ZERO TRUST POLICY FOR WLAN

1. Identity Verification

• Tất cả truy cập mạng nội bộ phải dùng 802.1X + WPA2/WPA3 Enterprise.

• Tài khoản phải thuộc IdP (Azure AD / Keycloak / Okta).

• MFA bắt buộc cho các user đặc quyền (IT/Admin).

2. Device Verification

• Thiết bị phải đủ posture security: Firewall ON, EDR/Antivirus, OS up-to-date.

• Thiết bị không đạt posture → VLAN 99 (Quarantine).

3. Network Segmentation

·         Mỗi phòng ban được đặt vào một VLAN riêng (VLAN 10–16).

·         Guest (VLAN 30) và IoT (VLAN 40) bị cô lập.

·         VLAN Management (50) chỉ cho IT.

4. Access Control

·         Mặc định: deny inter-VLAN (Zero Trust).

·         Chỉ cho phép các rule "least privilege":

o Dept → Printer IoT

o Dept → Internet

o IT → Management VLAN

5. Monitoring

·         Log toàn bộ RADIUS, Wi-Fi association, ACL block/allow.

·         Cảnh báo bất thường gửi đến IT security team.

6. Maintenance

·         Update firmware Omada định kỳ.

·         Định kỳ audit ACL 60 ngày/lần.

·         Thực hiện Pentest nội bộ mỗi năm.