07 jul Juniper Mist Access Assurance
De moderne NAC-revolutie: Van legacy-complexiteit naar Mist Access Assurance en Cloud PKI
Network Access Control (NAC) is historisch gezien altijd erg complex geweest. Traditioneel betekende dit het beheren van RADIUS-appliances, het onderhouden van een complexe architectuur en de constante angst dat de authenticatie van clients over de hele campus zou uitvallen.
Maar nu organisaties agressief overstappen op Zero Trust-architecturen, kan op identiteit gebaseerde beveiliging niet langer worden genegeerd. Enterprise IT heeft cloud-native flexibiliteit nodig.
Dat is waar Juniper Mist Access Assurance in beeld komt. Door identiteits- en toegangscontrole rechtstreeks te integreren in de door Mist AI-aangedreven microservices-cloud, ondergaat netwerkbeveiliging een enorme verschuiving. Hier is een blogpost over hoe Mist Access Assurance, de ingebouwde cloud PKI en Marvis AI de netwerktoegang transformeren.
De evolutie van NAC en RADIUS: Van PEAP naar de nieuwe gouden standaard
Om te begrijpen waarom een cloud-native benadering belangrijk is, moeten we kijken naar de evolutie van de Extensible Authentication Protocol (EAP) methoden die de basis vormen van 802.1X-netwerktoegang.
PEAP (MSCHAPv2): Het legacy-risico
Al meer dan tien jaar was Protected EAP (PEAP) de standaard voor bedrijven. Het creëert een TLS-tunnel om de externe identiteit te beschermen, maar gebruikt intern MSCHAPv2 om gebruikersnaam- en wachtwoordhashes te verzenden. Tegenwoordig wordt PEAP als een risico beschouwd. Het is zeer gevoelig voor Man-in-the-Middle (MitM)-aanvallen, het oogsten van inloggegevens (credential harvesting) en domeinspeofing via malafide toegangspunten (rogue AP’s). Moderne besturingssystemen maken het om deze reden actief moeilijker of onmogelijk om de validatie van servercertificaten te omzeilen.
EAP-TTLS: De brug naar de cloud
EAP-Tunneled TLS (EAP-TTLS) maakt ook gebruik van een veilige externe TLS-tunnel, maar zorgt ervoor dat de interne authenticatie kan worden gekoppeld aan moderne Identity Providers (IdP’s) zoals Entra ID of Okta via OAuth of SAML. Dit is een uitstekende tussenstap voor cloud-first ondernemingen, maar het leunt nog steeds op gebruikersgegevens die gedeeld, vergeten of gecompromitteerd kunnen worden.
EAP-TLS: De gouden standaard
EAP-TLS vertegenwoordigt het hoogtepunt van netwerkbeveiliging. In plaats van een wachtwoord is de authenticatie gebaseerd op wederzijdse, hardware-gebonden digitale certificaten.
- De client valideert het certificaat van de RADIUS-/authenticatieserver.
- De authenticatieserver valideert het certificaat van de client. Omdat certificaten niet gemakkelijk kunnen worden afgekeken (shoulder-surfing), geforceerd (brute-forced) of gefished, biedt EAP-TLS absolute cryptografische zekerheid over de identiteit van zowel de gebruiker als het apparaat.
De moeilijkste noot kraken: SCEP & geautomatiseerde wachtwoordloze onboarding
Als EAP-TLS de gouden standaard is, waarom heeft dan niet iedereen het geïmplementeerd? Het antwoord is simpel: de complexiteit van de PKI. Het opzetten van een on-premises Certificate Authority (CA), het beheren van Certificate Revocation Lists (CRL’s) en het configureren van een Simple Certificate Enrollment Protocol (SCEP)-gateway kostte vroeger weken aan tijd, beheer, updates en patches. Er zijn tools die een deel van de complexiteit wegnemen, maar dit zijn afzonderlijke tools met hun eigen beheerportalen en licenties.
Mist Access Assurance verandert de spelregels volledig met zijn ingebouwde Cloud PKI (Onboard CA).
-
Met slechts een paar klikken in het Mist-portaal start de service een dedicated, hoog beschikbare en geo-fijne Cloud CA op.
-
Natieve SCEP-integratie: Mist genereert natief unieke SCEP-endpoints en dynamische challenge-tokens voor grote Mobile Device Management (MDM)-systemen zoals Microsoft Intune en Jamf Pro.
-
Zero Touch Provisioning: Het MDM haalt de clientcertificaten op uit de Mist Cloud PKI en injecteert deze transparant, samen met het enterprise wifi-/bekabelde profiel, rechtstreeks op het apparaat van de eindgebruiker.
-
De Marvis Client: Voor apparaten die niet volledig worden beheerd door een enterprise MDM, fungeert de Marvis Client als een intelligente onboarding-agent. Het kan deze gelokaliseerde profielen en certificaten dynamisch aanvragen, distribueren en installeren op het eindpunt. Dit zorgt ervoor dat zelfs Bring Your Own Device (BYOD)-eindpunten naadloos overstappen op wachtwoordloos EAP-TLS zonder dat er een ticket naar de helpdesk nodig is.
Convergentie is cruciaal: LAN/WLAN-beheer en NAC onder één dak
Traditionele netwerkontwerpen scheiden het Network Management System (NMS) van de NAC. Wanneer een gebruiker geen verbinding kan maken, moet de supportdesk zowel het netwerkbeheersysteem als het NAC-portaal controleren. Dit zorgt voor eindeloos schakelen tussen verschillende beheerportalen.
Door Access Assurance in te bedden in hetzelfde microservices-framework als Juniper Mist Wi-Fi, Wired en WAN Assurance, wordt de volledige access-stack verenigd in één overzichtelijk dashboard (single pane of glass).
Wanneer een apparaat verbinding maakt, evalueert Mist niet alleen of het 802.1X-certificaat geldig is. Het evalueert contextueel de MDM-compliancestatus van het apparaat, het type besturingssysteem en de lidmaatschappen van directorygroepen (bijv. Entra ID-beveiligingsgroepen), en past dynamisch een beleid toe.
Marvis AI: De ultieme probleemoplossing voor het netwerk
De echte differentiator van het Mist-platform is de integratie met Marvis: de toonaangevende Virtual Network Assistant in de sector. Door authenticatietelemetrie rechtstreeks in de AI-engine te voeden, tilt Marvis probleemoplossing van reactieve loganalyse naar proactieve anomalieresolutie.
Stel dat een gebruiker een authenticatiefout ervaart. In plaats van PCAP-traces te trekken, kan een beheerder een vraag in natuurlijke taal typen in de Marvis Conversational-interface: “Waarom kan Jan Janssens geen verbinding maken met de wifi?”
Marvis correleert automatisch de 802.1X-statemachine met de onderliggende netwerkinfrastructuur (of dat nu draadloos, bekabeld of beide is). Het isoleert onmiddellijk of de fout te wijten is aan een fysieke laagfout, een verlopen certificaat, een verkeerd geconfigureerde SCEP-profielpayload of een timeout van de backend identity provider.
Klaar om de toekomst van toegangscontrole te ervaren?
Het tijdperk van kiezen of NAC wel iets voor jou is, is voorbij. Door de cryptografische kracht van EAP-TLS te combineren met een onderhoudsvrije Cloud PKI en AI-gestuurde probleemoplossing, transformeert Mist Access Assurance NAC van iets dat te moeilijk is naar een wrijvingsloze zero-trust ervaring.
Als je klaar bent om afscheid te nemen van verouderde PEAP-wachtwoorden, “one-PSK-rules-them-all”-scenario’s of irritante captive portals, of als je je bestaande on-prem RADIUS-server wilt elimineren, is het tijd om beter te kijken naar wat Mist voor jouw infrastructuur kan betekenen.
Wil je een live walkthrough zien van de Cloud NAC met geïntegreerde PKI en ontdekken hoe dit naadloos integreert met het Mist netwerkbeheer? Neem vandaag nog contact met ons op om een deep-dive demo te plannen of een architectuurevaluatie te starten.
Voor meer info, neem contact op met [email protected]
No Comments