Le policy Zero Trust vengono comunemente applicate alle applicazioni cloud, dove i controlli dell’identità e della conformità del dispositivo avvengono prima che venga concesso l’accesso. Ma quando si parla di accesso Wi-Fi e VPN, spesso gli stessi segnali non fanno parte della decisione.
Questo crea un divario. Un dispositivo potrebbe non superare i controlli di conformità in un MDM come Microsoft Intune, ad esempio a causa di un OS obsoleto o della crittografia disattivata, ma autenticarsi comunque correttamente alla rete tramite RADIUS.
I più recenti miglioramenti di Foxpass a Cloud RADIUS aiutano a colmare questa lacuna incorporando i segnali di postura del dispositivo nelle decisioni di autenticazione della rete, consentendo alle organizzazioni di estendere i principi Zero Trust all’accesso Wi-Fi e VPN.
Il divario tra conformità dei dispositivi e accesso alla rete
Molte organizzazioni valutano già lo stato dei dispositivi utilizzando le policy di conformità di Microsoft Intune. Queste policy verificano elementi come le versioni del sistema operativo, lo stato della crittografia e altri requisiti di sicurezza prima di consentire l’accesso alle risorse aziendali.
Tuttavia, questi segnali di postura non influenzano sempre l'accesso alla rete stesso.
Allo stesso tempo, Microsoft Entra Conditional Access è progettato per i flussi di autenticazione cloud e l'emissione di token. Non fa parte del percorso di autenticazione per i servizi basati su RADIUS come Wi‑Fi o VPN.
Il risultato è una disconnessione comune:
I dispositivi vengono valutati per la conformità da MDM
Gli utenti si autenticano alla rete tramite RADIUS
La postura del dispositivo spesso non viene considerata quando si concede l'accesso alla rete
Ciò significa che i dispositivi che non sono più conformi potrebbero comunque connettersi al Wi-Fi aziendale o alla VPN, a meno che non vengano implementati controlli aggiuntivi
Presentazione del controllo degli accessi basato sullo stato del dispositivo in Foxpass
Foxpass ora consente agli amministratori di integrare la postura del dispositivo insieme all’autenticazione dell’identità e del certificato quando prendono decisioni di accesso alla rete.
La conformità del dispositivo continua a essere valutata da Microsoft Intune e mostrata tramite Microsoft Entra ID. Foxpass recupera e memorizza nella cache questi segnali di postura e li utilizza durante l'autenticazione RADIUS per determinare se a un dispositivo debba essere concesso l'accesso alla rete.
In base alla configurazione, gli amministratori possono:
Consenti l'accesso solo ai dispositivi conformi
Nega l'accesso ai dispositivi non conformi
Inserisci i dispositivi non gestiti o non conformi in una rete di quarantena
Questo approccio consente alle organizzazioni di applicare un requisito di postura del dispositivo direttamente a livello di rete, continuando al contempo a utilizzare i sistemi esistenti di gestione delle identità e dei dispositivi.
Accesso basato sullo stato del dispositivo senza tutta la complessità del Network Access Control (NAC)
Le soluzioni NAC tradizionali spesso si basano su agent endpoint, appliance di applicazione inline e interrogazione continua dei dispositivi su tutta la rete. Sebbene questi sistemi possano offrire visibilità approfondita e controllo, possono anche introdurre complessità operative e un maggiore carico infrastrutturale.
Foxpass adotta un approccio più leggero. La postura del dispositivo continua a essere valutata dalla piattaforma MDM esistente dell’organizzazione e Foxpass applica tali segnali durante il processo di autenticazione. Poiché l'applicazione delle policy avviene durante l'autenticazione RADIUS, le organizzazioni possono implementare decisioni di accesso alla rete basate sullo stato di sicurezza senza distribuire agenti aggiuntivi, appliance inline o un'infrastruttura NAC completa.
Per molti team, soprattutto quelli che operano in ambienti cloud-first o distribuiti, questo offre un modo pratico per applicare la conformità dei dispositivi al perimetro della rete.
Come funziona l'applicazione delle policy di postura
Il controllo dell’accesso basato sullo stato del dispositivo in Foxpass è configurabile e non è abilitato per impostazione predefinita.
I segnali di postura diventano disponibili una volta stabilita l’integrazione con Intune e Entra ID, ma gli amministratori possono scegliere come e quando applicare i criteri. Alcune organizzazioni possono iniziare a monitorare i segnali di postura prima di introdurre l'applicazione dei controlli, mentre altre possono limitare immediatamente l'accesso ai dispositivi che non superano le verifiche di conformità.
In base ai requisiti delle policy, gli amministratori possono:
Nega completamente l’accesso ai dispositivi non conformi
Inserisci questi dispositivi in una rete di quarantena per la correzione
Continua a monitorare i segnali di postura prima di abilitare l'applicazione dei criteri
È anche importante capire dove avvengono queste decisioni nel flusso di autenticazione.
Microsoft Intune valuta la conformità del dispositivo. Microsoft Entra ID mostra le informazioni sullo stato del dispositivo. Foxpass utilizza questi segnali per determinare la decisione di accesso della rete durante l'autenticazione RADIUS.
Poiché l'autenticazione Wi-Fi e VPN si basa su RADIUS, queste decisioni di applicazione dei criteri avvengono al di fuori del modello di Accesso Condizionale Microsoft Entra utilizzato per le applicazioni cloud.
Portare Zero Trust al perimetro della rete
Integrando lo stato di sicurezza del dispositivo nelle decisioni di autenticazione di rete, Foxpass estende le policy Zero Trust oltre le applicazioni cloud fino alla rete stessa. Ogni connessione può essere valutata utilizzando più segnali, tra cui identità, certificati e conformità del dispositivo, prima che venga concesso l'accesso alla rete.
Per le organizzazioni che utilizzano già Microsoft Intune ed Entra ID, questo offre un modo semplice per allineare le policy di accesso Wi-Fi e VPN ai requisiti di conformità dei dispositivi esistenti.
