Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27033-7:2023 网络安全——网络接入安全
网络访问控制(NAC)、认证、授权和终端合规性执行的现代指南
ISO/IEC 27033-7 概述
ISO/IEC 27033-7:2023 是27033系列的最新成员,专注于网络接入安全这一关键领域。该标准发布于2023年,反映了向零信任架构、身份感知网络和软件定义边界发展的现代趋势。它提供了关于网络访问控制(NAC)、认证和授权机制、终端合规性执行以及新兴技术(如零信任网络访问(ZTNA)和安全访问服务边缘(SASE))的全面指南。该标准代表了网络安全思维的前沿,是正在现代化其网络安全架构的组织的必读文献。
该标准的制定是为了应对网络使用和访问方式的根本性变化。传统的具有明确定义的网络边界、可信内部用户和不可信外部用户的模型已经被云计算、移动设备、远程工作和物联网等趋势所侵蚀。在当今的环境中,网络访问决策必须基于用户身份、设备状态、位置和行为上下文的组合,而不是简单基于连接是来自网络内部还是外部。该标准强调,零信任不仅仅是一种技术,更是一种安全理念,而该标准为实施这一理念提供了一个实用的框架。
鉴于远程工作、自带设备(BYOD)策略和基于云的服务的广泛采用,ISO/IEC 27033-7 的发布尤为及时。传统的基于边界的访问模型已不再足够。零信任不是一种产品,而是一种安全理念,该标准为实施零信任提供了实践框架。
网络访问控制架构
该标准定义了由四个基本组件组成的NAC架构:策略决策点(PDP),根据策略规则评估访问请求;策略执行点(PEP),在网络级别允许或拒绝访问;身份提供商(IdP),对用户和设备进行认证;以及终端评估服务器,评估设备合规性。该标准涵盖了准入前NAC(在网络连接点控制访问)和准入后NAC(在初始连接建立后监控和控制流量),并提供了关于802.1X、MAC认证绕过(MAB)和基于Web的认证方法的详细指南。
该标准为每个NAC组件提供了详细的部署指南,包括容量规划、冗余要求以及与现有网络基础设施的集成。对于PDP,标准建议以集群配置部署冗余服务器以确保高可用性。对于PEP,标准涵盖了有线和无线交换机的配置以执行访问策略。该标准还提供了在复杂环境中部署NAC的指南,例如多供应商网络、具有不支持802.1X的遗留设备的网络,以及具有高可用性要求且在故障转移事件期间不能容忍认证延迟的网络。在开始NAC部署之前,组织应进行全面的设备发现和清点,以确保对所有连接设备有完整的了解。
在未清楚了解现有网络设备的情况下实施NAC可能导致广泛的连接中断。在将NAC部署为执行模式之前,务必进行彻底的设备发现和清点阶段。先从仅监控模式开始,然后在验证设备清单和策略规则后逐步过渡到执行模式。
零信任网络访问(ZTNA)
ISO/IEC 27033-7 将ZTNA引入作为现代网络访问的关键安全模型。与传统的VPN在认证后授予广泛网络访问权限不同,ZTNA建立针对每个应用的加密微隧道,这些隧道对网络扫描不可见。该标准涵盖了ZTNA部署模型,包括客户端发起(基于代理)和服务发起(无代理)方法。它还涉及ZTNA与现有身份和访问管理(IAM)系统、安全信息和事件管理(SIEM)以及安全编排自动化和响应(SOAR)平台的集成,从而创建一个全面的安全生态系统。
该标准提供了ZTNA架构和部署的详细指南,包括ZTNA代理/连接器的角色,它在用户和应用之间调解连接而不暴露应用的网络地址。该标准还涉及ZTNA策略管理的关键主题,建议基于最小权限原则制定访问策略,仅授予每个用户执行工作职能所需的特定应用和资源的访问权限。该标准警告不要实施具有过于宽泛访问策略的ZTNA,因为这违背了零信任模型的目的。ZTNA的实施应被视为一个渐进的过程,从最关键的应用开始,逐步扩展到整个企业环境。
| 方面 | 传统VPN访问 | ZTNA/零信任 |
|---|---|---|
| 访问模型 | 认证后网络级访问 | 应用级微隧道 |
| 信任基础 | 位置(内部=可信) | 身份+设备+上下文 |
| 可见性 | 在网络上可见(有IP) | 隐藏(无网络足迹) |
| 分段 | 基于VLAN的广泛分段 | 每会话、每应用 |
| 性能 | 所有流量回传 | 路由优化(直连应用) |
| 延迟 | 受集中器负载影响 | 分布式边缘处理 |
| 用户体验 | 重型客户端、连接慢 | 轻量级、连接快 |
终端合规性执行
该标准提供了终端合规性评估和执行的详细指南。关键的合规性检查包括:操作系统补丁级别、防病毒/EDR状态和定义、磁盘加密状态(如BitLocker、FileVault)、防火墙状态、禁止软件检测和证书有效性。该标准描述了修复工作流,不合规的终端被放置在隔离VLAN中,仅允许访问修复服务(补丁服务器、防病毒更新服务器),直到合规为止。该标准还涉及通过MDM/UEM集成对移动设备进行状态评估,以及使用网络指纹识别技术对IoT和无头设备进行合规性检查。
该标准还涉及合规性评估频率和性能的重要主题。持续评估提供了最佳的安全状态,但可能对终端设备和网络基础设施施加显著负担。该标准建议采用基于风险的评估频率方法,对高风险设备(如移动设备、BYOD系统、有权访问敏感数据的设备)进行更频繁的评估,对低风险设备(如专用服务器、安全位置的功能固定设备)进行较不频繁的评估。评估结果应适当缓存以平衡安全性和性能,并且应在特定事件(如设备配置更改或网络连接变化)触发时重新评估。建立一个有效的合规性执行机制对于维护网络的安全基线至关重要。
如ISO/IEC 27033-7所述,自动化终端合规性执行可以将不合规设备的平均修复时间从数天缩短到数分钟,显著改善整体安全态势,同时减轻IT和安全团队的负担。
工程设计见解
实施ISO/IEC 27033-7的工程师应:(1)分阶段部署NAC——首先使用仅监控模式以建立基线并发现所有连接的设备,然后过渡到建议模式(记录违规但不阻止),最后执行模式;(2)将NAC与现有身份基础设施(Active Directory、Azure AD、Okta)集成以实现统一策略管理;(3)为所有网络访问(包括有线连接)实施MFA,特别是管理访问;(4)使用基于证书的认证进行设备身份验证,通过SCEP或ACME实现自动证书注册;(5)根据用户角色、设备类型和合规状态实施动态VLAN分配;(6)确保访客网络访问包括限时自助注册和赞助商审批工作流。
工程师还应规划NAC和ZTNA部署的运营方面,包括帮助台处理访问相关问题的人员培训、开发用于设备注册和访客访问的自助门户,以及建立衡量访问控制有效性的指标(如合规设备百分比、修复时间、阻止的未授权访问尝试次数)。该标准建议定期进行桌面推演,以验证访问控制策略和程序在安全事件期间是否按预期工作,并确定访问控制架构中需要改进的领域。成功的NAC和ZTNA部署需要技术、流程和人员的协调配合,缺一不可。
常见问题
Q: NAC和ZTNA有什么区别?
NAC在网络层控制访问,基于设备身份和合规性,通常在交换机或AP级别执行策略。ZTNA在应用层运行,为特定应用创建加密微隧道,而不暴露网络。ZTNA更符合零信任原则,并提供比传统NAC更细粒度的访问控制。
NAC在网络层控制访问,基于设备身份和合规性,通常在交换机或AP级别执行策略。ZTNA在应用层运行,为特定应用创建加密微隧道,而不暴露网络。ZTNA更符合零信任原则,并提供比传统NAC更细粒度的访问控制。
Q: ISO/IEC 27033-7 能否在完全基于云的环境中实施?
可以。该标准的NAC和ZTNA原则适用于云环境。云原生NAC解决方案和ZTNA服务(如Cloudflare Access、Zscaler、Netskope)可以根据身份、设备状态和上下文执行访问策略,无论用户位置如何。该标准为本地部署和云部署都提供了指南。
可以。该标准的NAC和ZTNA原则适用于云环境。云原生NAC解决方案和ZTNA服务(如Cloudflare Access、Zscaler、Netskope)可以根据身份、设备状态和上下文执行访问策略,无论用户位置如何。该标准为本地部署和云部署都提供了指南。
Q: 标准如何处理IoT和无头设备?
该标准认识到IoT设备可能不支持802.1X或代理。对于此类设备,推荐使用带有设备指纹识别和配置分析的MAC认证绕过(MAB),并结合严格的VLAN分配和流量限制。应实施持续监控以检测行为异常。
该标准认识到IoT设备可能不支持802.1X或代理。对于此类设备,推荐使用带有设备指纹识别和配置分析的MAC认证绕过(MAB),并结合严格的VLAN分配和流量限制。应实施持续监控以检测行为异常。
Q: 完整的NAC部署推荐时间表是怎样的?
对于中型企业(500-2000用户),分阶段NAC部署通常需要6-12个月:1-2个月用于发现和规划,2-3个月用于在受控环境中进行试点部署,2-4个月用于在全组织范围内分阶段推出,1-3个月用于调优和优化。较大型组织应规划相应更长的时间线。
对于中型企业(500-2000用户),分阶段NAC部署通常需要6-12个月:1-2个月用于发现和规划,2-3个月用于在受控环境中进行试点部署,2-4个月用于在全组织范围内分阶段推出,1-3个月用于调优和优化。较大型组织应规划相应更长的时间线。
