Network Access Control (NAC)

Waarom "vertrouw niemand op uw netwerk" de nieuwe norm is

Een decennium geleden was de netwerkbeveiligingsgedachte eenvoudig: buiten het netwerk is gevaarlijk, binnen het netwerk is veilig. Firewalls aan de perimeter, VPN voor thuiswerkers, en wie eenmaal door de poort was, had breed toegang. Die gedachte heeft de afgelopen jaren pijnlijk gefaald. Ransomware die zich via een enkelvoudig geïnfecteerd eindpunt door een heel ziekenhuisnetwerk verspreidt. Aanvallers die wekenlang ongedetecteerd in een bedrijfsnetwerk rondlopen nadat ze de inloggegevens van één medewerker hebben gestolen. Contractanten en leveranciers met netwerktoegang die breder rondkijken dan hun taak vereist.

Network Access Control — afgekort NAC — is de technologie die het concept van gecontroleerde netwerktoegang in de praktijk brengt. NAC systemen bepalen wie of wat toegang krijgt tot uw netwerk, onder welke voorwaarden, en met welke rechten — en handhaven dit actief, ook nadat de toegang is verleend. Het is de netwerkequivalent van een beveiligde toegangspoort: niet iedereen die een sleutel heeft, mag overal naar binnen. En wie naar binnen mag, wordt gevolgd.

Voor Nederlandse organisaties die werken aan compliance met NIS2, ISO 27001 of NEN 7510 is NAC geen luxe maar een fundamentele beveiligingsmaatregel. De norm-eisen voor toegangsbeveiliging, netwerksegmentatie en monitoring zijn precies de gebieden waarop NAC zijn waarde bewijst.

Wat NAC doet en hoe het werkt

NAC werkt op basis van drie kernfuncties: authenticatie (wie ben je?), autorisatie (wat mag je?) en handhaving (wordt nageleefd wat je mag?). Elk apparaat dat verbinding probeert te maken met het netwerk — of dat nu een laptop van een medewerker is, een smartphone, een IoT-sensor, een bezoekersdevice of een printer — wordt onderschept en beoordeeld voordat netwerktoegang wordt verleend.

De beoordeling kan op meerdere criteria plaatsvinden. Identiteitsgebaseerde criteria: is het apparaat bekend en geregistreerd? Heeft de gebruiker zich geauthenticeerd, en voldoet het apparaat aan de organisatiepolicy? Compliance-gebaseerde criteria: draait er actuele antivirussoftware op het apparaat? Is het besturingssysteem up-to-date? Is schijfencryptie ingeschakeld? Worden vereiste beveiligingsagents uitgevoerd? Op basis van dit profiel bepaalt het NAC-systeem welk netwerkprofiel het apparaat krijgt: vol bedrijfsnetwerk, beperkt gastnetwerk, quarantainenetwerk voor apparaten die niet aan de eisen voldoen, of volledige blokkering.

Moderne NAC-systemen werken op basis van twee technische standaarden. De eerste is 802.1X, de IEEE-standaard voor poortniveau-authenticatie. Dit werkt voor bedrade verbindingen (via switches) en draadloze verbindingen (via access points): voordat een apparaat een IP-adres krijgt, moet het zich authenticeren via een RADIUS-server. De tweede benadering is agentgebaseerde NAC, waarbij software op het eindpunt zelf informatie rapporteert aan het NAC-systeem over de beveiligingsstatus van het apparaat. Sommige systemen werken ook zonder agent (agentless) via netwerkscanmethoden, maar dit geeft minder gedetailleerde informatie.

VLAN-segmentatie is een kernfunctionaliteit van NAC: op basis van het profiel van een apparaat wordt het dynamisch in het juiste VLAN geplaatst. Medische apparatuur komt in een apart VLAN, gasten in een gastennetwerk, geregistreerde bedrijfsapparatuur in het bedrijfsnetwerk, en niet-conforme apparaten in quarantaine. Dit beperkt lateral movement: zelfs als een aanvaller één apparaat compromitteert, kan hij niet automatisch alle andere netwerksegmenten bereiken.

Drie scenario's waar NAC het verschil maakt

Scenario één: de zorginstelling met medische apparatuur. Moderne ziekenhuizen en klinieken zijn vol met IP-verbonden medische apparatuur: infuuspompen, monitors, beeldvormingssystemen, laboratoriumapparatuur. Deze apparaten draaien vaak verouderde besturingssystemen (Windows XP of Windows 7), kunnen niet worden bijgewerkt vanwege certificeringseisen van de fabrikant, en zijn daardoor inherent kwetsbaar. NAC zorgt ervoor dat deze apparaten in een volledig geïsoleerd VLAN terechtkomen, zodat een kwetsbaarheid in een infuuspomp niet de poort openzet naar het EPD-systeem. Voor zorginstellingen die werken aan NEN 7510 implementatiebegeleiding is netwerksegmentatie via NAC een directe invulling van de norm-eis voor scheiding van systemen.

Scenario twee: de organisatie met veel externe medewerkers en contractors. Organisaties die werken met externe consultants, leveranciers, schoonmaakpersoneel of andere bezoekers die tijdelijk netwerktoegang nodig hebben, staan voor een dilemma: te ruime toegang is onveilig, te beperkte toegang frustreert het werk. NAC biedt de middenweg: externe gebruikers authenticeren zich en ontvangen automatisch toegang tot precies die systemen en segmenten die ze nodig hebben voor hun werk, niet meer en niet minder. Dit is automatisch afgedwongen, zonder handmatige configuraties per persoon.

Scenario drie: de hybride werkwerkomgeving. Met de opkomst van thuiswerken en hybride werken verbinden medewerkers hun laptops thuis via allerlei netwerken en brengen eventuele infecties of configuratieproblemen mee terug naar kantoor. NAC controleert elk apparaat bij het verbinden — ook al was het gisteren nog compliant, een onverwacht afgepakte endpoint-protectie-update of een nieuw geïnstalleerde applicatie die in strijd is met policy kan vandaag toegang blokkeren totdat het probleem is opgelost.

NAC in de context van zero trust en NIS2

NAC past naadloos in de filosofie van zero trust networking: vertrouw geen enkel apparaat of gebruiker standaard, verifieer altijd voordat je toegang verleent, beperk toegang tot wat strikt noodzakelijk is. Zero trust is niet een enkel product maar een architectuurprincipe, en NAC is een van de fundamentele technologische bouwstenen om dit principe te realiseren op netwerkniveau. Organisaties die werken aan een zero trust netwerktoegang architectuur zullen NAC als kerncomponent tegenkomen naast identity-based access control, microsegmentatie en continue monitoring.

De NIS2-richtlijn, die in Nederland wordt omgezet via de Cyberbeveiligingswet, vereist van essentiële en belangrijke entiteiten dat zij passende technische maatregelen nemen voor netwerk- en informatiesysteembeveiliging. Toegangsbeveiliging en netwerksegmentatie zijn expliciet genoemde categorieën van maatregelen. NAC vult beide in: het regelt wie toegang krijgt (toegangsbeveiliging) en zorgt dat verschillende categorieën apparaten en gebruikers in gescheiden netwerksegmenten opereren (segmentatie). Organisaties die begeleiding zoeken bij NIS2 compliance zullen NAC als een van de concrete maatregelen in hun implementatieplan terugvinden.

Implementatie: wat u moet weten

Een NAC-implementatie is een significanter project dan de meeste IT-teams anticiperen. De reden: NAC raakt elk apparaat op het netwerk, en dat zijn er in een gemiddelde organisatie meer dan u denkt. Naast laptops en smartphones zijn er printers, IP-telefoons, videosystemen, IoT-sensoren, gebouwbeheersystemen en allerlei andere apparaten die een IP-adres hebben — maar waarvoor nooit een 802.1X-client geïnstalleerd is en die niet in een apparaatregister staan.

De voorbereiding begint met inventarisatie: welke apparaten zijn er op uw netwerk? Dit is de stap die het meest wordt onderschat. Gebruik een netwerkscanfunctie om alle verbonden apparaten in kaart te brengen. U zult apparaten vinden die niemand meer wist dat er waren. Dit inventarisatieproces sluit nauw aan bij patch en vulnerability management: zodra u weet wat er op uw netwerk zit, kunt u systematisch kwetsbaarheden in kaart brengen en prioriteren.

De tweede stap is het definiëren van beleid: welke apparaattypen mogen welk netwerksegment in, onder welke voorwaarden? Dit vereist samenwerking tussen IT, security, en in zorginstellingen ook de medische technologie-afdeling. De policy moet realistisch zijn: te strikt en de eerste day van de uitrol overstroomt de helpdesk met klachten; te ruim en de beveiliging stelt niets voor.

De derde stap is uitrol in fasen: begin met monitormodus (alleen loggen, niet blokkeren) om te begrijpen wat er op het netwerk is en hoe het verkeer eruitziet, voordat u overschakelt naar afdwingingsmodus. Organisaties die direct in afdwingingsmodus gaan, creëren productiestoringen die het draagvlak voor NAC ondermijnen.

De vierde stap is integratie met bestaande systemen. NAC werkt het beste als het geïntegreerd is met uw directory service (Active Directory of LDAP) voor identiteitsverificatie, uw endpoint protection platform voor compliance-informatie, en uw SIEM-systeem voor logging en alerting. Zonder deze integraties is NAC een geïsoleerd systeem met beperkte zichtbaarheid.

Kosten en leverancierslandschap

Het NAC-marktlandschap wordt gedomineerd door een handvol grote aanbieders: Cisco Identity Services Engine (ISE), Aruba ClearPass, Forescout, Portnox en HPE Aruba zijn de meest genoemde namen. Elk heeft zijn sterke punten: Cisco ISE integreert naadloos in Cisco-netwerkinfrastructuur, Aruba ClearPass is breed compatibel, Forescout excelleert in agentless detectie van IoT-apparaten.

De kosten voor een NAC-implementatie variëren sterk met de omvang van de organisatie en de complexiteit van het netwerk. Voor een middelgrote organisatie van 200 tot 500 gebruikers en 300 tot 1.000 apparaten kunt u rekenen op licentiekosten van 20.000 tot 60.000 euro per jaar, afhankelijk van het gekozen platform en de modules. Hardware (RADIUS-servers, eventuele appliances) en implementatiekosten (consultancy, configuratie, testen) voegen hier 15.000 tot 40.000 euro eenmalig aan toe.

Cloud-gebaseerde NAC-oplossingen (NAC as a Service) verlagen de drempel voor kleinere organisaties: in plaats van on-premise infrastructuur gebruikt u een cloud-service die via uw bestaande netwerkinfrastructuur werkt. Portnox Cloud is een bekende vertegenwoordiger van dit model en kost typisch 3 tot 8 euro per apparaat per maand.

De waarde van zichtbaarheid

Een aspect van NAC dat regelmatig wordt onderschat, is de zichtbaarheid die het biedt. Voordat NAC geïmplementeerd is, hebben de meeste organisaties geen compleet beeld van welke apparaten op hun netwerk zijn, wie wanneer verbinding maakt, en of apparaten voldoen aan beveiligingseisen. NAC genereert een continu bijgewerkte inventaris van alle verbonden apparaten, inclusief historische verbindingsinformatie.

Deze zichtbaarheid is waardevol voor meerdere doeleinden: incidentresponse (bij een beveiligingsincident kunt u snel traceren welke apparaten betrokken waren), compliance-rapportage (auditors kunnen zien dat u weet wie en wat er op uw netwerk is), en IT-beheer (verlopen certificaten, niet-geüpdatete apparaten en ongeregistreerde apparaten worden automatisch zichtbaar).

Gecombineerd met een endpoint detection and response oplossing geeft NAC een krachtige combinatie van zichtbaarheid en bescherming: EDR bewakt wat er op het eindpunt gebeurt, NAC bewaakt wie en wat er op het netwerk is. Samen vormen ze een fundament voor een moderne, gelaagde beveiligingsarchitectuur die past bij de dreigingen van vandaag.

Network Access Control is geen product dat u eenmalig installeert en dan met rust laat. Het is een platform dat voortdurend onderhoud vereist: beleid bijwerken als er nieuwe apparaattypen komen, uitzonderingen beheren, integraties up-to-date houden, en incidenten onderzoeken. Maar voor organisaties die serieus zijn over netwerksegmentatie en toegangsbeveiliging, is het de investering meer dan waard.

NAC en BYOD: de uitdaging van privéapparaten

Bring Your Own Device — medewerkers die hun privételefoon, laptop of tablet gebruiken voor werkdoeleinden — is in veel organisaties inmiddels de norm, maar ook een serieuze beveiligingsuitdaging. Privéapparaten staan buiten de controle van IT: ze kunnen verouderde besturingssystemen draaien, geen endpoint protection hebben, of gecompromitteerd zijn door malware die geïnstalleerd is via privégebruik.

NAC biedt hiervoor een gestructureerde aanpak. BYOD-apparaten worden automatisch herkend als niet-bedrijfsapparatuur en in een apart BYOD-VLAN geplaatst dat toegang geeft tot goedgekeurde cloudapplicaties en communicatietools, maar niet tot het kernbedrijfsnetwerk of gevoelige interne systemen. Mobile Device Management (MDM) integratie — waarbij Mobile Device Management software rapporteert aan het NAC-systeem of een BYOD-apparaat aan de minimale beveiligingseisen voldoet — maakt het mogelijk om BYOD-beleid consistent te handhaven zonder volledige controle over het privéapparaat te eisen.

Dit onderscheid tussen bedrijfsapparaten (volledig beheerd, volledig gecontroleerd, breed netwerktoegang) en BYOD (minimale vereisten, beperkte toegang) is een werkbare middenweg die zowel de beveiligingseisen als de praktische realiteit van de moderne werkplek respecteert.

Incidentresponse: wat NAC doet als het misgaat

Een van de meest waardevolle functies van NAC tijdens een beveiligingsincident is de mogelijkheid tot dynamische respons. Als een beveiligingssysteem — een SIEM, een EDR-agent, of een threat intelligence feed — detecteert dat een apparaat mogelijk gecompromitteerd is, kan het automatisch een signaal sturen naar het NAC-systeem om dat apparaat direct naar quarantaine te verplaatsen. Geen handmatige interventie vereist, geen wachttijd terwijl een beheerder inlogt: het apparaat wordt binnen seconden geïsoleerd van het rest van het netwerk.

Dit is bijzonder waardevol bij ransomware-aanvallen, waar elke minuut telt. Traditionele aanpak: iemand merkt dat een server vreemd gedrag vertoont, meldt het aan IT, IT onderzoekt, en besluit uiteindelijk de stekker eruit te trekken — terwijl de ransomware zich ondertussen verder verspreidt. NAC-aanpak: EDR detecteert ransomware-gedrag, stuurt direct een signaal, en het apparaat is geïsoleerd voordat de verspreiding kan beginnen.

Integratie met Security Orchestration, Automation and Response (SOAR) platforms tilt deze geautomatiseerde respons naar een hoger niveau: niet alleen isoleren, maar ook automatisch een ticket aanmaken, de betrokkenen notificeren, forensische data verzamelen, en een herstelworkflow starten.

Praktijkgeval: middelgroot productiebedrijf

Om de concrete werking van NAC te illustreren, beschouw een middelgroot productiebedrijf met 350 medewerkers, een mix van kantoorwerkers en productiepersoneel op de werkvloer, en een netwerk vol industriële apparatuur naast gewone IT-systemen.

Voor de NAC-implementatie was de situatie typisch: iedereen die via een netwerkkabel of het bedrijfs-wifi verbinding maakte, had dezelfde toegang. Productiemachines met IP-verbindingen stonden op hetzelfde netwerk als HR-systemen met salarisgegevens. Contractors hadden hetzelfde wachtwoord voor het wifi als medewerkers.

Na de implementatie: productiemachines en industriële systemen in een geïsoleerd OT-netwerk (Operational Technology), kantoorapparaten in het bedrijfsnetwerk, BYOD in een beperkt gastnetwerk, en contractors in een contractor-VLAN met toegang tot alleen de systemen die ze nodig hebben. Een buitenstaander die het wifi-wachtwoord van een contractor zou kennen, zou uitkomen in een netwerksegment met vrijwel geen toegang tot bedrijfsdata.

Het resultaat: significante vermindering van het aanvalsoppervlak, volledige zichtbaarheid over alle verbonden apparaten, en naleving van de NIS2-eisen voor netwerksegmentatie — alles zonder merkbare impact op de productiviteit van medewerkers.

De beheerslaag: wie beheert NAC?

NAC-beheer is een doorlopende taak die capaciteit vereist. Nieuwe apparaten worden toegevoegd, bestaande apparaten worden vervangen, beleid moet worden aangepast als de organisatie verandert, en uitzonderingen — apparaten die om technische redenen niet aan alle compliance-eisen kunnen voldoen — moeten worden bijgehouden en periodiek gereviewd.

Voor kleinere organisaties zonder dedicated security-personeel is een Managed Security Service Provider (MSSP) die NAC beheert als onderdeel van een bredere Managed Detection and Response dienst een aantrekkelijke optie. De MSSP beheert de NAC-infrastructuur, houdt policies bij, en monitort op afwijkingen — terwijl de organisatie zich richt op haar kernactiviteiten.

Grotere organisaties met een eigen security operations center (SOC) zullen NAC typisch intern beheren, geïntegreerd in hun bredere beveiligingsprocessen en tooling. De keuze hangt af van de interne capaciteit, het risiconiveau en de budgettaire mogelijkheden.

Uiteindelijk is Network Access Control een investering in netwerkhygiëne: het schone, gecontroleerde fundament waarop alle andere beveiligingsmaatregelen kunnen vertrouwen. Zonder te weten wie en wat er op uw netwerk is, en zonder controle over wie toegang heeft tot welk segment, zijn alle andere beveiligingslagen minder effectief dan ze zouden kunnen zijn. NAC is de onzichtbare poortwachter die dag en nacht bewaakt wie uw digitale gebouw betreedt — en wie niet.

Selectiecriteria voor een NAC-oplossing

Bij het selecteren van een NAC-oplossing zijn er vijf criteria die het verschil maken. Ten eerste schaalbaarheid: groeit de oplossing mee met uw organisatie, ook als u het aantal apparaten verdrievoudigt of nieuwe locaties toevoegt? Ten tweede integratiemogelijkheden: werkt de oplossing naadloos samen met uw bestaande directory service, endpoint platform, en SIEM? Ten derde ondersteuning voor agentless detectie: voor IoT-apparaten en legacy-systemen die geen agent kunnen draaien, moet de NAC-oplossing apparaten kunnen identificeren op basis van netwerksignaturen, MAC-adressen en gedragspatronen. Ten vierde gebruiksgemak van het beheer: hoe intuïtief is het beheerportaal, hoe snel kunt u nieuw beleid definiëren en uitrollen, en hoe helder zijn de rapportages? Ten vijfde vendor support: hoe snel reageert de leverancier op technische problemen, en is er lokale expertise beschikbaar voor implementatie en onderhoud in Nederland?

Een proof of concept — waarbij u de NAC-oplossing tijdelijk installeert in monitormodus op een beperkt segment van uw netwerk — is de beste manier om deze criteria in de praktijk te toetsen voordat u een volledige licentie aanschaft. Investeer in een goede selectieprocedure: NAC is een platform dat u vijf tot zeven jaar meegaat, en een verkeerde keuze is kostbaar om terug te draaien. Organisaties die twijfelen kunnen ook een onafhankelijke security audit en assessment laten uitvoeren die de huidige netwerksituatie in kaart brengt en concrete aanbevelingen doet voor de meest geschikte NAC-aanpak voor hun specifieke omgeving.