的後端協定,用於與身分識別提供者通訊並執行存取策略。在將 NAC 與 Active Directory 或雲端 IdP 整合時非常有用。

MAC 驗證旁路 (MAB)

NAC 解決方案針對不支援 802.1X 的裝置所使用的替代驗證方法,依賴裝置的 MAC 位址作為識別碼來分配網路存取策略。

在企業環境中容納無螢幕裝置(印表機、IoT 感測器、數位看板)所必需。安全性低於 802.1X,且需要嚴格的 VLAN 分割以降低 MAC 欺騙風險。

身分識別提供者 (IdP)

一個系統實體,負責為委託人建立、維護和管理身分識別資訊,同時為同盟或分散式網路中的依賴應用程式提供驗證服務。

使用者身分的集中單一真實來源,與 NAC 和 ZTNA 整合以確保一致的驗證策略。IT 團隊在企業系統中設定 SSO 與 MFA 時會遇到此情況。

VLAN (Virtual Local Area Network)

實體網路的邏輯細分,將裝置分組到隔離的廣播網域中,從而實現流量分割,而不需要獨立的實體基礎架構。

在共享實體網路中隔離不同裝置類別(企業、訪客、IoT)的主要機制。這對於符合 PCI-DSS 中關於持卡人資料環境隔離的要求至關重要。

範例

一家擁有 500 個據點的全球零售連鎖店,需要為經常在門市、企業總部和遠端居家辦公室之間往返的區域經理保障存取安全。他們目前經常遇到 VPN 中斷,以及存取雲端代管庫存管理應用程式時不一致的問題。

在所有據點部署融合的 NAC/ZTNA 架構。透過 NAC 部署 802.1X,以便經理親自到店或在總部時,能對與 Azure AD 整合的集中式 RADIUS 伺服器進行驗證,實現無縫、安全的存取。在所有企業筆記型電腦上部署 ZTNA 用戶端。透過 API 整合 NAC 和 ZTNA 策略引擎,配置 Webhook 通知以進行即時狀態更新。當經理連線到門市網路時,NAC 會驗證裝置並與 ZTNA 代理分享「信任的內部」上下文。ZTNA 代理隨後會授與對雲端代管庫存應用程式的直接、最佳化存取權,而不需要 VPN 隧道,從而降低延遲並消除中斷問題。當經理在家工作時,ZTNA 用戶端會建立通往應用程式的安全微隧道,在不依賴企業網路邊界的情況下維持相同的存取策略。門市內的訪客和 IoT 裝置則透過 Purple 的 Guest WiFi 平台管理的獨立 VLAN 進行隔離。

考官評語: 此方法透過提供無縫且具備上下文感知能力的存取(不論身在何處),解決了與傳統 VPN 相關的使用者體驗問題。API 整合確保了安全狀態得到持續評估,從而降低了受侵害裝置存取關鍵應用程式的風險。關鍵的架構決策是「本地邊緣」路由 - 在企業網路上時,ZTNA 流量應路由到本地代理,而不是透過雲端代理進行髮夾彎式路由,否則會抵消延遲方面的優勢。

一家大型會議中心需要為企業員工提供安全的 WiFi,同時隔離每日數以千計的訪客連線,以及包括數位看板、BLE 信標和環境感測器在內的三方廠商 IoT 裝置。

部署強大的 NAC 方案,跨三個不同層級配置嚴格的 VLAN 區段。第一層:企業員工裝置透過 802.1X 進行驗證,並被分配到具有內部管理系統完整存取權限的安全內部 VLAN。第二層:實作 Purple 的 Guest WiFi 平台以管理公共存取,在獲取寶貴分析數據的同時,透過僅限網際網路存取的專用訪客 VLAN,確保與企業網路完全隔離。第三層:對於廠商的 IoT 裝置,利用 MAC 驗證旁路 (MAB) 結合深度裝置剖析 - 分析 DHCP 指紋、HTTP 使用者代理和流量模式 - 以精確識別裝置類型並將其分配到受限且僅限網際網路存取的 VLAN。整合 ZTNA,以便企業員工從場館內外的任何位置安全地存取內部管理應用程式。對於 BLE 信標基礎設施,請參閱 BLE Low Energy Explained for Enterprise 指南以瞭解整合注意事項。

考官評語: 此情境突顯了在單一實體環境中處理多種裝置類型的必要性。三層分割模型是正確的做法 - 試圖在單一策略架構中管理所有裝置類型,必然會導致策略過於寬鬆或過於限制。在此處,針對訪客層使用 Purple 的 Guest WiFi 平台尤為合適,因為它既能提供安全所需的隔離,又能提供場域營運所需的分析功能。

練習題

Q1. 您的組織正在部署 ZTNA 以取代舊型 VPN。然而,返回公司辦公室的使用者在存取本地部署資料中心內託管的本地應用程式時,遇到了延遲問題,因為 ZTNA 流量正透過雲端託管的代理進行路由。推薦的架構解決方案是什麼?

提示:思考 ZTNA 用戶端如何根據使用者的實體網路環境,確定前往應用程式的最佳路徑。

查看標準答案

在公司資料中心內實作 Local Edge 或 On-Premises ZTNA Broker。設定 ZTNA 用戶端,使其在裝置透過 NAC 於內部企業網路上完成驗證時進行偵測,並透過內部代理直接將流量路由到本地應用程式,而不是透過雲端託管的代理進行髮夾彎路由(hair-pinning)。這可以減少本地部署應用程式的延遲,同時保持相同的主動身分識別存取控制。透過 API 進行的 NAC 環境共用應向 ZTNA 代理發出訊號,表明該裝置位於信任的內部網路中,從而實現本地路由決策。

Q2. 醫院的 IT 團隊需要保護數百台聯網醫療裝置(輸液幫浦、病患監護儀、影像設備),這些裝置無法執行 802.1X 請求方(supplicant)或 ZTNA 用戶端。在收斂的 NAC/ZTNA 架構中,應該如何保護這些裝置的安全?

提示:針對無法參與身分識別控制的裝置,請考慮備用驗證方法與網路層級隔離的原則。

查看標準答案

在 NAC 解決方案上利用 MAC Authentication Bypass (MAB),並結合使用 DHCP 指紋、HTTP 使用者代理和流量行為分析的深層裝置分析,以精確識別和分類每種醫療裝置類型。識別完成後,NAC 會將這些裝置動態分配到高度受限且隔離的 VLAN,這些 VLAN 僅允許與特定且必要的醫療伺服器和系統進行通訊,預設封鎖所有其他流量。ZTNA 不適用於這些裝置;安全性完全依賴嚴格的網路分割以及針對異常行為的持續流量監控。確保醫療裝置 VLAN 與持卡人資料環境完全隔離,以維持 PCI-DSS 合規性。

Q3. 在生產部署期間,您的 NAC 和 ZTNA 解決方案之間的 API 整合發生了無聲失敗 - 未觸發任何警報。隨後,企業網路上一位使用者的筆記型電腦感染了惡意軟體。請描述預期的安全結果,並找出導致此問題的架構漏洞。

提示:獨立分析中斷的環境同步對每個原則引擎的影響,並思考原本應該建立何種監控機制。

查看標準答案

NAC 解決方案將透過 EDR 整合檢測到降低的安全狀態,並在區域網路中隔離該裝置,防止其在企業環境內進行橫向移動。然而,由於 API 整合發生了無聲故障,ZTNA 代理程式並未收到更新的安全狀態上下文。如果使用者嘗試存取雲端應用程式,只要初始身分驗證代記仍然有效且尚未過期,ZTNA 用戶端可能仍會建立連線。此架構漏洞有兩方面:第一,API 整合本身缺乏健康狀況監控;第二,缺乏故障安全原則,即若上下文同步中斷超過定義的閾值,應觸發自動存取限制。修復措施是針對整合健康狀況實施專用的監控與警報,將 ZTNA 代理程式配置為需要定期進行安全狀態重新驗證(而不僅僅是初始驗證),並定義預設拒絕原則,若 NAC 上下文資料來源無法使用超過指定間隔,則該原則即會啟用。