Cisco ISE vs. Purple WiFi: How They Compare and Work Together

Usted es un consultor sénior de seguridad de redes que informa a un cliente en inglés británico con un tono seguro, autoritario y conversacional. Hable con claridad y a un ritmo pausado, como si estuviera exponiendo ante una sala de juntas de directores de TI y arquitectos de redes. Se trata de una sesión informativa técnica profesional, no de una clase magistral. Hable en inglés británico con un acento estándar de pronunciación recibida (Received Pronunciation): Le damos la bienvenida a la serie de informes técnicos de Purple. Hoy abordaremos una pregunta que surge constantemente en el diseño de redes empresariales: Cisco ISE frente a Purple WiFi. ¿Cómo se comparan y, lo que es más importante, cómo funcionan de forma conjunta? Le daré una respuesta directa en unos diez minutos. [medium pause] Comencemos con el contexto. Si gestiona un hotel, un complejo comercial, un estadio o un edificio del sector público, es casi seguro que tenga dos poblaciones distintas que se conectan a su red. Por un lado, dispone de personal y dispositivos corporativos; por otro, de invitados, visitantes, aficionados o compradores. Estas dos poblaciones tienen requisitos de autenticación, derechos de datos y objetivos de negocio completamente diferentes. El error que cometen la mayoría de las organizaciones es intentar resolver ambos problemas con una sola herramienta. De ahí surge la confusión entre Cisco ISE y Purple. [medium pause] Sección uno: qué hace realmente Cisco ISE. Cisco Identity Services Engine, o ISE, es la plataforma de control de acceso a la red (NAC) empresarial de Cisco. Su función es autenticar y autorizar dispositivos corporativos y usuarios de la plantilla. Esto lo hace principalmente a través de IEEE 802.1X, que es el estándar de control de acceso a la red basado en puertos. Cuando un portátil corporativo se conecta a su red, ISE comprueba su certificado mediante EAP-TLS, o sus credenciales mediante PEAP, lo valida contra Active Directory o Microsoft Entra ID, evalúa su estado de seguridad y luego lo asigna a la VLAN correcta con la política adecuada. Si el dispositivo no supera la evaluación de estado, ISE puede ponerlo en cuarentena automáticamente mediante RADIUS Change of Authorisation, o CoA. ISE también gestiona la incorporación de dispositivos personales (BYOD), donde estos se registran con un certificado para poder autenticarse de forma segura sin una contraseña compartida. Además, se integra con el entorno pxGrid de Cisco, lo que permite que otras herramientas de seguridad, como firewalls y plataformas SIEM, consuman contexto de identidad en tiempo real. Los tres niveles de licencia de ISE son Essentials, Advantage y Premier. Essentials cubre 802.1X y el acceso básico para invitados. Advantage añade BYOD, evaluación de estado e integración con MDM de terceros. Premier incorpora servicios de identidad pasiva e integración avanzada contra amenazas. [medium pause] Así pues, ISE es una plataforma de seguridad robusta y de nivel empresarial. Pero aquí está el punto crítico: su portal de invitados es funcional, no comercial. ISE puede redirigir un dispositivo no autenticado a una página web, recopilar un nombre de usuario y contraseña o la aprobación de un patrocinador, y conceder acceso a internet. Lo que no puede hacer es capturar el consentimiento de marketing de conformidad con el GDPR, ejecutar páginas de bienvenida personalizadas con marca e inicio de sesión social, enviar datos de visitantes a Salesforce o HubSpot, generar mapas de calor de afluencia o segmentar a los visitantes por datos demográficos para una campaña de marketing. ISE no fue diseñado para eso, e intentar forzarlo a cumplir esa función genera complejidad sin ofrecer el resultado comercial esperado. Usted es un consultor sénior de seguridad de red que continúa una sesión informativa técnica en inglés británico con un tono seguro, autoritario y conversacional. Hable con claridad y a un ritmo moderado. Hable en inglés británico con un acento de pronunciación estándar recibida (Received Pronunciation): Sección dos: qué hace Purple. Purple es una plataforma de superposición en la nube. Nos superponemos a su infraestructura de WiFi existente, ya sea Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist o cualquiera de los otros proveedores principales. No reemplazamos su hardware. No reemplazamos a ISE. Nos encargamos de la capa de experiencia del invitado. Cuando un visitante se conecta a su SSID de invitados, Purple intercepta esa conexión y presenta un Captive Portal personalizado. Ese portal puede ofrecer inicio de sesión social a través de Facebook, Google o LinkedIn, un formulario de captura de datos personalizado, una opción de un solo clic para conectarse o Passpoint para una reconexión automática y segura en visitas posteriores. Cada inicio de sesión captura datos de primera mano con el consentimiento explícito según el GDPR. Esos datos fluyen directamente a su CRM, a su plataforma de email marketing o a su programa de fidelización. Purple opera en más de 80 000 establecimientos activos y ha procesado 440 millones de inicios de sesión solo en 2024. Contamos con la certificación ISO 27001, cumplimos con el GDPR y la CCPA, y mantenemos un tiempo de actividad del 99,999 %. Entre los clientes destacados se encuentran McDonald's, Harrods, Premier Inn, AGS Airports y Manchester Airports Group. [pausa media] Sección tres: cómo coexisten en una topología de red moderna. La arquitectura es sencilla una vez que se comprende la separación de responsabilidades. Se ejecutan dos o tres SSIDs en los mismos puntos de acceso. El SSID corporativo utiliza WPA3-Enterprise con 802.1X, e ISE es el servidor RADIUS. Cada dispositivo del personal se autentica con un certificado o credencial. ISE asigna el dispositivo a la VLAN correcta, aplica la política adecuada y registra la sesión. Purple no interviene aquí. Este es un dominio exclusivo de ISE. El SSID de invitados está abierto o utiliza WPA3-Personal con una clave precompartida para la asociación inicial. El tráfico se redirige al portal en la nube de Purple. Purple se encarga de la autenticación, la captura de consentimiento y las analíticas. El punto de acceso impone un entorno controlado (walled garden) hasta que Purple indica la autorización, momento en el que se abre el acceso a internet. ISE no interviene aquí. Este es el dominio de Purple. Para despliegues más complejos, puede añadir un tercer SSID para dispositivos IoT mediante claves precompartidas de identidad, o iPSK, donde cada dispositivo recibe una frase de contraseña única asignada a una VLAN específica. ISE puede gestionar esto para IoT corporativo, o la función SecurePass de Purple puede encargarse del IoT del establecimiento, como terminales de punto de venta y señalización digital. Si desea una integración más estrecha entre ambas plataformas, pxGrid de Cisco permite a Purple publicar el contexto de la sesión de invitados en el ecosistema de ISE, de modo que su equipo de operaciones de seguridad pueda ver la actividad de los invitados junto con la actividad corporativa en una vista unificada. [medium pause] Sección cuatro: recomendaciones de implementación y errores comunes. Permítame indicarle los tres errores más comunes que veo en los despliegues. Primero: utilizar el portal de invitados integrado de ISE para WiFi de invitados comercial. El portal de invitados de ISE está diseñado para contratistas y personal temporal, no para un acceso de invitados orientado al marketing. No tiene integración con CRM, ni gestión de consentimiento, ni analíticas. Si se encuentra en el sector de la hostelería, el comercio minorista o los eventos, necesita Purple en el SSID de invitados. ISE gestiona la parte corporativa. Purple gestiona la de invitados. Manténgalos separados. Segundo: no segmentar las VLAN correctamente. El tráfico de invitados debe estar aislado del tráfico corporativo en la capa dos. Purple funciona en una VLAN independiente enrutada directamente a internet, sin acceso a los recursos internos. ISE aplica la asignación de VLAN para dispositivos corporativos. Si mezcla ambos, creará una exposición de seguridad y un problema de cumplimiento. Tercero: descuidar la configuración del walled garden (entorno cerrado). Cuando Purple es el captive portal, el punto de acceso debe permitir el tráfico DNS y HTTP a los endpoints en la nube de Purple antes de la autenticación. Si su walled garden es demasiado restrictivo, el portal no se cargará. Si es demasiado permisivo, los usuarios pueden eludir la autenticación. La documentación de soporte de Purple proporciona los rangos de IP y dominios exactos que se deben incluir en la lista blanca para cada proveedor de hardware. [medium pause] Sección cinco: preguntas rápidas. ¿Reemplaza Purple a Cisco ISE? No. Resuelven problemas diferentes para usuarios diferentes en SSIDs diferentes. ¿Puedo ejecutar Purple en Cisco Meraki sin ISE? Sí. Purple se integra de forma nativa con Cisco Meraki a través de la API de Meraki. No se requiere ISE para el WiFi de invitados. ¿Puedo ejecutar ambos en los mismos puntos de acceso? Sí. Utilizar múltiples SSIDs en el mismo hardware es una práctica estándar. ¿Admite Purple 802.1X? La función SecurePass de Purple admite WPA3-Enterprise con 802.1X para dispositivos de invitados que tengan instalada la aplicación de Purple, lo que permite una reconexión automática basada en certificados sin necesidad de un captive portal. ¿Qué ocurre con el cumplimiento de PCI DSS? El WiFi de invitados debe estar aislado de los sistemas de tarjetas de pago. La arquitectura VLAN de Purple cumple con este requisito. ISE aplica el mismo aislamiento para los dispositivos corporativos. [medium pause] Resumen y siguientes pasos. El marco de decisión es sencillo. Si el dispositivo pertenece a su organización o a su personal, ISE gestiona la autenticación. Si el dispositivo pertenece a un invitado, visitante, comprador o aficionado, Purple gestiona la experiencia. Ambas plataformas comparten la misma infraestructura física, pero funcionan en capas lógicas completamente independientes. Como siguiente paso, mapee su arquitectura de SSID actual. Identifique qué SSIDs son corporativos y cuáles son de invitados. Confirme que el tráfico de invitados esté aislado por VLAN. A continuación, evalúe si su portal de invitados actual ofrece el consentimiento de marketing, la analítica y la integración con CRM que sus equipos comerciales necesitan. Si no es así, ese es el vacío que cubre Purple. Puede encontrar la guía escrita completa, los diagramas de arquitectura y los ejemplos prácticos en purple.ai. Gracias por su tiempo.