Cisco ISE vs. Purple WiFi: How They Compare and Work Together

Usted es un consultor sénior de seguridad de redes que informa a un cliente en inglés británico con un tono seguro, autoritario y conversacional. Hable con claridad y a un ritmo pausado, como si estuviera exponiendo ante una junta de directores de TI y arquitectos de redes. Esta es una sesión técnica profesional, no una clase. Hable en inglés británico con un acento estándar de pronunciación recibida (Received Pronunciation): Bienvenido a la serie de informes técnicos de Purple. Hoy abordaremos una pregunta que surge constantemente en el diseño de redes empresariales: Cisco ISE frente a Purple WiFi. ¿Cómo se comparan y, lo que es más importante, cómo funcionan juntos? Le daré una respuesta directa en unos diez minutos. [medium pause] Comencemos con el contexto. Si gestiona un hotel, una propiedad comercial, un estadio o un edificio del sector público, es casi seguro que tiene dos poblaciones distintas que se conectan a su red. Tiene al personal y los dispositivos corporativos, y tiene a los invitados, visitantes, fanáticos o compradores. Estas dos poblaciones tienen requisitos de autenticación, derechos de datos y objetivos comerciales completamente diferentes. El error que cometen la mayoría de las organizaciones es intentar resolver ambos problemas con una sola herramienta. De ahí viene la confusión entre Cisco ISE y Purple. [medium pause] Sección uno: qué hace realmente Cisco ISE. Cisco Identity Services Engine, o ISE, es la plataforma de control de acceso a la red (Network Access Control) empresarial de Cisco. Su función es autenticar y autorizar dispositivos corporativos y usuarios del personal. Esto lo hace principalmente a través de IEEE 802.1X, que es el estándar de control de acceso a la red basado en puertos. Cuando una laptop corporativa se conecta a su red, ISE verifica su certificado a través de EAP-TLS, o sus credenciales a través de PEAP, lo valida con Active Directory o Microsoft Entra ID, evalúa su postura de seguridad y luego lo asigna a la VLAN correcta con la política adecuada. Si el dispositivo no supera la evaluación de postura, ISE puede ponerlo en cuarentena automáticamente mediante RADIUS Change of Authorisation, o CoA. ISE también gestiona la incorporación de BYOD, donde los dispositivos personales se registran con un certificado para que puedan autenticarse de forma segura sin una contraseña compartida. Y se integra con el entorno pxGrid de Cisco, lo que permite que otras herramientas de seguridad, como firewalls y plataformas SIEM, consuman contexto de identidad en tiempo real. Los tres niveles de licencia de ISE son Essentials, Advantage y Premier. Essentials cubre 802.1X y acceso básico para invitados. Advantage agrega BYOD, evaluación de postura e integración con MDM de terceros. Premier agrega servicios de identidad pasiva e integración avanzada contra amenazas. [medium pause] Así que ISE es una plataforma de seguridad sólida y de nivel empresarial. Pero aquí está el punto crítico: su portal de invitados es funcional, no comercial. ISE puede redirigir un dispositivo no autenticado a una página web, recopilar un nombre de usuario y contraseña o la aprobación de un patrocinador, y otorgar acceso a Internet. Lo que no puede hacer es capturar el consentimiento de marketing conforme a GDPR, ejecutar páginas de bienvenida (splash pages) personalizadas con inicio de sesión social, enviar datos de visitantes a Salesforce o HubSpot, generar mapas de calor de afluencia o segmentar a los visitantes por datos demográficos para una campaña de marketing. No fue diseñado para eso, e intentar forzarlo a cumplir ese rol crea complejidad sin ofrecer el resultado comercial esperado. Usted es un consultor senior de seguridad de redes que continúa una sesión informativa técnica en inglés británico con un tono seguro, autoritario y conversacional. Hable con claridad y a un ritmo moderado. Hable en inglés británico con un acento de pronunciación estándar recibida: Sección dos: lo que hace Purple. Purple es una plataforma superpuesta en la nube. Nos integramos sobre su infraestructura WiFi existente, ya sea Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist o cualquier otro de los principales proveedores. No reemplazamos su hardware. No reemplazamos a ISE. Nosotros nos encargamos de la capa de experiencia del invitado. Cuando un visitante se conecta a su SSID de invitados, Purple intercepta esa conexión y presenta un Captive Portal personalizado. Ese portal puede ofrecer inicio de sesión social a través de Facebook, Google o LinkedIn, un formulario de captura de datos personalizado, una opción de un solo clic para conectarse o Passpoint para una reconexión automática y segura en visitas recurrentes. Cada inicio de sesión captura datos de primera mano con el consentimiento explícito de GDPR. Esos datos fluyen directamente a su CRM, su plataforma de marketing por correo electrónico o su programa de lealtad. Purple opera en más de 80,000 establecimientos activos y ha procesado 440 millones de inicios de sesión solo en 2024. Contamos con la certificación ISO 27001, cumplimos con GDPR y CCPA, y mantenemos un tiempo de actividad del 99.999%. Entre los clientes destacados se encuentran McDonald's, Harrods, Premier Inn, AGS Airports y Manchester Airports Group. [pausa media] Sección tres: cómo coexisten en una topología de red moderna. La arquitectura es sencilla una vez que se entiende la separación de funciones. Usted ejecuta dos o tres SSIDs en los mismos puntos de acceso. El SSID corporativo utiliza WPA3-Enterprise con 802.1X, e ISE es el servidor RADIUS. Cada dispositivo del personal se autentica con un certificado o credencial. ISE asigna el dispositivo a la VLAN correcta, aplica la política adecuada y registra la sesión. Purple no interviene aquí. Este es un dominio exclusivo de ISE. El SSID de invitados está abierto o utiliza WPA3-Personal con una clave precompartida para la asociación inicial. El tráfico se redirige al portal en la nube de Purple. Purple se encarga de la autenticación, la captura de consentimiento y el análisis de datos. El punto de acceso aplica un entorno restringido (walled garden) hasta que Purple señala la autorización, momento en el que abre el acceso a Internet. ISE no interviene aquí. Este es el dominio de Purple. Para despliegues más complejos, puede agregar un tercer SSID para dispositivos IoT, utilizando claves precompartidas de identidad, o iPSK, donde cada dispositivo recibe una frase de contraseña única mapeada a una VLAN específica. ISE puede administrar esto para IoT corporativo, o la función SecurePass de Purple lo maneja para IoT del recinto, como terminales de punto de venta y señalización digital. Si desea una integración más estrecha entre las dos plataformas, pxGrid de Cisco permite que Purple publique el contexto de la sesión de invitados en el ecosistema de ISE, para que su equipo de operaciones de seguridad pueda ver la actividad de los invitados junto con la actividad corporativa en una vista unificada. [medium pause] Sección cuatro: recomendaciones de implementación y errores comunes. Permítame presentarle los tres errores más comunes que veo en los despliegues. Primero: usar el portal de invitados integrado de ISE para WiFi de invitados comercial. El portal de invitados de ISE está diseñado para contratistas y personal temporal, no para el acceso de invitados impulsado por marketing. No tiene integración con CRM, ni gestión de consentimiento, ni analítica. Si se encuentra en el sector de hotelería, retail o eventos, necesita Purple en el SSID de invitados. ISE maneja lo corporativo. Purple maneja los invitados. Manténgalos separados. Segundo: no segmentar las VLAN de forma correcta. El tráfico de invitados debe estar aislado del tráfico corporativo en la capa dos. Purple opera en una VLAN separada enrutada directamente a internet, con no acceso a recursos internos. ISE aplica la asignación de VLAN para dispositivos corporativos. Si confunde estos términos, creará una exposición de seguridad y un problema de cumplimiento. Tercero: descuidar la configuración del walled garden. Cuando Purple es el Captive Portal, el punto de acceso debe permitir el tráfico DNS y HTTP hacia los endpoints de la nube de Purple antes de la autenticación. Si su walled garden es demasiado restrictivo, el portal no se cargará. Si es demasiado permisivo, los usuarios pueden eludir la autenticación. La documentación de soporte de Purple proporciona los rangos de IP y dominios exactos que debe incluir en la lista de permitidos para cada proveedor de hardware. [medium pause] Sección cinco: preguntas rápidas. ¿Purple reemplaza a Cisco ISE? No. Resuelven diferentes problemas para diferentes usuarios en diferentes SSIDs. ¿Puedo ejecutar Purple en Cisco Meraki sin ISE? Sí. Purple se integra de forma nativa con Cisco Meraki a través de la API de Meraki. No se requiere ISE para el WiFi de invitados. ¿Puedo ejecutar ambos en los mismos puntos de acceso? Sí. Múltiples SSIDs en el mismo hardware es una práctica estándar. ¿Soporta Purple 802.1X? La función SecurePass de Purple es compatible con WPA3-Enterprise con 802.1X para dispositivos de invitados que tienen instalada la aplicación de Purple, lo que permite una reconexión automática basada en certificados sin un Captive Portal. ¿Qué pasa con el cumplimiento de PCI DSS? El WiFi de invitados debe estar aislado de los sistemas de tarjetas de pago. La arquitectura VLAN de Purple cumple con este requisito. ISE aplica el mismo aislamiento para los dispositivos corporativos. [medium pause] Resumen y próximos pasos. El marco de decisión es sencillo. Si el dispositivo pertenece a su organización o a su personal, ISE se encarga de la autenticación. Si el dispositivo pertenece a un invitado, visitante, comprador o fan, Purple se encarga de la experiencia. Ambas plataformas comparten la misma infraestructura física, pero operan en capas lógicas completamente separadas. Como siguiente paso, mapee su arquitectura de SSID actual. Identifique qué SSIDs son corporativos y cuáles son de invitados. Confirme que el tráfico de invitados esté aislado por VLAN. Luego, evalúe si su portal de invitados actual ofrece el consentimiento de marketing, la analítica y la integración con CRM que sus equipos comerciales necesitan. Si no es así, esa es la brecha que Purple cubre. Puede encontrar la guía escrita completa, los diagramas de arquitectura y ejemplos prácticos en purple.ai. Gracias por su tiempo.