基於身分的網路技術：它是什麼以及為何重要

本指南提供了關於基於身分的網路 (IBN) 的全面技術參考——它是什麼、如何運作，以及為什麼對於管理飯店、零售連鎖店、體育場館和公共部門場所中大型、多樣化使用者群的任何組織來說，它都是一項關鍵投資。它涵蓋了核心 IEEE 802.1X 架構、Purple 的雲端原生實作、真實世界的部署情境，以及一個清晰的 ROI 框架來支援採購決策。

📖 8 min read📝 1,877 words🔧 2 worked examples❓ 3 practice questions📚 9 key definitions

Listen to this guide

View podcast transcript

歡迎收聽 Purple 技術簡報。我是您的主持人，在接下來的十分鐘內，我們將揭開現代網路架構中最關鍵的轉變之一：基於身分的網路。如果您是 IT 經理、架構師或技術長，您了解這些挑戰。大量的裝置、行動使用者和無情的資安威脅。信任裝置只是因為它插入牆上特定連接埠的舊模式已經失效。今天，我們將解釋什麼是基於身分的網路（簡稱 IBN），以及為什麼它是為您的場所建立更安全、更智慧且更易於管理的網路的關鍵。

那麼，什麼是 IBN？其核心很簡單：您的身分，而不是您的位置，決定了您的網路存取權。這樣想吧。在傳統網路中，如果您將筆記型電腦插入財務部門的連接埠，您就會獲得財務層級的存取權。被信任的是連接埠。如果訪客插入同一個連接埠，他們可能就能存取敏感的財務資料。這是一種基於隱性信任的模型，在當今的威脅環境中，這種隱性信任是一種負債。

IBN 完全顛覆了這一點。它使用一個稱為 IEEE 802.1X 的標準。當您連接到網路時，您的裝置——請求者——會被交換器或存取點（我們稱之為驗證器）放入一個數位等候室。此時，驗證器只允許一種類型的流量：與中央大腦，即驗證伺服器進行對話。在 Purple，我們的驗證伺服器是我們基於雲端的 RADIUS 平台。您的裝置出示其憑證——也許是來自 Azure Active Directory 的企業登入，或是一個安全的數位憑證。Purple 雲端檢查您的身分，並根據我們一起定義的策略，告訴驗證器該怎麼做。

它可能會說：「這是行銷部門的 Sarah。將她放在 Marketing VLAN，並具有行銷活動伺服器的存取權和 50 Mbps 的頻寬配額。」或者它可能會說：「這是一個未註冊的訪客裝置。將其放在 Guest VLAN，僅具有網際網路存取權，啟用客戶端隔離，並設定 10 Mbps 的上限。」這裡的關鍵是動態 VLAN 指派。同一個實體連接埠或 Wi-Fi 存取點可以為數十種不同類型的使用者提供服務，每個使用者都安全地隔離在自己的虛擬網路中，全部來自單一的 SSID。這是零信任架構的基礎：永不信任，始終驗證。我們驗證使用者，然後才準確授予他們所需的存取權，不多也不少。

讓我們更詳細地談談這些元件，因為了解架構有助於您正確部署它。三大支柱是請求者、驗證器和驗證伺服器。請求者只是使用者裝置上的軟體。好消息是，現代作業系統——Windows、macOS、iOS 和 Android——都內建了 802.1X 請求者。您的使用者無需安裝任何特殊軟體。

驗證器是您的網路硬體：您的交換器和無線存取點。要讓這一切運作，您的硬體需要支援 802.1X。過去十年中絕大多數的企業級設備都支援。我們談論的是 Cisco、Meraki、Aruba、Ruckus 等許多其他品牌。驗證器是守門人。它在收到驗證伺服器的綠燈之前，會一直保持門關閉。

驗證伺服器是智慧所在。在傳統部署中，這將是一個本地的 RADIUS 伺服器，管理複雜且是單點故障。Purple 用一個雲端原生、全球分佈的服務取代了它。這意味著無需機架和堆疊伺服器，無需修補，也沒有單點故障。我們的平台直接連接到您現有的身分提供者，無論是 Azure Active Directory、Okta、Google Workspace 還是本地資料庫。這一點至關重要。這意味著您的網路存取策略是由與您的電子郵件和應用程式存取相同的事實來源驅動的。當員工離職且其帳戶在 Azure AD 中被停用時，他們的網路存取權會立即被撤銷。無需手動干預。

現在，讓我們透過幾個真實世界的場景來看看實際應用。設想一家擁有 500 間客房的豪華飯店。他們目前有一個 WPA2 密碼，與每位客人、每位員工和每個 IoT 裝置（從智慧迷你吧到門鎖）共享。這是一個重大的安全性和合規性風險。理論上，任何客人都可以嗅探員工裝置的流量。一個遭入侵的 IoT 裝置可能會轉而攻擊物業管理系統。

使用 IBN，我們定義了四個不同的角色。客人透過 Captive Portal 進行驗證，輸入他們的房間號和姓氏。他們落在 Guest VLAN 上，具有頻寬上限和客戶端隔離。會議與會者獲得一個由活動組織者提供的單獨的、限時的憑證。員工使用他們的 Active Directory 憑證進行驗證，落在 Staff VLAN 上，具有物業管理系統的存取權。而 IoT 裝置則使用一種稱為 MAC 驗證繞過的技術進行處理，我們預先註冊它們的硬體位址，並將它們放入一個完全隔離的 IoT VLAN，該 VLAN 只能與它們特定的管理平台通訊。結果是一個乾淨、單一的 Wi-Fi 網路，安全地為所有人提供服務，每個群組之間完全隔離。

第二個場景是一家擁有 150 家門市的零售連鎖店。他們需要實現 PCI DSS 合規性，這要求支付卡資料與所有其他網路流量完全隔離。他們的手持銷售點掃描器目前與訪客 Wi-Fi 在同一個網路上。那是一場合規性的噩夢。使用 IBN，我們為掃描器部署了基於憑證的驗證。每個裝置都有一個由公司憑證機構頒發的唯一數位憑證。當掃描器連接時，Purple 驗證該憑證，並將裝置放在 POS VLAN 上，該 VLAN 具有嚴格的防火牆策略，只允許與支付閘道通訊。訪客在一個完全獨立的 VLAN 上，沒有通往 POS 網路的路由。實現了 PCI DSS 合規性，同時訪客 Wi-Fi 也透過 Purple 的分析平台成為有價值的行銷資料來源。

現在，讓我們談談實施。您如何達到目標？這是一個分階段的方法，我總是建議不要採用大爆炸式的部署。首先，稽核您的基礎設施。確認您的交換器和存取點支援 802.1X。更新韌體。其次，這是最重要的一步，定義您的使用者角色和存取策略。與您的人力資源、營運和管理部門的利害關係人合作。誰在您的網路上？他們需要什麼？什麼是明確禁止的？在觸及任何配置檔案之前，清楚地記錄這些。

第三，配置您的網路硬體指向 Purple 雲端 RADIUS 服務。這通常是在您的網路控制器中進行的一個簡單更改，無論是 Meraki Dashboard、Aruba Central，還是 Cisco ISE 配置。您新增一個 RADIUS 設定檔，包含我們的端點位址和一個共享金鑰。第四，在試點環境中徹底測試。建立一個新的 SSID，並讓一小群使用者上線。驗證每個角色。確保行銷使用者獲得行銷存取權，財務使用者獲得財務存取權。並且關鍵的是，測試您的故障模式。如果 RADIUS 伺服器無法連線會發生什麼？您希望您的硬體故障關閉，而不是故障開放。

最後，向整個組織推出，並退役舊的、不安全的網路。與您的使用者清楚地溝通。為首次連接提供逐步指南。在過渡期間提供服務台支援。

讓我快速進行一問一答，回答我最常收到的問題。

問題一：我需要更換所有硬體嗎？幾乎肯定不需要。如果您的基礎設施使用不到十年，且來自知名供應商，它幾乎肯定支援 802.1X。檢查規格表。

問題二：不支援 802.1X 的裝置怎麼辦，例如舊式印表機或舊式 IoT 裝置？我們使用 MAC 驗證繞過，就像我在飯店場景中提到的那樣。它不如完整的 802.1X 安全，但比將那些裝置留在開放網路上要好得多。您註冊裝置的 MAC 位址，將其分配到受限的 VLAN，並應用嚴格的防火牆規則。

問題三：這只適用於 Wi-Fi 嗎？絕對不是。802.1X 和 IBN 同樣適用於您的有線網路。您建築中的每個乙太網路連接埠都應該使用基於身分的存取控制進行保護。如果您只保護無線網路而讓有線網路開放，那麼您就有一個重大的缺口。

問題四：這與我們現有的 VPN 如何互動？IBN 和 VPN 是互補的。IBN 保護本地網路存取層。VPN 保護遠端存取的通道。在現代零信任架構中，您會兩者都用。

總結來說，基於身分的網路使您的身分成為您網路存取的關鍵。它用一個動態的、策略驅動的模型取代了基於連接埠網路的脆弱、隱性信任，在這個模型中，每個使用者都經過驗證，然後才準確獲得他們所需的存取權。好處是巨大的。透過自動化大幅減少管理開銷。透過微分割和零信任原則顯著提升安全姿態。簡化對 PCI DSS、GDPR 和其他監管框架的合規性。以及一個能夠產生有關您場所使用方式的寶貴商業智慧的網路。

這項技術已成熟，標準已完善，工具從未如此易於取得。Purple 的雲端原生平台消除了部署 RADIUS 和 802.1X 的傳統複雜性，使各種規模的組織都能使用企業級的 IBN。

如果您準備好邁出下一步，請造訪我們的網站 purple.ai，與我們的解決方案架構師之一交流。我們可以評估您目前的基礎設施，定義您的存取策略，並在幾天內（而不是幾個月）讓您運行概念驗證。

感謝您收聽 Purple 技術簡報。我們下次再見。

Key Takeaways

✓基於身分的網路 (IBN) 將網路存取與已驗證的使用者身分綁定，而不是與實體連接埠或 MAC 位址綁定。
✓它是現代零信任安全策略的核心組成部分，遵循「永不信任，始終驗證」的原則運作。
✓關鍵的使能技術包括 IEEE 802.1X、RADIUS、EAP 和動態 VLAN 指派。
✓IBN 透過自動化 VLAN 和存取規則管理，大幅簡化了網路管理。
✓它透過降低營運成本、減輕外洩風險和增強法規合規性（PCI DSS、GDPR）來提供可衡量的 ROI。
✓Purple 提供一個雲端原生 RADIUS 平台，與現有的 IdP（Azure AD、Okta）整合，無需本地基礎設施即可大規模實施 IBN。
✓部署應遵循分階段方法：稽核基礎設施、定義角色、配置 Purple、試點測試，然後全面推出。

執行摘要

基於身分的網路 (IBN) 代表網路存取管理方式的根本轉變，從靜態、基於連接埠的模型轉向動態、以使用者為中心的模型。在傳統網路中，存取權限與實體連接埠或 MAC 位址綁定，形成一個僵化且不安全的環境。IBN 將網路存取權限與使用者的驗證身分綁定。這意味著無論使用者如何連接或從何處連接——透過 Wi-Fi、乙太網路或 VPN——他們對網路資源的存取權限是由他們的身分決定，而不是他們使用的裝置或他們插入的位置。

對於管理大型、多樣化使用者群的組織，例如飯店、零售連鎖店和體育場館，這是一個改變遊戲規則的技術。它預設實現了零信任安全姿態，每個使用者和裝置在獲得存取權之前都必須經過驗證和授權。這極大地簡化了網路分段，透過遏制威脅增強了安全性，並簡化了對 PCI DSS 和 GDPR 等法規的合規性。

對於技術長 (CTO)，IBN 透過減少管理複雜 VLAN 和存取控制清單 (ACL) 的管理開銷，降低安全漏洞的風險，並提供對可以為業務策略提供資訊的網路使用模式的深度可視性，從而實現顯著的投資回報 (ROI)。Purple 的 IBN 實作利用現有基礎設施，並與雲端身分提供者無縫整合，提供適合現代企業的可擴展、有彈性且智慧的存取層。

技術深入探討

從連接埠到人：核心架構轉變

傳統網路是裝置靜態且使用者固定在辦公桌的時代的遺留物，其運作原則是基於網路邊界內的隱性信任。一個已驗證的裝置是被信任的，且其實體連接點（交換器連接埠）決定其網路存取。在 BYOD（自帶裝置）、IoT 和行動勞動力的現代時代，此模型充滿了挑戰。

基於身分的網路 (IBN)，通常使用 IEEE 802.1X 標準 實作，從根本上顛覆了此模型。它將使用者與實體連接埠分離，並以身分作為新的邊界。IBN 架構的核心元件是：

請求者 (Supplicant)：請求網路存取的用戶端裝置（例如筆記型電腦、智慧型手機）。它執行與驗證器通訊的軟體。現代作業系統——Windows、macOS、iOS 和 Android——包含原生的 802.1X 請求者，因此終端使用者無需安裝額外的軟體。

驗證器 (Authenticator)：網路存取裝置，例如無線存取點 (WAP) 或乙太網路交換器。它充當守門人，阻止或允許來自請求者的流量。驗證器將連接埠保持在未授權狀態，直到它從驗證伺服器收到明確的指令。

驗證伺服器 (AS)：通常是 RADIUS（遠端驗證撥入使用者服務）伺服器。此伺服器是操作的智慧層。它從驗證器接收請求者的憑證，根據身分存放區（例如 Azure Active Directory、Google Workspace、本地資料庫）進行驗證，並發回包含特定網路策略的授權決策。

當使用者連接時，驗證器將連接埠置於未授權狀態，阻止除了 802.1X 驗證封包之外的所有流量。請求者提供其憑證，驗證器將其轉發給驗證伺服器。AS 檢查身分，並根據預先定義的策略，指示驗證器該怎麼做。此指示不僅僅是簡單的二進位允許或拒絕；它可以包括動態 VLAN 指派、服務品質 (QoS) 設定檔、工作階段超時和特定的防火牆規則。企業使用者可能被分配到 CORP_VLAN 並具有內部伺服器存取權，而訪客則被分配到 GUEST_VLAN 並僅能存取網際網路——來自相同的 SSID 或實體連接埠。

Purple 如何實作 IBN

Purple 的平台充當雲端原生的驗證伺服器和策略引擎，專為大型公共場所的複雜性而設計。我們的方法專注於抽象化 RADIUS 和 802.1X 配置的複雜性。

雲端原生 RADIUS：我們消除了對本地驗證伺服器的需求，提供全球分佈、高可用性、按需擴展的服務。無需機架伺服器，無需修補韌體，無單點故障。

身分提供者 (IdP) 整合：我們與領先的 IdP 無縫連接，包括 Azure AD、Okta 和 Google Workspace。這使組織能夠使用其現有的單一身分真實來源，確保當員工帳戶被停用時，其網路存取權立即被撤銷。

動態策略引擎：我們直覺的管理主控台允許 IT 管理員根據使用者屬性（例如群組成員資格、角色和部門）建立精細的存取策略。一個策略可能會聲明：「所有在『Retail-Staff』群組中的使用者，在上午 9 點到下午 5 點之間連接到『Staff-WiFi』SSID，將被分配到『POS_VLAN』，頻寬限制為 10 Mbps。」

動態 VLAN 指派：這是我們 IBN 實作的基石。網路不再需要在每個交換器連接埠上手動配置 VLAN，而是根據使用者的身分動態地將其分配到正確的 VLAN。這是一個巨大的營運效率提升，也是一項顯著的安全性增強。

實作指南

使用 Purple 部署 IBN 是一個結構化的過程，旨在從第一天起就最大限度地減少中斷並最大限度地提高安全性。

步驟 1：網路基礎設施稽核

在部署之前，請驗證您的網路硬體——交換器和存取點——支援 IEEE 802.1X。過去十年製造的大多數企業級設備都支援。這包括 Cisco、Meraki、Aruba 和 Ruckus 等供應商。確保所有韌體都是最新的，因為較舊的韌體版本可能存在已知的 802.1X 漏洞。

步驟 2：定義使用者角色和存取策略

這是最關鍵的階段。與人力資源、營運和管理部門的利害關係人合作，將所有網路使用者分類為不同的角色。常見的範例包括企業員工（完整存取內部資源）、訪客使用者（透過 Captive Portal 僅存取網際網路）、承包商（對特定應用程式的限時存取）和 IoT 裝置（對專用 VLAN 的高度限制存取，僅與其特定管理伺服器通訊）。對於每個角色，明確定義所需的存取層級。

步驟 3：將 Purple 配置為驗證伺服器

在您的網路控制器中——例如 Meraki Dashboard 或 Aruba Central——配置一個指向 Purple 驗證端點的新 RADIUS 設定檔，並使用共享金鑰。這將在您的網路硬體和 Purple 雲端之間建立信任關係。Purple 的入門文件提供了針對所有主要硬體供應商的逐步配置指南。

步驟 4：分階段推出和測試

不要嘗試一次性切換。從一個試點使用者群組或您場所的特定區域開始，例如一個樓層或一個非關鍵的零售店。為 IBN 試點建立一個新的、專用的 SSID。讓試點使用者上線並測試所有定義的角色。驗證使用者是否被分配到正確的 VLAN，以及存取權限是否正確實施。關鍵是測試故障模式：如果 RADIUS 伺服器無法連線會發生什麼？將硬體配置為故障關閉狀態。

步驟 5：全面部署和舊系統退役

一旦試點成功，將推出範圍擴大到整個組織。制定清晰的溝通計劃，引導使用者完成連接到新安全網路的一次性過程。一旦所有使用者遷移完成，停用舊的、不安全的 SSID 和連接埠配置。

最佳實踐

利用 WPA3-Enterprise：在支援的情況下，將 WPA3-Enterprise 與 802.1X 結合使用。它提供了比 WPA2 顯著的安全性增強，包括管理訊框保護 (802.11w) 和更強的加密演算法。

基於憑證的驗證：對於企業裝置，超越使用者名稱和密碼憑證 (EAP-PEAP)，並實作基於憑證的驗證 (EAP-TLS)。這是 802.1X 安全性的黃金標準，因為它減輕了網路釣魚風險，並透過消除密碼提示簡化了使用者體驗。

集中化身分：為使用者身分維護一個單一、權威的真實來源。這可以防止身分蔓延，並確保當員工離開組織時，其網路存取權在來源立即被撤銷。

定期策略審查：使用者角色和存取需求會改變。每季審查您的 IBN 策略，以確保它們仍符合業務需求和安全原則。清理未使用的角色並收緊寬鬆的規則。

最佳實踐	標準 / 參考	優先級
WPA3-Enterprise	IEEE 802.11ax, Wi-Fi Alliance	高
憑證驗證 (EAP-TLS)	RFC 5216	高
動態 VLAN 分段	IEEE 802.1Q	關鍵
集中化身分 (IdP)	NIST SP 800-63	關鍵
故障關閉 RADIUS 策略	CIS Benchmark	高
每季策略審查	ISO 27001	中

疑難排解與風險緩解

故障模式：RADIUS 伺服器無法連線

如果驗證器無法連線到 Purple 雲端，預設的硬體行為可能是故障開放（允許所有存取）或故障關閉（拒絕所有存取）。為了最大安全性，將您的硬體配置為故障關閉狀態。Purple 的地理分佈基礎設施使長時間中斷極不可能發生，但縱深防禦至關重要。考慮為關鍵基礎設施配置本地 RADIUS 備份。

故障模式：策略配置錯誤

一個寫得不好的策略可能會授予過多的權限或拒絕合法存取。使用預備環境或試點群組，在推送到生產環境之前測試每一個策略變更。Purple 的策略模擬器允許您在提交變更之前測試使用者的預期存取層級。

風險：上線複雜度

使用者的初始連接過程可能很複雜，尤其是在憑證部署方面。提供清晰的逐步指南和螢幕截圖，並在過渡期間提供服務台支援。考慮部署像 Purple 的 Network Access Manager 這樣的上線工具，以自動化裝置配置過程。

風險：不支援 802.1X 的舊裝置

並非所有裝置——尤其是較舊的 IoT 硬體、印表機和醫療設備——都支援 802.1X。對這些裝置使用 MAC 驗證繞過 (MAB)，預先註冊它們的 MAC 位址，並將它們分配到高度受限、隔離的 VLAN，並設定嚴格的防火牆規則。

ROI 與業務影響

IBN 的商業案例建立在三大支柱上：降低成本、風險緩解和業務賦能。

降低成本：主要的節省是營運方面的。自動化 VLAN 和 ACL 管理大大減少了網路管理所需的工時。根據獨立的網路營運基準，動態 VLAN 指派可以將網路配置時間減少超過 85%。這將 IT 人員釋放出來，專注於策略計畫而不是日常維護。

風險緩解：資料外洩的成本是巨大的——IBM 的資料外洩成本報告一直將全球平均水準放在 400 萬美元以上。透過實作零信任模型和微分割，IBN 顯著減少了攻擊面。如果使用者的裝置遭到入侵，外洩將被限制在其特定的、有限的網路區段內。這對於零售業的 PCI DSS 合規性和公共部門組織的 GDPR 合規性至關重要。

業務賦能：IBN 提供了關於誰在使用網路、他們在哪裡以及他們在做什麼的豐富資料。這種智慧對於場所營運來說非常寶貴。飯店可以了解客人的移動模式，零售商可以分析不同部門的人流，體育場可以根據即時人群密度優化人員配置。這將網路從成本中心轉變為策略性業務資產。

ROI 維度	指標	典型結果
營運效率	每週節省的 IT 管理員時數	減少 40-60%
安全姿態	攻擊面減少	透過微分割顯著減少
合規性	稽核準備時間	透過自動化記錄減少
商業智慧	訪客資料擷取率	透過 Captive Portal 整合提高
員工生產力	網路配置時間	減少超過 85%

Key Definitions

基於身分的網路 (IBN)

一種網路管理方法，根據使用者或裝置的已驗證身分授予對網路資源的存取權，而不是根據其實體連接點或 IP 位址。

IT 團隊使用 IBN 來創建更安全、更靈活的網路，可以安全地處理 BYOD、IoT 和行動使用者。它是零信任網路架構的基礎技術。

IEEE 802.1X

一種用於基於連接埠的網路存取控制 (PNAC) 的 IEEE 標準。它為希望連接到 LAN 或 WLAN 的裝置提供驗證機制，使用 EAP 框架來攜帶驗證憑證。

這是支撐大多數 IBN 部署的主要技術標準。網路硬體必須支援 802.1X 才能與身分驅動的存取模型相容。

RADIUS

遠端驗證撥入使用者服務。一種網路通訊協定，為連接和使用網路服務的使用者提供集中化的驗證、授權和計費 (AAA) 管理。

RADIUS 伺服器是 IBN 系統的大腦。它決定誰可以存取以及他們獲得什麼層級的存取權。Purple 以雲端原生服務的形式提供此功能，消除了對本地 RADIUS 基礎設施的需求。

動態 VLAN 指派

網路根據使用者的已驗證身分將其分配到特定虛擬 LAN (VLAN) 的能力，無論他們連接到哪個實體連接埠或 SSID。

這是 IBN 的一個關鍵營運優勢。它自動化了網路分段的過程，節省了大量的管理時間，並降低了導致安全事件的錯誤配置風險。

請求者 (Supplicant)

用戶端裝置（例如筆記型電腦或智慧型手機）上的軟體，在 802.1X 驗證過程中向網路驗證器提供憑證。

現代作業系統（Windows、macOS、iOS、Android）都內建了 802.1X 請求者，因此終端使用者無需安裝任何特殊軟體即可連接到 IBN 保護的網路。

EAP (可延伸驗證協定)

一種驗證框架，為請求者和驗證伺服器之間協商驗證方法提供了一種通用方式。常見的 EAP 類型包括 EAP-TLS（基於憑證）和 EAP-PEAP（基於密碼）。

IT 團隊根據他們期望的安全性和可用性平衡來選擇 EAP 類型。EAP-TLS 是最安全的選項，建議用於企業裝置；EAP-PEAP 部署較簡單，但依賴於密碼安全性。

MAC 驗證繞過 (MAB)

一種允許不具備 802.1X 請求者支援的裝置在 IBN 網路上進行驗證的技術，透過向驗證伺服器預先註冊其硬體 MAC 位址。

MAB 對於無法參與 802.1X 的 IoT 裝置、印表機和舊式硬體來說是一種實用的解決方案。它不如完整的 802.1X 驗證安全，應結合嚴格的 VLAN 隔離和防火牆規則使用。

零信任

一種基於「永不信任，始終驗證」原則的安全模型。它要求所有使用者，無論是在組織網路內部還是外部，在被授予對應用程式和資料的存取權之前，都必須經過驗證、授權和持續驗證。

IBN 是實現零信任架構的基礎技術。它確保在允許任何流量流動之前，就在網路邊緣應用「始終驗證」的原則。

WPA3-Enterprise

用於企業網路的最新一代 Wi-Fi 保護存取安全協定。它強制使用 802.1X 驗證，並提供更強的加密（192 位元安全模式）和管理訊框保護。

IT 團隊應針對所有新部署和硬體更新，以 WPA3-Enterprise 為目標。它提供了比 WPA2-Enterprise 顯著的安全性提升，尤其是在高密度的公共環境中。

Worked Examples

一家 500 間客房的豪華飯店需要為客人、會議與會者、員工和後台 IoT 裝置（迷你吧、智慧門鎖）提供安全、差異化的 Wi-Fi 存取。他們目前對所有人使用一個共用、共享的 WPA2-Personal 密碼，這是一個重大的安全性和合規性風險。

角色定義：定義四個不同的角色：客人、會議、員工和 IoT。
在 Purple 中建立策略：
- 客人：透過 Captive Portal 使用房間號和姓氏進行驗證。分配到 Guest_VLAN，頻寬上限為 20 Mbps，並啟用客戶端隔離以防止點對點攻擊。
- 會議：使用由活動組織者提供的共用、限時憑證進行驗證。分配到 Conference_VLAN，頻寬上限為 50 Mbps，允許同一會議群組內的裝置之間通訊。
- 員工：透過 Azure AD 憑證進行驗證。分配到 Staff_VLAN，僅可存取物業管理系統 (PMS) 和內部伺服器。
- IoT：使用 MAC 驗證繞過 (MAB) 和預先註冊的裝置 MAC 位址清單進行驗證。分配到 IoT_VLAN，該 VLAN 沒有網際網路存取權，只能與 IoT 管理平台通訊。
網路配置：配置飯店 AP 使用 Purple 的雲端 RADIUS。建立單一的 SSID，Hotel_WiFi，使用 WPA2/WPA3-Enterprise。
推出：在全面部署之前，在飯店的一個側翼試行新的 SSID。在擴展之前驗證每個角色。

Examiner's Commentary: 此解決方案有效地使用單個 SSID 為多個使用者群組提供服務，這是 RF 效率的最佳實踐，並簡化了訪客體驗。對 IoT 裝置使用 MAB 是對於不支援 802.1X 的硬體的務實讓步——一個常見的現實世界限制。關鍵的成功因素是在 Purple 雲端中的精細策略實施，這消除了對複雜的現場硬體配置的需求，並提供了一個單一窗格來管理整個物業的所有存取策略。

一家擁有 150 家門市的零售連鎖店想要更換其老舊的訪客 Wi-Fi，並為企業員工、使用手持掃描器的店員和第三方供應商（商品推銷員）提供安全的網路存取。他們需要實現並維持 PCI DSS 合規性。

角色定義：定義四個角色：企業、Store_Associate、供應商和訪客。
在 Purple 中建立策略：
- 企業：透過 Okta 憑證進行驗證。分配到 CORP_VLAN，具有完整的網路存取權。
- Store_Associate：透過 EAP-TLS（由公司 CA 頒發的裝置憑證）驗證手持掃描器。分配到 POS_VLAN，該 VLAN 與所有其他網路流量完全隔離，僅能存取支付處理閘道和庫存伺服器。這是 PCI DSS 合規性的關鍵控制。
- 供應商：透過自助服務入口網站進行驗證，在那裡他們註冊限時存取（例如 8 小時）。分配到 Vendor_VLAN，僅具有網際網路存取權。
- 訪客：透過社交登入（Facebook、Google）或電子郵件在品牌化 Captive Portal 上進行驗證。分配到 Guest_VLAN，並啟用客戶端隔離。
網路配置：在所有門市部署 Meraki AP，透過 Meraki Dashboard 集中管理。配置 Retail_Secure SSID 指向 Purple 進行驗證。在 Purple 中集中所有策略管理。
衡量：使用 Purple 的分析來追蹤訪客參與度、停留時間和重複訪問次數，為行銷團隊提供有價值的資料，並展示 Wi-Fi 投資的商業價值。

Examiner's Commentary: POS_VLAN 的分段是實現 PCI DSS 合規性的最關鍵要素。透過對掃描器使用基於憑證的驗證，該連鎖店消除了與密碼相關的風險，並確保只有授權的、受管理的裝置才能存取支付系統。該解決方案不僅增強了安全性，還將訪客 Wi-Fi 從成本中心轉變為行銷情報的來源，加強了整個部署的 ROI 案例。

Practice Questions

Q1. 一個大型會議中心正在舉辦一場有 5,000 名與會者、200 名活動工作人員和一支需要保證頻寬的專用直播製作團隊的高規格科技活動。您將如何設計 IBN 策略，從單一網路基礎設施為這三個群組提供服務？

Hint: 考慮每個群組的獨特需求：與會者需要基本的網際網路存取，工作人員需要存取活動管理系統，而製作團隊需要保證、高優先級且無爭用的頻寬。

View model answer

定義三個不同的角色。與會者透過簡單的 Captive Portal 進行驗證（電子郵件地址或活動註冊代碼）。將他們放在 Public_VLAN 上，設定嚴格的每客戶端頻寬限制（例如 5 Mbps）並啟用客戶端隔離，以防止點對點攻擊並確保公平的頻寬分配。活動工作人員使用由活動組織者管理的預先共享憑證進行驗證。將他們放在 Staff_VLAN 上，頻寬限制較高（例如 25 Mbps），並能存取活動管理系統。製作團隊是最關鍵的群組。使用 EAP-TLS 憑證驗證其設備，以獲得最高安全性。將他們放在專用的 Production_VLAN 上，具有最高的 QoS 優先級（DSCP EF 標記），且無頻寬限制。此 VLAN 必須與所有其他流量完全隔離，以保證直播的效能。使用 Purple 的策略引擎為與會者憑證設定與活動日程相符的工作階段超時。

Q2. 您的 CFO 正在質疑對 IBN 解決方案的投資，認為現有的 WPA2-Personal 密碼「運作良好」。您如何建構一個專注於 ROI 的引人入勝的商業案例？

Hint: 將技術優勢——安全性、自動化、合規性——轉化為財務術語：成本節省、風險降低和收入賦能。

View model answer

商業案例有三個部分。首先，營運節省：計算您的 IT 團隊每週花在手動網路更改上的時間（MAC 白名單、VLAN 更新、ACL 更改、密碼重設）。展示使用 IBN 自動化這些工作如何將這些時間釋放給策略專案。即使每週恢復五個小時，以每小時 50 英鎊的完全負載成本計算，也代表每年 13,000 英鎊的生產力回收。其次，風險降低：引用關於資料外洩平均成本的行業資料。將 IBN 框架為一種保險政策，透過實施微分割和零信任原則，顯著降低此類事件發生的概率。第三，合規成本：如果受到 PCI DSS 或 GDPR 的約束，強調審計失敗的成本或潛在監管罰款的規模（根據 GDPR，最高可達全球年營業額的 4%）。將 IBN 定位為實現合規性的關鍵推動因素，直接降低該財務風險。

Q3. 您正在一家醫院部署 IBN。一台關鍵的醫療設備——MRI 掃描器——不支援 802.1X。您如何安全地將其連接到網路，同時維持您的零信任姿態？

Hint: 該裝置無法使用標準 802.1X 自行驗證。網路如何代表它進行驗證，以及需要哪些補償控制？

View model answer

這是使用 MAC 驗證繞過 (MAB) 的經典案例。在 Purple 平台中註冊 MRI 掃描器的 MAC 位址，並將其與 Medical_Device 存取設定檔關聯。當交換器偵測到該 MAC 位址時，它會查詢 Purple，Purple 指示交換器將該裝置放入高度受限的 Medical_VLAN。這個 VLAN 必須有一個嚴格的防火牆策略（在網路層實施），僅允許 MRI 機器在特定連接埠上與其專用的成像伺服器通訊，並阻止所有其他流量。這為舊式或不支援請求者的裝置提供了一個安全但較不理想的 802.1X 替代方案。將其記錄為安全風險登記冊中的已知例外，並安排在下一個可用機會進行硬體更新，以更換為支援 802.1X 的型號。嚴格的 VLAN 隔離和防火牆規則的補償控制是維持零信任姿態的關鍵。