Cisco ISE vs. Purple WiFi: Vergleich und Zusammenspiel

Sie sind ein leitender Berater für Netzwerksicherheit, der einen Kunden in britischem Englisch in einem selbstbewussten, autoritären und konversationsorientierten Ton brieft. Sprechen Sie klar und in mäßigem Tempo, als würden Sie vor einem Gremium aus IT-Direktoren und Netzwerkarchitekten präsentieren. Dies ist ein professionelles technisches Briefing, kein Vortrag. Sprechen Sie in britischem Englisch mit einer Standard-Aussprache (Received Pronunciation): Willkommen bei der technischen Briefing-Reihe von Purple. Heute befassen wir uns mit einer Frage, die beim Design von Unternehmensnetzwerken ständig auftaucht: Cisco ISE versus Purple WiFi. Wie stehen sie im Vergleich zueinander und, was noch wichtiger ist, wie arbeiten sie zusammen? Ich werde Ihnen in etwa zehn Minuten eine klare Antwort geben. [medium pause] Beginnen wir mit dem Kontext. Wenn Sie ein Hotel, ein Einzelhandelsobjekt, ein Stadion oder ein Gebäude des öffentlichen Sektors betreiben, haben Sie fast sicher zwei völlig unterschiedliche Benutzergruppen, die sich mit Ihrem Netzwerk verbinden. Sie haben Mitarbeiter und Unternehmensgeräte, und Sie haben Gäste, Besucher, Fans oder Kunden. Diese beiden Gruppen haben völlig unterschiedliche Anforderungen an die Authentifizierung, unterschiedliche Datenrechte und unterschiedliche geschäftliche Ziele. Der Fehler, den die meisten Unternehmen machen, besteht darin, beide Probleme mit einem einzigen Tool lösen zu wollen. Daher rührt die Verwirrung zwischen Cisco ISE und Purple. [medium pause] Teil eins: Was Cisco ISE eigentlich tut. Cisco Identity Services Engine, oder ISE, ist Ciscos Network Access Control-Plattform für Unternehmen. Ihre Aufgabe ist es, Unternehmensgeräte und Mitarbeiter zu authentifizieren und zu autorisieren. Dies geschieht in erster Linie über IEEE 802.1X, dem Standard für die portbasierte Netzwerkzugriffskontrolle. Wenn sich ein Firmen-Laptop mit Ihrem Netzwerk verbindet, überprüft ISE dessen Zertifikat über EAP-TLS oder seine Anmeldedaten über PEAP, validiert diese mit Active Directory oder Microsoft Entra ID, bewertet den Sicherheitsstatus (Security Posture) und weist es dann mit der richtigen Richtlinie dem korrekten VLAN zu. Wenn das Gerät die Statusprüfung nicht besteht, kann ISE es mithilfe von RADIUS Change of Authorisation (CoA) automatisch unter Quarantäne stellen. ISE übernimmt auch das BYOD-Onboarding, bei dem persönliche Geräte mit einem Zertifikat registriert werden, sodass sie sich ohne ein gemeinsam genutztes Passwort sicher authentifizieren können. Zudem lässt es sich in das pxGrid-Framework von Cisco integrieren, wodurch andere Sicherheitstools wie Firewalls und SIEM-Plattformen Identitätskontexte in Echtzeit nutzen können. Die drei ISE-Lizenzstufen sind Essentials, Advantage und Premier. Essentials deckt 802.1X und den grundlegenden Gastzugang ab. Advantage fügt BYOD, Statusprüfung (Posture Assessment) und die Integration von MDM-Drittanbietern hinzu. Premier erweitert dies um passive Identitätsdienste und fortschrittliche Bedrohungsintegration. [medium pause] ISE ist also eine erstklassige Sicherheitsplattform der Enterprise-Klasse. Aber hier ist der entscheidende Punkt: Ihr Gästeportal ist funktional, nicht kommerziell. ISE kann ein nicht authentifiziertes Gerät auf eine Webseite umleiten, einen Benutzernamen und ein Passwort oder eine Sponsorgenehmigung erfassen und Internetzugang gewähren. Was es jedoch nicht kann, ist die Erfassung von GDPR-konformen Marketing-Einwilligungen, die Bereitstellung von gebrandeten Splash-Pages mit Social-Login, die Einspeisung von Besucherdaten in Salesforce oder HubSpot, die Erstellung von Heatmaps zur Kundenfrequenz oder die Segmentierung von Besuchern nach Demografie für eine Marketingkampagne. Dafür wurde ISE nicht entwickelt, und der Versuch, es in diese Rolle zu drängen, schafft nur Komplexität, ohne das gewünschte kommerzielle Ergebnis zu liefern. Sie sind ein leitender Berater für Netzwerksicherheit und setzen ein technisches Briefing in britischem Englisch mit einem selbstbewussten, autoritären und konversationellen Ton fort. Sprechen Sie klar und in mäßigem Tempo. Sprechen Sie in britischem Englisch mit einem Standard-Received-Pronunciation-Akzent: Abschnitt zwei: Was Purple tut. Purple ist eine Cloud-Overlay-Plattform. Wir setzen auf Ihrer bestehenden WiFi-Infrastruktur auf, sei es Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist oder einer der anderen großen Anbieter. Wir ersetzen Ihre Hardware nicht. Wir ersetzen ISE nicht. Wir kümmern uns um die Ebene der Gästeerfahrung. Wenn sich ein Besucher mit Ihrer Gäste-SSID verbindet, fängt Purple diese Verbindung ab und präsentiert ein gebrandetes Captive Portal. Dieses Portal kann Social-Login über Facebook, Google oder LinkedIn, ein benutzerdefiniertes Datenerfassungsformular, eine Click-to-Connect-Option oder Passpoint für die automatische, sichere Wiederverbindung bei wiederholten Besuchen bieten. Jeder Login erfasst First-Party-Daten mit ausdrücklicher GDPR-Einwilligung. Diese Daten fließen direkt in Ihr CRM, Ihre E-Mail-Marketing-Plattform oder Ihr Treueprogramm. Purple ist an 80.000 Live-Standorten im Einsatz und hat allein im Jahr 2024 440 Millionen Logins verarbeitet. Wir sind nach ISO 27001 zertifiziert, erfüllen GDPR und CCPA und halten eine Verfügbarkeit von 99,999 % aufrecht. Zu den namhaften Kunden zählen McDonald's, Harrods, Premier Inn, AGS Airports und die Manchester Airports Group. [mittlere Pause] Abschnitt drei: Wie sie in einer modernen Netzwerktopologie koexistieren. Die Architektur ist unkompliziert, wenn man erst einmal die Aufteilung der Zuständigkeiten versteht. Sie betreiben zwei oder drei SSIDs auf denselben Access Points. Die Corporate-SSID verwendet WPA3-Enterprise mit 802.1X, und ISE ist der RADIUS-Server. Jedes Mitarbeitergerät authentifiziert sich mit einem Zertifikat oder Zugangsdaten. ISE weist das Gerät dem richtigen VLAN zu, wendet die richtige Richtlinie an und protokolliert die Sitzung. Purple spielt hier keine Rolle. Dies ist ausschließlich der Bereich von ISE. Die Gäste-SSID ist offen oder verwendet WPA3-Personal mit einem Pre-shared Key für die erste Zuordnung. Der Datenverkehr wird an das Cloud-Portal von Purple umgeleitet. Purple übernimmt die Authentifizierung, die Erfassung der Einwilligung und die Analysen. Der Access Point erzwingt eine Walled Garden-Umgebung, bis Purple die Autorisierung signalisiert, und gibt dann den Internetzugang frei. ISE spielt hier keine Rolle. Dies ist der Bereich von Purple. Für komplexere Bereitstellungen können Sie eine dritte SSID für IoT-Geräte hinzufügen, die Identity Pre-Shared Keys oder iPSK nutzt, wobei jedes Gerät eine eindeutige Passphrase erhält, die einem bestimmten VLAN zugeordnet ist. ISE kann dies für das Unternehmens-IoT verwalten, oder die SecurePass-Funktion von Purple übernimmt dies für das Venue-IoT wie Point-of-Sale-Terminals und digitale Beschilderung. Wenn Sie eine engere Integration zwischen den beiden Plattformen wünschen, ermöglicht Ciscos pxGrid Purple die Veröffentlichung von Gastsitzungskontexten im ISE-Ökosystem, sodass Ihr Security Operations Team die Gastaktivitäten zusammen mit den Unternehmensaktivitäten in einer einheitlichen Ansicht sehen kann. [medium pause] Abschnitt vier: Implementierungsempfehlungen und häufige Fallstricke. Lassen Sie mich Ihnen die drei häufigsten Fehler nennen, die ich bei Implementierungen sehe. Erstens: Die Verwendung des integrierten Gästeportals von ISE für kommerzielles Gäste-WiFi. Das Gästeportal von ISE ist für Auftragnehmer und temporäre Mitarbeiter konzipiert, nicht für marketinggesteuerten Gästezugang. Es bietet keine CRM-Integration, kein Einwilligungsmanagement und keine Analysen. Wenn Sie im Gastgewerbe, im Einzelhandel oder im Veranstaltungsbereich tätig sind, benötigen Sie Purple auf der Gäste-SSID. ISE kümmert sich um das Unternehmen. Purple kümmert sich um die Gäste. Halten Sie sie getrennt. Zweitens: VLANs werden nicht korrekt segmentiert. Der Gästedatenverkehr muss auf Layer 2 vom Unternehmensdatenverkehr isoliert werden. Purple läuft in einem separaten VLAN, das direkt ins Internet geroutet wird, ohne Zugriff auf interne Ressourcen. ISE erzwingt die VLAN-Zuweisung für Unternehmensgeräte. Wenn Sie dies vermischen, schaffen Sie ein Sicherheitsrisiko und ein Compliance-Problem. Drittens: Vernachlässigung der Walled-Garden-Konfiguration. Wenn Purple als Captive Portal fungiert, muss der Access Point DNS- und HTTP-Verkehr zu den Cloud-Endpunkten von Purple vor der Authentifizierung zulassen. Wenn Ihr Walled Garden zu restriktiv ist, lädt das Portal nicht. Wenn er zu durchlässig ist, können Benutzer die Authentifizierung umgehen. Die Support-Dokumentation von Purple enthält die genauen IP-Bereiche und Domänen, die für jeden Hardwarehersteller auf die Whitelist gesetzt werden müssen. [medium pause] Abschnitt fünf: Rapid-Fire-Fragen. Ersetzt Purple Cisco ISE? Nein. Sie lösen unterschiedliche Probleme für unterschiedliche Benutzer auf unterschiedlichen SSIDs. Kann ich Purple auf Cisco Meraki ohne ISE betreiben? Ja. Purple integriert sich nativ mit Cisco Meraki über die Meraki API. ISE ist für Gäste-WiFi nicht erforderlich. Kann ich beide auf denselben Access Points betreiben? Ja. Mehrere SSIDs auf derselben Hardware sind Standardpraxis. Unterstützt Purple 802.1X? Die SecurePass-Funktion von Purple unterstützt WPA3-Enterprise mit 802.1X für Gastgeräte, auf denen die Purple-App installiert ist, und ermöglicht eine automatische, zertifikatsbasierte Wiederverbindung ohne Captive Portal. Wie sieht es mit der PCI DSS-Compliance aus? Das Gäste-WiFi muss von Systemen für Zahlungskarten isoliert sein. Die VLAN-Architektur von Purple erfüllt diese Anforderung. ISE erzwingt dieselbe Isolation für Unternehmensgeräte. [medium pause] Zusammenfassung und nächste Schritte. Der Entscheidungsrahmen ist einfach. Wenn das Gerät Ihrer Organisation oder Ihren Mitarbeitern gehört, übernimmt ISE die Authentifizierung. Wenn das Gerät einem Gast, Besucher, Kunden oder Fan gehört, übernimmt Purple das Erlebnis. Die beiden Plattformen nutzen dieselbe physische Infrastruktur, arbeiten jedoch auf völlig separaten logischen Ebenen. Als nächsten Schritt kartieren Sie Ihre aktuelle SSID-Architektur. Identifizieren Sie, welche SSIDs für das Unternehmen und welche für Gäste bestimmt sind. Stellen Sie sicher, dass der Gast-Traffic VLAN-isoliert ist. Prüfen Sie anschließend, ob Ihr aktuelles Gast-Portal die Marketing-Einwilligungen, Analysen und die CRM-Integration bietet, die Ihre kommerziellen Teams benötigen. Wenn dies nicht der Fall ist, schließt Purple diese Lücke. Den vollständigen schriftlichen Leitfaden, Architekturdiagramme und Praxisbeispiele finden Sie unter purple.ai. Vielen Dank für Ihre Zeit.