Cisco ISE बनाम Purple WiFi: वे कैसे तुलना करते हैं और एक साथ कैसे काम करते हैं

आप एक सीनियर नेटवर्क सुरक्षा सलाहकार हैं जो ब्रिटिश इंग्लिश में एक आत्मविश्वासी, आधिकारिक और संवादात्मक लहजे में एक क्लाइंट को जानकारी दे रहे हैं। स्पष्ट रूप से और एक नपी-तुली गति से बोलें, जैसे कि आईटी निदेशकों और नेटवर्क आर्किटेक्ट्स के बोर्डरूम के सामने प्रस्तुत कर रहे हों। यह एक पेशेवर तकनीकी ब्रीफिंग है, कोई व्याख्यान नहीं। मानक प्राप्त उच्चारण (standard received pronunciation) लहजे के साथ ब्रिटिश इंग्लिश में बोलें: Purple तकनीकी ब्रीफिंग श्रृंखला में आपका स्वागत है। आज हम एक ऐसे प्रश्न पर चर्चा कर रहे हैं जो एंटरप्राइज नेटवर्क डिजाइन में लगातार सामने आता है: Cisco ISE बनाम Purple WiFi। वे कैसे तुलना करते हैं, और इससे भी महत्वपूर्ण बात यह है कि वे एक साथ कैसे काम करते हैं? मैं आपको लगभग दस मिनट में इसका सीधा जवाब देने जा रहा हूँ। [medium pause] आइए संदर्भ से शुरुआत करें। यदि आप एक होटल, एक रिटेल एस्टेट, एक स्टेडियम, या एक सार्वजनिक क्षेत्र की इमारत चला रहे हैं, तो आपके नेटवर्क से जुड़ने वाली लगभग निश्चित रूप से दो अलग-अलग आबादी हैं। आपके पास कर्मचारी और कॉर्पोरेट डिवाइस हैं, और आपके पास मेहमान, आगंतुक, प्रशंसक या खरीदार हैं। इन दोनों आबादियों की पूरी तरह से अलग प्रमाणीकरण (authentication) आवश्यकताएं, अलग डेटा अधिकार और अलग व्यावसायिक उद्देश्य हैं। अधिकांश संगठन जो गलती करते हैं वह एक ही उपकरण के साथ दोनों समस्याओं को हल करने का प्रयास करना है। Cisco ISE और Purple के बीच भ्रम यहीं से पैदा होता है। [medium pause] खंड एक: Cisco ISE वास्तव में क्या करता है। Cisco Identity Services Engine, या ISE, Cisco का एंटरप्राइज नेटवर्क एक्सेस कंट्रोल (Network Access Control) प्लेटफॉर्म है। इसका काम कॉर्पोरेट उपकरणों और कर्मचारी उपयोगकर्ताओं को प्रमाणित और अधिकृत करना है। यह मुख्य रूप से IEEE 802.1X के माध्यम से ऐसा करता है, जो पोर्ट-आधारित नेटवर्क एक्सेस कंट्रोल मानक है। जब एक कॉर्पोरेट लैपटॉप आपके नेटवर्क से जुड़ता है, तो ISE EAP-TLS के माध्यम से इसके प्रमाणपत्र की, या PEAP के माध्यम से इसके क्रेडेंशियल्स की जांच करता है, इसे Active Directory या Microsoft Entra ID के विरुद्ध सत्यापित करता है, इसके सुरक्षा दृष्टिकोण (security posture) का आकलन करता है, और फिर इसे सही नीति के साथ सही VLAN में असाइन करता है। यदि डिवाइस सुरक्षा दृष्टिकोण मूल्यांकन में विफल रहता है, तो ISE RADIUS Change of Authorisation, या CoA का उपयोग करके इसे स्वचालित रूप से क्वारंटाइन कर सकता है। ISE BYOD ऑनबोर्डिंग को भी संभालता है, जहाँ व्यक्तिगत उपकरणों को एक प्रमाणपत्र के साथ नामांकित किया जाता है ताकि वे बिना किसी साझा पासवर्ड के सुरक्षित रूप से प्रमाणित हो सकें। और यह Cisco के pxGrid फ्रेमवर्क के साथ एकीकृत होता है, जो फ़ायरवॉल और SIEM प्लेटफॉर्म जैसे अन्य सुरक्षा उपकरणों को रीयल-टाइम पहचान संदर्भ (identity context) का उपयोग करने की अनुमति देता है। तीन ISE लाइसेंस टियर Essentials, Advantage और Premier हैं। Essentials में 802.1X और बुनियादी अतिथि पहुंच (guest access) शामिल है। Advantage में BYOD, सुरक्षा दृष्टिकोण मूल्यांकन (posture assessment) और थर्ड-पार्टी MDM एकीकरण शामिल है। Premier निष्क्रिय पहचान सेवाएं (passive identity services) और उन्नत खतरे एकीकरण (advanced threat integration) जोड़ता है। [medium pause] तो ISE एक गंभीर, एंटरप्राइज-ग्रेड सुरक्षा प्लेटफॉर्म है। लेकिन यहाँ महत्वपूर्ण बात यह है: इसका गेस्ट पोर्टल कार्यात्मक है, व्यावसायिक नहीं। ISE एक अप्रमाणित डिवाइस को वेब पेज पर रीडायरेक्ट कर सकता है, यूजरनेम और पासवर्ड या प्रायोजक (sponsor) की मंजूरी ले सकता है, और इंटरनेट एक्सेस प्रदान कर सकता है। लेकिन यह जो नहीं कर सकता है, वह है GDPR-अनुरूप मार्केटिंग सहमति प्राप्त करना, सोशल लॉगिन के साथ ब्रांडेड स्प्लैश पेज चलाना, आगंतुकों के डेटा को Salesforce या HubSpot में फीड करना, फुटफॉल हीटमैप बनाना, या मार्केटिंग अभियान के लिए जनसांख्यिकी के आधार पर आगंतुकों को विभाजित करना। ISE को इसके लिए डिज़ाइन नहीं किया गया है, और इसे उस भूमिका में खींचने की कोशिश करने से व्यावसायिक परिणाम दिए बिना केवल जटिलता बढ़ती है। आप एक सीनियर नेटवर्क सुरक्षा सलाहकार हैं जो आत्मविश्वास, आधिकारिक और संवादात्मक लहजे में ब्रिटिश इंग्लिश में तकनीकी ब्रीफिंग जारी रख रहे हैं। स्पष्ट रूप से और नपी-तुली गति से बोलें। मानक प्राप्त उच्चारण लहजे के साथ ब्रिटिश इंग्लिश में बोलें: भाग दो: Purple क्या करता है। Purple एक क्लाउड ओवरले प्लेटफॉर्म है। हम आपके मौजूदा WiFi इन्फ्रास्ट्रक्चर के शीर्ष पर काम करते हैं, चाहे वह Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist हो, या कोई अन्य प्रमुख वेंडर। हम आपके हार्डवेयर को नहीं बदलते हैं। हम ISE को नहीं बदलते हैं। हम गेस्ट एक्सपीरियंस लेयर को संभालते हैं। जब कोई आगंतुक आपके गेस्ट SSID से जुड़ता है, तो Purple उस कनेक्शन को इंटरसेप्ट करता है और एक ब्रांडेड Captive Portal प्रस्तुत करता है। वह पोर्टल Facebook, Google, या LinkedIn के माध्यम से सोशल लॉगिन, एक कस्टम डेटा कैप्चर फॉर्म, क्लिक-टू-कनेक्ट विकल्प, या वापसी यात्राओं पर स्वचालित सुरक्षित पुन: कनेक्शन के लिए Passpoint की पेशकश कर सकता है। प्रत्येक लॉगिन स्पष्ट GDPR सहमति के साथ फर्स्ट-पार्टी डेटा कैप्चर करता है। वह डेटा सीधे आपके CRM, आपके ईमेल मार्केटिंग प्लेटफॉर्म, या आपके लॉयल्टी प्रोग्राम में प्रवाहित होता है। Purple 80,000 से अधिक लाइव स्थानों पर काम करता है और केवल 2024 में ही इसने 440 मिलियन लॉगिन प्रोसेस किए हैं। हमारे पास ISO 27001 सर्टिफिकेशन है, हम GDPR और CCPA का अनुपालन करते हैं, और 99.999% अपटाइम बनाए रखते हैं। प्रमुख ग्राहकों में McDonald's, Harrods, Premier Inn, AGS Airports, और Manchester Airports Group शामिल हैं। [मध्यम विराम] भाग तीन: वे एक आधुनिक नेटवर्क टोपोलॉजी में कैसे सह-अस्तित्व में रहते हैं। एक बार जब आप जिम्मेदारियों के पृथक्करण को समझ जाते हैं, तो आर्किटेक्चर सीधा और सरल है। आप एक ही एक्सेस पॉइंट्स पर दो या तीन SSID चलाते हैं। कॉर्पोरेट SSID 802.1X के साथ WPA3-Enterprise का उपयोग करता है, और ISE RADIUS सर्वर है। प्रत्येक स्टाफ डिवाइस एक सर्टिफिकेट या क्रेडेंशियल के साथ प्रमाणित होता है। ISE डिवाइस को सही VLAN में असाइन करता है, सही पॉलिसी लागू करता है, और सेशन को लॉग करता है। यहाँ Purple की कोई भूमिका नहीं है। यह पूरी तरह से ISE का क्षेत्र है। गेस्ट SSID खुला होता है या प्रारंभिक जुड़ाव के लिए प्री-शेयर्ड की के साथ WPA3-Personal का उपयोग करता है। ट्रैफ़िक को Purple के क्लाउड पोर्टल पर रीडायरेक्ट किया जाता है। Purple प्रमाणीकरण, सहमति कैप्चर, और एनालिटिक्स को संभालता है। जब तक Purple ऑथराइजेशन का संकेत नहीं देता, तब तक एक्सेस पॉइंट एक वॉल्ड गार्डन लागू करता है, और फिर इंटरनेट एक्सेस खोलता है। यहाँ ISE की कोई भूमिका नहीं है। यह Purple का क्षेत्र है। अधिक जटिल डिप्लॉयमेंट के लिए, आप IoT उपकरणों के लिए एक तीसरा SSID जोड़ सकते हैं, जिसमें आइडेंटिटी प्री-शेयर्ड कीज़ या iPSK का उपयोग किया जाता है, जहाँ प्रत्येक उपकरण को एक विशिष्ट VLAN से मैप किया गया एक विशिष्ट पासफ़्रेज़ मिलता है। ISE इसे कॉर्पोरेट IoT के लिए प्रबंधित कर सकता है, या Purple की SecurePass विशेषता इसे वेन्यू IoT जैसे कि पॉइंट-ऑफ़-सेल टर्मिनल्स और डिजिटल साइनेज के लिए संभालती है। यदि आप दोनों प्लेटफ़ॉर्म के बीच कड़ा एकीकरण चाहते हैं, तो Cisco का pxGrid Purple को ISE इकोसिस्टम में गेस्ट सेशन कॉन्टेक्स्ट प्रकाशित करने की अनुमति देता है, ताकि आपकी सुरक्षा संचालन टीम कॉर्पोरेट गतिविधि के साथ-साथ गेस्ट गतिविधि को भी एक एकीकृत दृश्य में देख सके। [medium pause] अनुभाग चार: कार्यान्वयन की सिफारिशें और सामान्य गलतियाँ। मैं आपको उन तीन सबसे आम गलतियों के बारे में बताता हूँ जो मैं डिप्लॉयमेंट में देखता हूँ। पहला: कमर्शियल गेस्ट WiFi के लिए ISE के इन-बिल्ट गेस्ट पोर्टल का उपयोग करना। ISE का गेस्ट पोर्टल ठेकेदारों और अस्थायी कर्मचारियों के लिए डिज़ाइन किया गया है, न कि मार्केटिंग-संचालित गेस्ट एक्सेस के लिए। इसमें कोई CRM एकीकरण, कोई सहमति प्रबंधन (consent management) और कोई एनालिटिक्स नहीं है। यदि आप हॉस्पिटैलिटी, रिटेल या इवेंट्स में हैं, तो आपको गेस्ट SSID पर Purple की आवश्यकता है। ISE कॉर्पोरेट को संभालता है। Purple मेहमानों को संभालता है। उन्हें अलग रखें। दूसरा: VLANs को सही ढंग से विभाजित न करना। गेस्ट ट्रैफ़िक को लेयर टू (layer two) पर कॉर्पोरेट ट्रैफ़िक से अलग किया जाना चाहिए। Purple एक अलग VLAN में काम करता है जो सीधे इंटरनेट पर रूट होता है, जिसमें आंतरिक संसाधनों तक कोई पहुँच नहीं होती है। ISE कॉर्पोरेट उपकरणों के लिए VLAN असाइनमेंट लागू करता है। यदि आप इन्हें मिला देते हैं, तो आप सुरक्षा जोखिम और अनुपालन (compliance) की समस्या पैदा करते हैं। तीसरा: walled garden कॉन्फ़िगरेशन की उपेक्षा करना। जब Purple ही Captive Portal है, तो एक्सेस पॉइंट को प्रमाणीकरण से पहले Purple के क्लाउड एंडपॉइंट्स पर DNS और HTTP ट्रैफ़िक की अनुमति देनी होगी। यदि आपका walled garden बहुत अधिक प्रतिबंधात्मक है, तो पोर्टल लोड नहीं होगा। यदि यह बहुत अधिक उदार है, तो उपयोगकर्ता प्रमाणीकरण को बायपास कर सकते हैं। Purple के सपोर्ट दस्तावेज़ प्रत्येक हार्डवेयर वेंडर के लिए व्हाइटलिस्ट करने के लिए सटीक IP रेंज और डोमेन प्रदान करते हैं। [medium pause] अनुभाग पांच: रैपिड-फायर प्रश्न। क्या Purple, Cisco ISE को रीप्लेस करता है? नहीं। वे अलग-अलग SSIDs पर अलग-अलग उपयोगकर्ताओं के लिए अलग-अलग समस्याओं का समाधान करते हैं। क्या मैं ISE के बिना Cisco Meraki पर Purple चला सकता हूँ? हाँ। Purple, Meraki API के माध्यम से Cisco Meraki के साथ मूल रूप से एकीकृत होता है। गेस्ट WiFi के लिए ISE की आवश्यकता नहीं है। क्या मैं दोनों को एक ही एक्सेस पॉइंट्स पर चला सकता हूँ? हाँ। एक ही हार्डवेयर पर कई SSIDs होना सामान्य बात है। क्या Purple 802.1X का समर्थन करता है? Purple की SecurePass विशेषता उन गेस्ट डिवाइसेस के लिए 802.1X के साथ WPA3-Enterprise का समर्थन करती है जिनमें Purple ऐप इंस्टॉल है, जिससे बिना Captive Portal के स्वचालित, प्रमाणपत्र-आधारित रीकनेक्शन सक्षम होता है। PCI DSS अनुपालन के बारे में क्या? गेस्ट WiFi को पेमेंट कार्ड सिस्टम से अलग रखा जाना चाहिए। Purple का VLAN आर्किटेक्चर इस आवश्यकता को पूरा करता है। ISE कॉर्पोरेट उपकरणों के लिए भी यही अलगाव लागू करता है। [medium pause] सारांश और अगले कदम। निर्णय ढांचा सरल है। यदि डिवाइस आपके संगठन या आपके कर्मचारियों का है, तो ISE प्रमाणीकरण (authentication) का स्वामित्व रखता है। यदि डिवाइस किसी अतिथि, आगंतुक, खरीदार या प्रशंसक का है, तो Purple अनुभव का स्वामित्व रखता है। दोनों प्लेटफ़ॉर्म एक ही भौतिक बुनियादी ढांचे को साझा करते हैं लेकिन पूरी तरह से अलग तार्किक परतों में काम करते हैं। अपने अगले कदम के लिए, अपने वर्तमान SSID आर्किटेक्चर को मैप करें। पहचानें कि कौन से SSIDs कॉर्पोरेट हैं और कौन से अतिथि हैं। पुष्टि करें कि अतिथि ट्रैफ़िक VLAN-आइसोलेटेड है। फिर आकलन करें कि क्या आपका वर्तमान गेस्ट पोर्टल वह मार्केटिंग सहमति, एनालिटिक्स और CRM एकीकरण प्रदान कर रहा है जिसकी आपकी व्यावसायिक टीमों को आवश्यकता है। यदि ऐसा नहीं है, तो Purple इसी कमी को पूरा करता है। आप purple.ai पर पूर्ण लिखित गाइड, आर्किटेक्चर आरेख और व्यावहारिक उदाहरण पा सकते हैं। आपके समय के लिए धन्यवाद।