Chiunque può collegare un dispositivo alla rete della tua azienda? Se la risposta è sì, hai un problema serio. Il 35% delle violazioni di rete nelle PMI italiane parte da un dispositivo non autorizzato collegato fisicamente alla LAN (fonte: Clusit 2025). BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB) con oltre 200 clienti B2B, ha implementato più di 30 soluzioni NAC per PMI. Ecco come funziona e perché ti serve.
Cos'è il NAC e perché serve alla tua azienda
NAC (Network Access Control) è un sistema che controlla chi e cosa può accedere alla rete aziendale. Prima di dare connettività a un dispositivo, il NAC verifica: chi è l'utente (autenticazione), che dispositivo sta usando (profiling), se il dispositivo è conforme alle policy di sicurezza (posture assessment), e a quali risorse può accedere (autorizzazione).
Senza NAC: un ospite può collegare il suo laptop alla presa di rete in sala riunioni e accedere al file server. Un dipendente può portare un Raspberry Pi e sniffare il traffico. Un tecnico esterno può connettersi alla rete di produzione dall'ufficio. Con NAC: ogni dispositivo non autenticato finisce in una VLAN di quarantena senza accesso. Solo i dispositivi conformi alle policy vengono ammessi nella VLAN corretta.
802.1X: l'autenticazione a livello di porta
802.1X è il protocollo IEEE che implementa l'autenticazione a livello di porta di rete. Funziona con tre componenti: il supplicant (il client software sul dispositivo), l'authenticator (lo switch o access point), e il server RADIUS (che verifica le credenziali). Quando un dispositivo si collega, lo switch blocca tutto il traffico finché il RADIUS non conferma l'identità.
I metodi di autenticazione più usati: EAP-TLS (certificato client + server, il più sicuro), PEAP-MSCHAPv2 (username/password con tunnel TLS, il più diffuso), MAB (MAC Authentication Bypass, per dispositivi che non supportano 802.1X come stampanti e telefoni IP). La nostra guida sulla gestione BYOD approfondisce come il NAC gestisce i dispositivi personali.
Device profiling e posture assessment
Il device profiling identifica automaticamente il tipo di dispositivo che si collega (PC Windows, MacBook, iPhone, stampante, telecamera IP) analizzando il MAC address, il DHCP fingerprint, il traffico di rete e le informazioni dell'agent installato. Questo permette di applicare policy diverse per tipo di dispositivo: i PC aziendali vanno nella VLAN di produzione, gli smartphone nella VLAN BYOD, le stampanti nella VLAN IoT.
Il posture assessment verifica che il dispositivo sia conforme alle policy di sicurezza prima di ammetterlo: antivirus aggiornato? Firewall attivo? Sistema operativo aggiornato? Crittografia disco attiva? Se il dispositivo non è conforme, viene messo in una VLAN di remediation con accesso solo al server di aggiornamento. Per configurare correttamente profiling e posture serve una consulenza IT Milano specializzata che conosca la tua infrastruttura. Per la segmentazione VLAN, leggi la nostra guida alle VLAN aziendali. Se hai sede a Milano e cerchi supporto cybersecurity, BullTech implementa soluzioni NAC complesse con hardening di rete.
Confronto vendor NAC: Cisco ISE vs Aruba vs FortiNAC vs PacketFence
| Caratteristica | Cisco ISE | Aruba ClearPass | FortiNAC | PacketFence |
|---|---|---|---|---|
| Costo PMI | 15.000-50.000 € | 10.000-35.000 € | 5.000-20.000 € | Gratuito (open source) |
| Multi-vendor | Limitato | Eccellente | Buono | Eccellente |
| Device profiling | Eccellente | Eccellente | Buono | Buono |
| Guest portal | Avanzato | Avanzato | Base | Buono |
| Ideale per | Infrastrutture Cisco | Ambienti eterogenei | PMI con Fortinet | PMI con budget limitato |
Per PMI con meno di 100 endpoint, FortiNAC è il miglior rapporto qualità/prezzo se hai già un firewall Fortinet. PacketFence è l'alternativa open source più matura, ideale se hai competenze Linux interne. Per ambienti più strutturati, Aruba ClearPass offre la flessibilità migliore. Se cerchi un'azienda informatica a Milano che implementi il NAC dalla A alla Z, parliamone. L'approccio Zero Trust estende il concetto NAC a tutta l'architettura di sicurezza. Approfondisci anche il firewall aziendale per una protezione perimetrale completa.
Vuoi implementare il NAC nella tua azienda?
BullTech implementa soluzioni NAC per PMI: assessment, scelta della piattaforma, configurazione 802.1X, deployment e gestione. Chiamaci al 039 6099 023 o scrivici.
Aruba ClearPass vs Cisco ISE vs FortiNAC: prezzi e confronto 2026
Tre vendor dominano il mercato NAC per le PMI italiane. Ecco i numeri reali che abbiamo raccolto dalle implementazioni BullTech nel 2026.
| Vendor | Prezzo PMI (50-100 endpoint) | Complessità setup | Best for |
|---|---|---|---|
| Aruba ClearPass | 10.000–35.000 € (setup) + 300–600 €/mese gestione | Media — GUI intuitiva, ottimo multi-vendor | Ambienti eterogenei, BYOD intensivo, guest access avanzato |
| Cisco ISE | 15.000–50.000 € (setup) + 500–900 €/mese gestione | Alta — richiede competenze Cisco dedicate | Infrastrutture Cisco esistenti, grandi aziende 200+ endpoint |
| FortiNAC | 5.000–20.000 € (setup) + 200–400 €/mese gestione | Bassa-media — integrazione nativa Fortinet | PMI con firewall Fortinet già in uso, IoT management |
Prezzi indicativi 2026 IVA esclusa. Variano in base al numero di endpoint e alla complessità dell'infrastruttura. BullTech offre assessment gratuito per individuare il vendor più adatto.
Per le PMI con meno di 100 endpoint BullTech consiglia Aruba ClearPass come soluzione di riferimento grazie alla flessibilità multi-vendor. Se hai già un firewall Fortinet, FortiNAC è la scelta più economica. Prima di scegliere il vendor, valuta la tua sicurezza di rete aziendale complessiva — il NAC è uno dei livelli, non l'unico. Per integrare il NAC in una strategia Zero Trust, leggi la guida completa su Zero Trust Security aziendale.
Soluzioni NAC per PMI 2026: confronto vendor aggiornato
Il mercato NAC si è evoluto: oltre alle soluzioni on-premise tradizionali, nel 2026 emergono offerte cloud e ibride più accessibili per le PMI italiane.
| Vendor | Soluzione | On-prem/Cloud | Prezzo da | Ideale per |
|---|---|---|---|---|
| Cisco ISE | Identity Services Engine | On-prem | €5.000 | Grandi aziende con infrastruttura Cisco |
| Aruba ClearPass | Policy Manager | Ibrido | €3.000 | PMI 50+ con ambienti multi-vendor |
| FortiNAC | Network Access Control | On-prem | €2.500 | Chi ha già firewall Fortinet |
| WatchGuard AuthPoint | MFA + NAC cloud | Cloud | €2/user/mese | BullTech consiglia per PMI |
Per le PMI che non hanno ancora un'infrastruttura NAC dedicata, BullTech consiglia WatchGuard AuthPoint come punto di partenza: costo contenuto, deploy in cloud senza hardware aggiuntivo, integrazione nativa con Active Directory e MFA per tutti gli accessi di rete. Per ambienti più strutturati, FortiNAC è la scelta naturale se hai già firewall Fortinet. Vuoi sapere come integrare il NAC nella tua rete? Scopri i servizi reti aziendali di BullTech oppure come gestiamo il Wi-Fi aziendale con autenticazione 802.1X. Per una visione completa della sicurezza perimetrale, approfondisci la nostra guida su Zero Trust per PMI.
NAC e Zero Trust nel 2026: l'Integrazione che Cambia Tutto
Nel 2026, il confine tra NAC tradizionale e architettura Zero Trust si sta assottigliando. I vendor NAC hanno integrato capacità Zero Trust direttamente nelle loro piattaforme: Cisco ISE integra Cisco Zero Trust, Aruba ClearPass lavora con Aruba SASE, Fortinet ha unificato FortiNAC con FortiZTA.
In pratica, per una PMI italiana nel 2026 questo significa:
- Continuous verification: non basta autenticarsi una volta al mattino. Il NAC verifica continuamente che il dispositivo rimanga conforme durante tutta la sessione.
- Micro-segmentazione dinamica: le VLAN non sono più statiche. Il NAC sposta automaticamente un dispositivo in una VLAN più restrittiva se rileva comportamenti anomali.
- API-first integration: il NAC si integra con SIEM, EDR e SOAR per correlare eventi e rispondere automaticamente alle minacce.
Per approfondire: firewall aziendale | sicurezza informatica gestita
Checklist implementazione NAC per PMI: 8 passi
Secondo la nostra esperienza con oltre 30 implementazioni NAC nelle PMI lombarde, questi sono gli 8 passi che non puoi saltare:
- Inventario dispositivi — prima di qualsiasi config, censisci tutto: PC, laptop, stampanti, telecamere, IoT. Senza inventario non sai cosa stai proteggendo
- Segmentazione VLAN — definisci almeno 4 VLAN: produzione, BYOD, IoT, guest. Il NAC le assegna dinamicamente, ma le VLAN devono esistere
- Server RADIUS — installa e configura il server RADIUS (Microsoft NPS, FreeRADIUS, o quello incluso nel tuo NAC). Si autentica con Active Directory
- Certificati client — per EAP-TLS, genera e distribuisci certificati sui dispositivi aziendali via GPO (Windows) o MDM (Mac/mobile)
- Policy 802.1X sugli switch — abilita 802.1X port-by-port sugli switch gestiti. Inizia con 1-2 switch non critici per testare
- Modalità monitor-only (30 giorni) — il NAC vede tutto ma non blocca. Analizza i log per capire quali dispositivi fallirebbero. FONDAMENTALE per evitare downtime al go-live
- Go-live progressivo — attiva enforce per area: prima guest e sala riunioni, poi uffici, infine reti critiche. Mai tutto insieme
- Documentazione e training — documenta ogni policy, form il team IT sulle procedure di troubleshooting. Un NAC mal documentato diventa un problema a ogni cambio di personale
Checklist sicurezza perimetrale: NAC + firewall + EDR
Il NAC da solo non basta. Ecco la checklist completa di sicurezza perimetrale che BullTech verifica per ogni cliente PMI nel 2026:
| Layer | Strumento | Costo PMI indicativo | Priorità |
|---|---|---|---|
| Accesso rete | NAC (FortiNAC / WatchGuard AuthPoint) | 200–500 €/mese | Alta |
| Perimetro | NGFW (WatchGuard / Fortinet) | 150–400 €/mese | Critica |
| Endpoint | EDR (SentinelOne / Crowdstrike) | 8–15 €/endpoint/mese | Critica |
| Identità | MFA (Microsoft Authenticator / WatchGuard AuthPoint) | 2–6 €/utente/mese | Critica |
| Email security (Microsoft Defender / Proofpoint) | 5–12 €/utente/mese | Alta | |
| Backup | Backup immutabile (Veeam + storage off-site) | 100–300 €/mese | Alta |
Secondo BullTech Informatica, una PMI con 50 postazioni che attiva tutti e 6 i layer spende in media 800–1.500 euro/mese per una sicurezza perimetrale completa. Il costo di un singolo incidente ransomware non gestito? In media 35.000 euro (fonte: Clusit 2025). Il ROI è evidente. Per una valutazione gratuita del tuo livello di sicurezza attuale, contattaci: 30 minuti di assessment cambiano il quadro.