As políticas de Zero Trust são normalmente aplicadas a aplicações na cloud, onde as verificações de identidade e conformidade do dispositivo ocorrem antes de o acesso ser concedido. Mas, quando se trata de acesso por Wi-Fi e VPN, esses mesmos sinais muitas vezes não fazem parte da decisão.
Isso cria uma lacuna. Um dispositivo pode falhar nas verificações de conformidade num MDM como o Microsoft Intune, devido a um SO desatualizado ou à encriptação desativada, mas ainda assim autenticar-se com sucesso na rede através de RADIUS.
As mais recentes melhorias do Cloud RADIUS da Foxpass ajudam a colmatar essa lacuna ao incorporar sinais de postura do dispositivo nas decisões de autenticação de rede, permitindo às organizações estender os princípios de Zero Trust ao acesso Wi-Fi e VPN.
A lacuna entre a conformidade dos dispositivos e o acesso à rede
Muitas organizações já avaliam a postura dos dispositivos utilizando políticas de conformidade do Microsoft Intune. Estas políticas verificam aspetos como versões do sistema operativo, estado da encriptação e outros requisitos de segurança antes de permitir o acesso aos recursos empresariais.
No entanto, esses sinais de postura nem sempre influenciam o próprio acesso à rede.
Ao mesmo tempo, o Microsoft Entra Conditional Access foi concebido para fluxos de autenticação na cloud e emissão de tokens. Não faz parte do percurso de autenticação para serviços baseados em RADIUS, como Wi-Fi ou VPN.
O resultado é uma desconexão comum:
Os dispositivos são avaliados quanto à conformidade pelo MDM
Os utilizadores autenticam-se na rede através de RADIUS
A postura do dispositivo muitas vezes não é considerada ao conceder acesso à rede
Isto significa que os dispositivos que deixem de estar em conformidade podem continuar a ligar-se ao Wi‑Fi corporativo ou à VPN, a menos que sejam implementados controlos adicionais
Apresentamos o controlo de acesso baseado na postura do dispositivo no Foxpass
O Foxpass permite agora aos administradores incorporar a postura do dispositivo juntamente com a autenticação de identidade e por certificado ao tomar decisões de acesso à rede.
A conformidade do dispositivo continua a ser avaliada pelo Microsoft Intune e apresentada através do Microsoft Entra ID. A Foxpass obtém e armazena em cache estes sinais de postura e utiliza-os durante a autenticação RADIUS para determinar se deve ser concedido acesso à rede a um dispositivo.
Com base na configuração, os administradores podem:
Permitir acesso apenas a dispositivos em conformidade
Negar o acesso a dispositivos não conformes
Coloque dispositivos não geridos ou não conformes numa rede de quarentena
Esta abordagem permite às organizações impor um requisito de postura do dispositivo diretamente na camada de rede, continuando ao mesmo tempo a utilizar os seus sistemas existentes de gestão de identidade e de dispositivos.
Acesso sensível à postura sem toda a complexidade do Network Access Control (NAC)
As soluções NAC tradicionais dependem frequentemente de agentes de endpoint, appliances de aplicação em linha e de interrogação contínua dos dispositivos em toda a rede. Embora estes sistemas possam oferecer visibilidade e controlo aprofundados, também podem introduzir complexidade operacional e sobrecarga de infraestrutura.
A Foxpass adota uma abordagem mais leve. A postura do dispositivo continua a ser avaliada pela plataforma MDM existente da organização, e o Foxpass aplica esses sinais durante o processo de autenticação. Como a aplicação é feita durante a autenticação RADIUS, as organizações podem implementar decisões de acesso à rede com base na postura sem implementar agentes adicionais, dispositivos inline ou uma infraestrutura NAC completa.
Para muitas equipas, especialmente as que operam em ambientes distribuídos ou com prioridade à cloud, isto oferece uma forma prática de garantir a conformidade dos dispositivos na periferia da rede.
Como funciona a imposição de postura
O controlo de acesso baseado na postura do dispositivo no Foxpass é configurável e não está ativado por predefinição.
Os sinais de postura ficam disponíveis assim que a integração com Intune e Entra ID é estabelecida, mas os administradores podem escolher como e quando aplicar as políticas. Algumas organizações podem começar por observar sinais de postura antes de introduzir a aplicação de políticas, enquanto outras podem restringir imediatamente o acesso a dispositivos que não passem nas verificações de conformidade.
Consoante os requisitos da política, os administradores podem:
Negar totalmente o acesso a dispositivos não conformes
Coloque esses dispositivos numa rede de quarentena para remediação
Continue a monitorizar os sinais de postura antes de ativar a aplicação forçada
Também é importante compreender onde estas decisões ocorrem no fluxo de autenticação.
Microsoft Intune avalia a conformidade do dispositivo. O Microsoft Entra ID apresenta informações sobre o estado do dispositivo. Foxpass utiliza esses sinais para informar a decisão de acesso da rede durante a autenticação RADIUS.
Como a autenticação de Wi‑Fi e VPN depende de RADIUS, estas decisões de imposição ocorrem fora do modelo de Acesso Condicional do Microsoft Entra utilizado para aplicações na cloud.
Levar o Zero Trust até à periferia da rede
Ao incorporar a postura do dispositivo nas decisões de autenticação de rede, a Foxpass estende as políticas de Zero Trust para além das aplicações na cloud até à própria rede. Cada ligação pode ser avaliada com base em vários sinais, incluindo identidade, certificados e conformidade do dispositivo, antes de ser concedido acesso à rede.
Para organizações que já utilizam Microsoft Intune e Entra ID, isto oferece uma forma simples de alinhar as políticas de acesso a Wi‑Fi e VPN com os requisitos de conformidade de dispositivos existentes.
