Netwerk toegangscontrole bepaalt wie er op je netwerk komt. Zero Trust Network Access bepaalt wie toegang krijgt tot je applicaties. De meeste IT-teams in het middensegment hebben beide nodig, plus een derde laag voor de apparaten die geen van beide ondersteunen. Deze gids legt uit hoe NAC en ZTNA werken, waar ze elkaar overlappen en hoe je het gat kunt dichten dat beide open laten.
Wat is netwerktoegangsbeheer?
Netwerktoegangsbeheer is een Layer 2/3 technologie die fysieke en draadloze netwerktoegang regelt op basis van apparaatidentiteit, gebruikersreferenties en eindpuntgezondheid. Het gebruikt de 802.1X standaard met een RADIUS server om apparaten op de switchpoort te verifiëren voordat ze een IP-adres krijgen. Apparaten die niet voldoen aan de posture-controles komen in een quarantaine VLAN terecht. NAC beantwoordt één vraag: moet dit apparaat überhaupt toegelaten worden op het netwerk?
Het proces bestaat uit drie componenten. De supplicant is software op het eindpunt die referenties presenteert. De authenticator is de switch of het draadloze toegangspunt die het verkeer blokkeert totdat de authenticatie geslaagd is. De authenticatieserver, meestal RADIUS, controleert de inloggegevens aan de hand van het beleid en stuurt een toestemmings- of ontkenningsbesluit terug. Na authenticatie kan de switch een VLAN toewijzen of een toegangscontrolelijst toepassen om te beperken wat het apparaat kan bereiken.
EAP-TLS met digitale certificaten blijft de sterkste 802.1X methode. Het verwijdert het wachtwoord-diefstalrisico dat de eenvoudigere EAP-varianten plaagt. Voor organisaties die al een certificaatautoriteit hebben, is dit de juiste weg.
NAC voert ook apparaatprofielen uit. Het inspecteert DHCP fingerprints, SNMP gegevens en verkeerspatronen om te identificeren welk type apparaat verbonden is. Dit is het belangrijkst voor eindpunten die geen supplicant kunnen draaien, waar we dadelijk op zullen terugkomen.
Hoe ZTNA anders werkt
ZTNA werkt op laag 7. In plaats van een apparaat een plek op het netwerk te geven, creëert het een versleutelde tunnel per toepassing tussen de gebruiker en een specifieke bron. De rest van het netwerk blijft onzichtbaar.
Het model werkt via een brokerarchitectuur. Een lichtgewicht connector in het datacenter of de cloud maakt een uitgaande verbinding met een vertrouwensmakelaar. Gebruikers authenticeren zich bij de broker, die de identiteit verifieert, de apparaatstatus controleert en de context evalueert (locatie, tijd, risicoscore) voordat de verbinding naar de doelapplicatie wordt gemaakt. Er hoeven geen inkomende poorten open te staan. Geen enkel netwerksegment wordt blootgesteld.
Waar NAC eenmalig authenticeert op het moment van verbinding, verifiëren ZTNA-platforms zoals Jimber continu. Als de houding van een apparaat tijdens een sessie verslechtert of als er anomalieën in het gedrag optreden, kan de toegang in realtime worden ingetrokken. Dit is een fundamentele verschuiving van het “eenmaal authenticeren, voor altijd vertrouwen”-model dat NAC en VPN’s delen.
Voor externe en hybride werknemers neemt ZTNA het VPN-bottleneck volledig weg. Gebruikers maken direct verbinding met applicaties, of ze nu op kantoor, thuis of op een klantlocatie zitten. De ervaring is sneller, het aanvalsoppervlak kleiner en het bewijs voor compliance zuiverder. Onze Zero Trust architectuurgids beschrijft het bredere kader in detail.
NAC vs ZTNA vergeleken
De twee technologieën lossen verschillende problemen op verschillende lagen op. Begrijpen waar ze in uitblinken voorkomt verspilde investeringen.
| Criterium | NAC | ZTNA |
|---|---|---|
| OSI-laag | Laag 2/3 (poort en netwerk) | Laag 7 (toepassing) |
| Primair toepassingsgebied | Toegang tot campusnetwerk | Overal toegang tot applicaties |
| Authenticatiemodel | Point-in-time bij verbinding | Continu per sessie |
| Ondersteuning voor gebruikers op afstand | Beperkt (campus-gericht) | Native (locatie-onafhankelijk) |
| Zichtbaarheid | Netwerksegmentniveau | Per applicatie, per gebruiker |
| Apparaatbehandeling zonder agent | MAC-authenticatie omzeilen | Agent (kloof) vereist |
| Preventie van zijwaartse beweging | VLAN-gebaseerd (grof) | Applicatie-isolatie (granulair) |
| Bewijs van naleving | Logboeken op poortniveau | Identiteit + houding + audit trail op app-niveau |
| Typische implementatietijd | 6-12 maanden (NAC voor bedrijven) | Weken tot maanden |
| Kostenmodel | CapEx hardware + eeuwigdurende licenties | Abonnement per gebruiker |
NAC controleert of een apparaat op het netwerk mag zitten. ZTNA controleert of een gebruiker een specifieke toepassing mag bereiken. Geen van beide dekt het volledige plaatje. En beide delen een blinde vlek die een eigen sectie verdient.
Het agentloze apparaatprobleem dat beide benaderingen delen
Wereldwijd zijn er ongeveer 21 miljard IoT-apparaten aangesloten en dat aantal blijft stijgen. In productieomgevingen kan één faciliteit honderden PLC’s, HMI’s, sensoren en camera’s op het netwerk hebben. In de gezondheidszorg staan MRI-scanners, infuuspompen en patiëntmonitoren. Deze apparaten hebben één kenmerk gemeen: ze kunnen geen ZTNA agent of 802.1X supplicant draaien.
NAC behandelt ze via MAC Authentication Bypass (MAB). De switch identificeert het apparaat aan de hand van het MAC-adres en wijst het toe aan een toegewezen VLAN. Het probleem is duidelijk. MAC-adressen kunnen in enkele seconden worden nagemaakt. Een aanvaller die het MAC-adres van een geautoriseerde printer kloont, krijgt alle netwerktoegang die de printer had. MAB heeft ook de neiging om bredere toegang te verlenen dan nodig is omdat het onderhouden van ACL’s per apparaat op schakelniveau operationeel pijnlijk is.
ZTNA kan deze apparaten eenvoudigweg niet bereiken. Geen agent betekent geen identiteitsverificatie, geen posture check, geen tunnel per applicatie. De meeste ZTNA-leveranciers negeren dit gat stilletjes of suggereren “netwerksegmentatie” alsof dat het oplost.
Inline isolatie biedt een derde weg. De Network Isolation Access Controller (NIAC) van Jimber bevindt zich fysiek tussen het agentloze apparaat en het netwerk. Het dwingt communicatieregels per apparaat af op hardwareniveau. Een camera kan praten met zijn opnameserver. Een PLC kan zijn SCADA-controller bereiken. Al het andere wordt standaard geblokkeerd. Geen MAC vertrouwen, geen brede VLAN toegang, geen agent nodig.
Voor productieomgevingen waar downtime wordt gemeten in miljoenen per uur, biedt NIAC isolatie zonder de firmware van het apparaat aan te raken of de productie te verstoren. Het apparaat weet niet dat het wordt bestuurd. Het werkt gewoon, binnen strak gedefinieerde grenzen.
Waarom het antwoord “beide, plus inline isolatie” is
Het eerlijke antwoord op “NAC of ZTNA?” is geen van beide. Een gelaagd model werkt het beste.
ZTNA voor alle gebruiker-naar-toepassingstoegang. Of de gebruiker zich nu op de campus bevindt of op afstand, elke applicatieverbinding moet worden onderworpen aan identiteitsverificatie, apparaatposture-controles en tunneling per app. Dit is waar ZTNA van Jimber de basis vormt. Het vervangt VPN, dwingt de laagste privileges af en genereert het controlespoor dat NIS2- en CyFun-auditors verwachten. Lees ons overzicht van de vijf Zero Trust-principes die dit model aansturen.
NAC voor campus toegangscontrole. Als je kantoor beheerde switches met 802.1X gebruikt, houd die laag dan actief. Het voorkomt dat onbekende apparaten een netwerkadres krijgen. Voor organisaties die evolueren naar een “café-stijl” campus waar het kantoornetwerk enkel internettoegang biedt en al het applicatieverkeer door ZTNA stroomt, wordt campus NAC minder kritisch voor laptops, maar blijft het waardevol voor netwerkhygiëne.
NIAC voor agentloze apparaten. Elke printer, IP-camera, industriële controller en IoT-sensor die geen agent kan uitvoeren, heeft inline isolatie nodig. De NIAC-hardware van Jimber brengt deze apparaten onder Zero Trust-controle zonder de veelgemaakte ZTNA-fouten die optreden wanneer teams agentgebaseerde modellen geforceerd proberen toe te passen op agentloze omgevingen.
Het operationele voordeel van het draaien van ZTNA en NIAC vanaf hetzelfde platform is aanzienlijk. Jimber beheert beide vanuit één cloudconsole met uniform beleid, logging en rapportage. Voor IT-teams die al met te veel tools jongleren, verdwijnt hiermee een silo. Voor MSP’s die tientallen klantomgevingen beheren, betekent het één multi-tenant platform in plaats van afzonderlijke NAC- en ZTNA-stacks per klant.
Deze gelaagde aanpak vereenvoudigt ook NIS2-compliance. Het CyberFundamentals raamwerk vereist toegangscontrole, netwerksegmentatie, apparaatbeheer en continue bewaking. ZTNA levert toegangscontrole en audit trails. NIAC levert segmentatie voor agentless apparaten. Een enkele console levert de rapportage. Eén platform, drie controles gedekt.
Hoe te migreren van legacy NAC naar een gelaagd model
Je hoeft je bestaande NAC niet van de ene op de andere dag te verwijderen. Een gefaseerde aanpak houdt het risico laag en toont waarde bij elke stap.
Fase 1: VPN vervangen door ZTNA. Begin met externe toegang. VPN-concentrators zijn het belangrijkste doelwit voor ransomware-groepen, en door ze te vervangen door ZTNA wordt het aanvalsoppervlak direct verkleind en de gebruikerservaring verbeterd. Kies twee of drie toepassingen met hoog gebruik en laag risico voor de pilot.
Fase 2: ZTNA uitbreiden naar campusgebruikers. Zodra toegang op afstand werkt, rolt u ZTNA uit naar gebruikers op de campus voor toegang tot toepassingen. Je bestaande NAC blijft de netwerktoegang afhandelen. De twee bestaan naast elkaar zonder conflict omdat ze op verschillende lagen werken.
Fase 3: Isoleer agentloze apparaten. Identificeer de apparaten in uw netwerk die afhankelijk zijn van MAB of zich bevinden op platte segmenten met te tolerante regels. Implementeer eerst NIAC-hardware voor de apparaten met het hoogste risico: industriële controllers, medische apparatuur, systemen voor gebouwbeheer. Werk van daaruit verder.
Fase 4: De toekomstige rol van de NAC op de campus evalueren. Naarmate meer applicatietoegang via ZTNA verloopt, wordt de reikwijdte van je campus NAC kleiner. Sommige organisaties zullen het handhaven voor basis toegangscontrole. Anderen, vooral degenen die BYOD zonder complexiteit invoeren, zullen vereenvoudigen naar open netwerktoegang met alle beveiliging afgedwongen op de applicatielaag via ZTNA. Beide benaderingen zijn geldig. Het punt is dat je nu een keuze hebt.
Veelgestelde vragen
Kan ZTNA NAC volledig vervangen?
Voor gebruiker-naar-toepassingstoegang, ja. ZTNA maakt toelating op netwerkniveau irrelevant voor beheerde eindpunten omdat het netwerk zelf geen applicatierechten toekent. Maar voor netwerkhygiëne op de campus en als eerste poort tegen malafide apparaten behoudt NAC zijn waarde. De echte vraag is of je organisatie genoeg voordeel haalt uit campus NAC om de operationele kosten te rechtvaardigen, of dat ZTNA plus NIAC je werkelijke risico-oppervlak dekt.
Wat is MAC-authenticatie omzeilen en waarom is het riskant?
MAB is het fallback mechanisme dat NAC gebruikt voor apparaten die geen 802.1X supplicant kunnen uitvoeren. De schakelaar verifieert het apparaat alleen met zijn MAC-adres. Omdat MAC-adressen gemakkelijk gekloond kunnen worden, biedt MAB geen echte identiteitsgarantie. Een aanvaller met fysieke toegang tot een netwerkpoort kan zich voordoen als een apparaat met MAB-autorisatie en zijn netwerkrechten erven.
Hoe beveilig je apparaten waarop geen agents kunnen draaien?
Inline isolatiehardware zoals NIAC van Jimber plaatst een fysiek handhavingspunt tussen het apparaat en het netwerk. De NIAC staat alleen expliciet toegestane verkeersstromen toe voor elk apparaat. Er is geen software nodig op het eindpunt, de configuratie van het apparaat wordt niet gewijzigd en gegevens worden versleuteld, zelfs als het apparaat zelf geen versleutelingsmogelijkheden heeft.
Is NAC nog relevant in een Zero Trust model?
NAC adresseert een laag die ZTNA niet doet: fysieke netwerktoegang. In een strikt Zero Trust model waar applicaties enkel bereikbaar zijn via ZTNA, draagt het netwerk zelf minder vertrouwen. NAC kan nog steeds voorkomen dat malafide apparaten bandbreedte verbruiken, lokale aanvallen lanceren of als draaipunten dienen. Of dat de kosten rechtvaardigt, hangt af van je omgeving. Organisaties met grote campusnetwerken en veel fysieke poorten zullen meer waarde zien dan organisaties met voornamelijk externe werknemers.
Neemt Jimber NAC op in zijn SASE-platform?
Het platform van Jimber richt zich op ZTNA, Secure Web Gateway, Firewall-as-a-Service en SD-WAN, beheerd vanuit één console. Voor agentloze apparaten biedt NIAC-hardware inline isolatie die het gat opvult waar zowel NAC als ZTNA tekortschieten. Als je een bestaande NAC-infrastructuur gebruikt, kunnen ZTNA en NIAC van Jimber er zonder conflicten overheen worden gelegd.
Wat betekent dit voor NIS2-compliance?
NIS2 en het Belgische CyberFundamentals framework vereisen toegangscontrole, netwerksegmentatie en continue monitoring. ZTNA biedt identiteitsgebaseerde toegang met volledige audit trails. NIAC biedt segmentatie voor apparaten die buiten het bereik van ZTNA vallen. Samen dekken ze de technische controles af die auditors controleren, met bewijs dat automatisch wordt gegenereerd vanuit één enkel platform.
Klaar om te zien hoe ZTNA en NIAC samenwerken voor jouw omgeving? Boek een demo met Jimber en krijg een praktische beoordeling van je netwerktoegangsarchitectuur. Geen complexe projecten, geen verborgen kosten, gewoon een duidelijk pad van legacy toegangscontrole naar Zero Trust.
