網路存取控制是一項基礎性安全能力,它將存取企業網路資源的權利與接入端點可證明的安全健康狀態相綁定。沒有NAC執行機制,任何裝置——無論是完全打修補程式的受管工作站還是已被入侵的個人筆記型電腦——都可以接入企業網路並存取相同的資源。Ping32的NAC整合框架將端點安全態勢評估與網路存取決策連接起來,基於端點的即時合規狀態,實現對哪些端點可以存取哪些網路區段的動態、原則驅動的管控。
本文介紹Ping32的網路存取控制方案,包括合規評估維度、與網路基礎架構的整合、自動修復工作流程,以及支援合規報告的稽核能力。
合規評估與基準原則定義
Ping32的合規評估引擎在允許網路存取之前,依據可設定的安全基準評估端點。評估維度包括作業系統版本和修補程式層級、安全軟體安裝和執行狀態、磁碟加密啟用情況、防火牆設定、登錄機碼合規性,以及特定應用程式的存在或缺失。
管理員區分硬性封鎖標準——如缺少關鍵安全修補程式或端點防護被停用——無論其他因素如何都會導致立即隔離;以及顧問性標準,不封鎖存取但產生警告。基準原則可按使用者群組、裝置類型和連線方式進行範圍限定。
網路基礎架構整合
Ping32透過RADIUS協定和REST API介面與網路存取控制基礎架構整合,將合規評估結果傳達給交換器、無線控制器和VPN閘道,由這些裝置做出最終存取決策。當端點合規評估不通過時,Ping32將失敗資訊傳達給網路裝置,由其將該端點劃入修復VLAN,限制其網路存取僅到達修補程式伺服器、防毒更新伺服器和說明入口網站。
對於VPN存取情境,Ping32在通道建立之前執行預連線合規評估,並將結果傳達給VPN閘道。評估不通過的端點將被拒絕建立通道,或連線到受限制的閘道設定檔。
自動修復與重新驗證
一旦端點被劃入修復VLAN,Ping32會針對不合規的合規標準啟動適當的自動修復工作流程。缺少作業系統修補程式的問題透過自動連線企業修補程式散佈伺服器來解決。被停用的安全服務由Ping32代理程式重新啟動。
自動修復完成後,Ping32代理程式觸發重新驗證評估。如果端點現在滿足所有合規標準,它將向網路基礎架構發送訊號以恢復正常網路存取,在無需IT服務台參與的情況下完成整個修復週期。
合規稽核與報告
Ping32維護每個受管端點的完整歷史合規評估記錄,支援趨勢分析和合規態勢報告。管理儀表板按部門、位置和裝置類別即時顯示合規率,讓安全營運團隊即時瞭解受管端點群體的當前態勢。定期合規報告向安全管理員和合規專員提供常規摘要,既支援內部治理監督,也滿足外部稽核證據要求。
請先 登入 以發表留言。