
Controllo accesso di rete Cos’è il controllo accesso di rete (NAC)?
Il controllo dell’accesso alle risorse digitali è una funzionalità di sicurezza IT critica per le organizzazioni. Le soluzioni di controllo accesso di rete (NAC) consentono all’IT di autorizzare o impedire l’accesso alle risorse della rete per utenti e dispositivi Ricoprono quindi un ruolo importante nella concessione dell’accesso con privilegi minimi alle risorse, un requisito basilare delle strategie di sicurezza Zero Trust.

- Descrizione di ZTNA
- Perché il NAC è importante?
- Come funziona il NAC?
- Quali sono gli esempi di NAC?
- Come faccio a scegliere una soluzione NAC?
Descrizione di ZTNA
Il controllo accesso di rete impedisce agli utenti e dispositivi di accedere alle risorse in base a regole stabilite dall’IT. Analogamente alle serrature delle porte e ai badge di sicurezza che impediscono i tentativi di intrusione nelle risorse fisiche dell’organizzazione, come edifici e uffici, il controllo accesso di rete protegge le risorse digitali collegate in rete dall’accesso non autorizzato.
Perché il NAC è importante?
- Sicurezza: il controllo accesso di rete protegge le risorse da manomissioni e furti da parte di utenti malintenzionati. Le soluzioni NAC garantiscono che solo gli utenti e i dispositivi con le autorizzazioni appropriate possano accedere alla rete e alle relative risorse. Inoltre, alcune sono in grado di identificare i soggetti che potrebbero partecipare a un attacco e di mettere in quarantena o bloccare il loro accesso in attesa di ulteriori indagini. Questa funzionalità consente di prevenire la diffusione degli attacchi.
- Privacy: le organizzazioni gestiscono volumi di dati sempre maggiori e di tipi più diversi, alcuni dei quali sensibili e/o riservati. Le soluzioni di controllo accesso di rete consentono alle organizzazioni di definire chi, cosa, quando e come può accedere ai dati sulla rete per ridurre il rischio di violazioni.
- Compliance: le organizzazioni regolamentate devono spesso conformarsi a obblighi in materia di privacy e protezione dei dati, come il Regolamento generale sulla protezione dei dati (GDPR), l’Health Insurance Portability and Accountability Act (HIPAA) e il Sarbanes-Oxley (SOX). Le soluzioni NAC le aiutano a rispettare tali obblighi limitando l’accesso ai dati, mantenendo il traffico sicuro e separato e fornendo log e report per gli audit.
Come funziona il NAC?
Il controllo accesso di rete si basa sul concetto che a utenti e dispositivi (soggetti) diversi debbano essere concessi tipi di accesso diversi in base alle esigenze. La granularità si riferisce al livello di dettaglio con cui è possibile definire un soggetto e le sue esigenze e applicare le autorizzazioni di accesso associate. I controlli accesso di rete altamente granulari sono un componente chiave degli approcci alla sicurezza zero trust che limitano l’accesso di un soggetto alle risorse necessarie per svolgere le sue mansioni o assolvere la sua funzione.
Per proteggere efficacemente le risorse, le soluzioni NAC devono fornire diverse funzionalità intercorrelate attraverso una combinazione di tecnologie.
Quali sono gli esempi di NAC?
Una soluzione NAC fornisce l’accesso sicuro alle risorse nell’intera organizzazione. Ad esempio, un ospedale la usa per profilare, proteggere e gestire la connettività dei dispositivi IoT autorizzati, escludendo gli altri. Un centro logistico la usa per autenticare ogni dispositivo cablato e wireless che accede alla rete, come i robot, e per implementare policy coerenti basate sui ruoli. Un sistema scolastico la usa per autenticare studenti, docenti, personale e ospiti e applicare una segmentazione granulare del traffico in base a regole definite.


Come faccio a scegliere una soluzione NAC?
Per la scelta di una soluzione NAC, devono essere considerati i seguenti aspetti:
- interoperabilità e caratteristiche vendor neutral per evitare componenti aggiuntivi costosi e la dipendenza da un fornitore;
- dimostrata capacità di mantenere il traffico sicuro e separato;
- disponibilità di servizi per supportare i massimi uptime e la continuità operativa;
- scalabilità per supportare centinaia di migliaia di endpoint simultanei;
- leadership di mercato e indicazioni che riconoscono la capacità di ridurre il rischio informatico, ad esempio Cyber CatalystSM di Marsh.
Elementi di NAC
Capacità | Funzione | Tecnologie |
---|---|---|
Visibilità | Sapere chi e cosa è connesso alla rete in qualsiasi momento | Data collector fisici o virtuali; metodi di individuazione attivi (NMAP, WMI, SNMP, SSH) e passivi (SPAN, DHCP, NetFlow/S-Flow/IPFIX); profilazione dei dispositivi assistita da AI/ML; ispezione approfondita dei pacchetti |
Autenticazione | Accertare con sicurezza che un utente o un dispositivo è chi/cosa dichiara di essere | Autenticazione 802.1x; EAP-TLD, RADIUS, TAC-ACS; autenticazione a più fattori; certificati |
Definizione delle policy | Definire regole per utenti e dispositivi riguardanti le risorse a cui possono accedere e in che modo | Tool di scrittura di regole, che possono includere parametri concettuali come ruolo, tipo di dispositivo, metodo di autenticazione, integrità del dispositivo, schemi di traffico, posizione e ora del giorno |
Autorizzazione | Determinare le regole appropriate per l’utente o il dispositivo autenticato | |
Applicazione | Autorizzare, negare o revocare l’accesso di un utente o di un dispositivo autenticato a una risorsa in base a una policy appropriata | Integrazione e comunicazione bidirezionale con firewall e altri tool di sicurezza |
A cosa serve il NAC?
Le soluzioni NAC come HPE Aruba Networking ClearPass possono soddisfare diversi casi d’uso di connettività sicura all’interno delle organizzazioni:
NAC per ospiti e dipendenti a tempo determinato | Con ClearPass Guest gli addetti alla reception, i coordinatori di eventi e il resto del personale non IT possono creare in modo facile ed efficiente account temporanei di accesso alla rete per un numero illimitato di ospiti al giorno. ClearPass Guest offre anche un portale di registrazione self-service personalizzato per consentire ai visitatori di creare le proprie credenziali, che vengono quindi memorizzate in ClearPass per periodi di tempo predeterminati e impostate per la scadenza automatica. |
---|---|
NAC per il modello Bring Your Own Device (BYOD) | ClearPass Onboard esegue automaticamente la configurazione e il provisioning dei dispositivi mobili per una connessione sicura alle reti aziendali. I dipendenti possono configurare autonomamente i loro dispositivi con i passaggi di una registrazione guidata e le istruzioni per la connettività. A ogni dispositivo vengono applicati certificati univoci, in modo che gli utenti connettano i propri dispositivi in sicurezza interagendo al minimo con l’IT. |
NAC per la valutazione della postura di sicurezza degli endpoint | ClearPass OnGuard esegue la valutazione della postura di endpoint/dispositivi per garantire che i requisiti di compliance e sicurezza siano soddisfatti prima che della connessione alla rete aziendale, senza introdurre vulnerabilità negli ambienti IT aziendali. |
NAC per dispositivi Internet of Things (IoT) | ClearPass Device Insight garantisce la visibilità completa dei dispositivi connessi alla rete con punteggio di rischio e machine learning per identificare i dispositivi sconosciuti e ridurre i tempi di identificazione. ClearPass Device Insight monitora inoltre il comportamento dei flussi di traffico per una maggiore sicurezza. |
NAC per dispositivi cablati | ClearPass OnConnect fornisce il controllo di accesso sicuro per dispositivi cablati come stampanti e telefoni VoIP che non vengono autenticati con le tecniche 802.1x. |
NAC cloud native | HPE Aruba Networking Central Cloud Auth si integra con i comuni archivi di identità cloud per offrire policy basate su cloud di onboarding e sicurezza in base ai ruoli per utenti e dispositivi. |
