WiFi gestito in cloud vs WiFi basato su controller: quale scegliere?

Sintesi esecutiva

La decisione tra WiFi gestito in cloud e WiFi basato su controller è una delle scelte architetturali più importanti che un team di rete prenderà in questo decennio. Entrambi i modelli offrono connettività wireless di livello enterprise, ma differiscono fondamentalmente per quanto riguarda la posizione dell'intelligenza, la scalabilità, i costi nel tempo e la gestione degli obblighi di conformità.

Il WiFi gestito in cloud sposta la funzione del controller su una piattaforma cloud ospitata dal vendor, consentendo il provisioning zero-touch, aggiornamenti automatici del firmware e una gestione centralizzata (single-pane-of-glass) su un numero illimitato di sedi. Il WiFi basato su controller mantiene tale intelligenza on-premise, offrendo la massima sovranità dei dati, resilienza offline e controllo granulare, al costo di un CapEx più elevato e di maggiori oneri operativi.

Per la maggior parte degli operatori multi-sede (catene alberghiere, reti di vendita al dettaglio, gestori di stadi ed enti locali), il WiFi gestito in cloud rappresenta oggi la scelta operativamente superiore. Per le grandi implementazioni in un singolo campus con rigidi requisiti di residenza dei dati, i controller on-premise rimangono una soluzione valida. In entrambi i casi, la piattaforma di gestione WiFi di Purple opera come un overlay indipendente dall'infrastruttura, aggiungendo la gestione dell'esperienza degli ospiti, l'acquisizione dei dati conforme al GDPR e analitiche azionabili, indipendentemente dall'architettura scelta.

Approfondimento tecnico

Cos'è il WiFi gestito in cloud?

Il WiFi gestito in cloud è un'architettura LAN wireless in cui la funzione del controller (autenticazione, applicazione delle policy, gestione delle radiofrequenze, distribuzione del firmware e monitoraggio) è ospitata in una piattaforma cloud gestita dal vendor anziché su hardware on-premise dedicato. Gli access point nelle sedi locali si connettono alla piattaforma di gestione cloud tramite tunnel HTTPS o CAPWAP crittografati, ricevendo la configurazione e inviando i dati di telemetria a monte. Il data plane (l'inoltro effettivo del traffico utente) rimane in genere locale sull'access point, garantendo che un'interruzione della WAN non interrompa le sessioni utente attive.

Le principali piattaforme WiFi gestite in cloud includono Cisco Meraki, Aruba Central (HPE), Juniper Mist, Extreme Networks CloudIQ e Ruckus One. Ogni piattaforma fornisce una console di gestione basata sul web, un'API RESTful per l'integrazione con sistemi di terze parti e vari gradi di ottimizzazione RF e rilevamento delle anomalie basati sull'intelligenza artificiale.

Cos'è il WiFi basato su controller?

Il WiFi basato su controller è la tradizionale architettura wireless enterprise in cui un wireless LAN controller (WLC) fisico o virtuale viene distribuito on-premise per gestire tutti gli access point all'interno di una sede o di un campus. Il controller gestisce l'autenticazione IEEE 802.1X tramite RADIUS, applica le policy di QoS e sicurezza, gestisce il fast roaming tra gli access point (IEEE 802.11r) e fornisce monitoraggio e risoluzione dei problemi centralizzati. In una configurazione split-tunnel o local-switching, il traffico utente viene inoltrato localmente sull'access point; in una configurazione centralised-switching, tutto il traffico viene reindirizzato al controller tramite tunnel.

Le principali piattaforme basate su controller includono Cisco Catalyst Wireless (in precedenza AireOS), Aruba Mobility Controllers, Juniper Mist con controller virtuali on-premise e Ruckus SmartZone. Queste piattaforme sono mature, ricche di funzionalità e ampiamente distribuite in ambienti aziendali, sanitari e del settore pubblico.

Compromessi architetturali: un confronto strutturato

Considerazioni sull'architettura di sicurezza

Entrambe le architetture supportano standard di sicurezza di livello enterprise. WPA3-Enterprise con autenticazione IEEE 802.1X è disponibile su tutte le moderne piattaforme gestite in cloud e basate su controller. L'integrazione RADIUS per l'autenticazione centralizzata è standard in entrambi i modelli. La segmentazione VLAN per isolare il traffico di ospiti, personale e IoT è supportata da tutti i principali vendor.

La principale distinzione in termini di sicurezza risiede nel management plane. In un'implementazione basata su controller, tutto il traffico di gestione rimane all'interno del perimetro di rete, il che rappresenta un vantaggio significativo per le organizzazioni soggette ai requisiti di certificazione PCI DSS (che richiede controlli rigorosi sugli ambienti dei dati dei titolari di carta) o ISO 27001. In un'implementazione gestita in cloud, il traffico di gestione attraversa l'internet pubblico (seppur crittografato) e la postura di sicurezza dipende in parte dai controlli e dalle certificazioni di sicurezza del vendor cloud.

Nello specifico per il WiFi degli ospiti, la conformità al GDPR richiede che qualsiasi dato personale raccolto tramite un Captive Portal (inclusi indirizzi e-mail, token di social login o identificatori di dispositivo) venga acquisito con un consenso esplicito e informato, archiviato in modo sicuro e soggetto ai diritti dell'interessato, inclusi l'accesso e la cancellazione. Questo obbligo si applica indipendentemente dal fatto che la rete sottostante sia gestita in cloud o basata su controller. Il framework di gestione del consenso di Purple soddisfa direttamente questo requisito, fornendo registri di consenso con marca temporale, policy automatizzate di conservazione dei dati e un portale self-service per le richieste degli interessati.

Come Purple si integra con entrambe le architetture

Purple opera come un overlay di intelligence WiFi: non sostituisce il vendor di rete, ma lo arricchisce con un livello di esperienza degli ospiti e analitiche. Purple si connette all'infrastruttura di rete tramite API standard e integrazione RADIUS, indipendentemente dal fatto che gli access point siano gestiti da una piattaforma cloud o da un controller on-premise.

Per il WiFi degli ospiti, Purple fornisce un Captive Portal personalizzabile che gestisce l'autenticazione dell'utente (social login, e-mail, verifica via SMS o la Purple App), l'acquisizione del consenso conforme al GDPR e il passaggio fluido alla rete. Per il WiFi del personale, le funzionalità di rete basate sull'identità di Purple consentono il provisioning e la revoca automatici degli accessi collegati al sistema HR o di gestione delle identità, garantendo che l'accesso alla rete di un dipendente in uscita venga terminato senza intervento manuale.

La piattaforma di analitica di Purple elabora quindi i dati di connessione per generare metriche di affluenza, analisi del tempo di permanenza, rapporti tra visitatori nuovi e di ritorno e insight demografici. Queste analitiche sono disponibili tramite la dashboard di Purple, tramite integrazione API con i tuoi strumenti di business intelligence o tramite connettori CRM diretti a piattaforme come Salesforce, HubSpot e Microsoft Dynamics.

Guida all'implementazione

Fase 1: Definire il profilo dei requisiti

Prima di valutare i vendor, documenta i tuoi requisiti in cinque dimensioni: numero e distribuzione delle sedi (singolo campus rispetto a una rete multi-sede); obblighi di conformità (GDPR, PCI DSS, requisiti di residenza dei dati); capacità del team IT (puoi supportare hardware on-premise in ogni sede?); obiettivi commerciali (hai bisogno di acquisizione dati degli ospiti e analitiche?); e modello di budget (preferenza CapEx rispetto a OpEx).

Fase 2: Selezionare il modello di architettura

Applica la seguente logica decisionale. Se gestisci più di cinque sedi distribuite geograficamente, il WiFi gestito in cloud è quasi certamente la scelta giusta per il tuo livello di accesso: i risparmi operativi derivanti dalla gestione centralizzata e dal provisioning zero-touch supereranno i costi di abbonamento entro dodici-diciotto mesi. Se gestisci un singolo grande campus con rigidi requisiti di sovranità dei dati, valuta i controller on-premise, incluse le opzioni di controller virtuali che riducono il CapEx hardware. Se hai un mix di tipologie di sedi, prendi in considerazione un modello ibrido ponderato con criteri chiaramente definiti per ogni tipo di implementazione.

Fase 3: Valutare i vendor di rete

Emetti una RFP strutturata che copra: specifiche hardware degli AP (supporto Wi-Fi 6E, design dell'antenna, requisiti PoE); capacità della piattaforma di gestione (completezza delle API, monitoraggio, avvisi); certificazioni di sicurezza (SOC 2 Type II per piattaforme cloud, ISO 27001); impegni SLA (garanzie di uptime, tempi di risposta del supporto); ed ecosistema di integrazione (RADIUS, VLAN, API di piattaforme di terze parti).

Fase 4: Implementare Purple come livello di intelligence

Una volta selezionata l'infrastruttura di rete, implementa Purple per aggiungere la gestione dell'esperienza degli ospiti e le analitiche. Il processo di implementazione di Purple prevede: la configurazione di un SSID dedicato agli ospiti sull'infrastruttura di rete; l'indirizzamento della splash page dell'SSID o dell'autenticazione RADIUS alla piattaforma cloud di Purple; la personalizzazione del Captive Portal con l'identità del tuo brand e i flussi di consenso; e la connessione di Purple alle tue piattaforme CRM e di marketing automation tramite il marketplace delle integrazioni.

Fase 5: Convalidare conformità e sicurezza

Prima del go-live, conduci una revisione della conformità che copra: convalida del flusso di consenso GDPR (assicurati che il consenso sia esplicito, granulare e registrato); verifica della segmentazione della rete (conferma che il traffico degli ospiti non possa raggiungere i sistemi interni); valutazione dell'ambito PCI DSS (se i dati delle carte di pagamento vengono elaborati in qualsiasi punto della rete); e penetration testing dell'ambiente WiFi degli ospiti.

Best practice

Segmentare in modo aggressivo. Implementa sempre SSID separati per ospiti, personale e dispositivi IoT, ciascuno mappato su una VLAN dedicata con policy firewall appropriate. Il traffico degli ospiti dovrebbe essere isolato dai sistemi interni per impostazione predefinita, con accesso solo a Internet, a meno che uno specifico requisito aziendale non giustifichi il contrario.

Applicare WPA3 dove l'hardware lo supporta. Gli access point Wi-Fi 6 e Wi-Fi 6E supportano universalmente WPA3. Per le reti degli ospiti, WPA3-Personal con Simultaneous Authentication of Equals (SAE) fornisce una protezione significativamente più forte contro gli attacchi a dizionario offline rispetto a WPA2-PSK. Per le reti del personale, WPA3-Enterprise con 802.1X fornisce autenticazione per utente e forward secrecy.

Pianificare l'OpenRoaming. Lo standard OpenRoaming della Wi-Fi Alliance, basato su Passpoint (IEEE 802.11u), consente agli utenti di connettersi automaticamente a qualsiasi rete abilitata per OpenRoaming utilizzando le credenziali del proprio provider di identità di origine: il proprio operatore di telefonia mobile, il proprio datore di lavoro o una piattaforma come la Purple App. L'implementazione di OpenRoaming elimina l'attrito del Captive Portal per gli utenti di ritorno, mantenendo un accesso autenticato e sicuro. Purple supporta OpenRoaming in modo nativo.

Automatizzare la gestione del firmware. Il firmware senza patch è uno dei vettori di attacco più comuni nelle implementazioni WiFi aziendali. Le piattaforme gestite in cloud gestiscono questo aspetto automaticamente; per le implementazioni on-premise, stabilisci un ciclo di revisione trimestrale del firmware e utilizza la funzionalità di aggiornamento programmato del controller per distribuire gli aggiornamenti durante le finestre di manutenzione.

Monitorare continuamente. Implementa funzionalità WIDS (Wireless Intrusion Detection System), disponibili su tutte le principali piattaforme enterprise, per rilevare access point non autorizzati, attacchi di deautenticazione e attacchi evil twin. Integra gli avvisi WIDS con la tua piattaforma SIEM per un monitoraggio della sicurezza centralizzato.

Risoluzione dei problemi e mitigazione dei rischi

Rischio: interruzione della piattaforma di gestione cloud. Mitigazione: verifica che la piattaforma scelta supporti la sopravvivenza locale degli AP, ovvero la capacità degli access point di continuare a funzionare con l'ultima configurazione nota in caso di perdita della connettività cloud. Tutte le principali piattaforme cloud (Meraki, Aruba Central, Juniper Mist) supportano questa funzionalità. Testala esplicitamente durante la fase di test di accettazione.

Rischio: non conformità al GDPR nell'acquisizione dei dati degli ospiti. Mitigazione: utilizza una piattaforma come Purple che fornisce un framework di gestione del consenso predefinito e revisionato legalmente. Evita di creare Captive Portal personalizzati senza una revisione legale: il linguaggio specifico, la granularità e i requisiti di registrazione per il consenso GDPR sono precisi e spesso implementati in modo errato.

Rischio: guasto hardware del controller nelle implementazioni on-premise. Mitigazione: implementa i controller in coppie ad alta disponibilità con failover automatico. Per i controller virtuali, assicurati che l'infrastruttura hypervisor sottostante disponga di una ridondanza appropriata. Documenta il tuo obiettivo di tempo di ripristino (RTO) e testa le procedure di failover annualmente.

Rischio: larghezza di banda WAN insufficiente per la gestione cloud. Mitigazione: il traffico di gestione cloud è in genere modesto (da uno a due megabit al secondo per cento access point), ma presenta picchi durante gli aggiornamenti del firmware. Programma gli aggiornamenti del firmware durante le ore non di punta e utilizza le policy QoS per dare priorità al traffico di gestione rispetto ai dati degli ospiti se la larghezza di banda WAN è limitata.

Rischio: vendor lock-in. Mitigazione: valuta l'apertura delle API della piattaforma scelta e il suo supporto per standard neutrali rispetto al vendor (RADIUS, 802.1X, tagging VLAN). L'architettura indipendente dall'infrastruttura di Purple ti consente di cambiare il vendor di rete sottostante senza perdere i dati degli ospiti, la cronologia delle analitiche o le integrazioni CRM.

ROI e impatto aziendale

Il business case per il WiFi gestito in cloud con Purple come livello di intelligence è ben consolidato in molteplici settori verticali. McDonald's, un cliente Purple, ha ottenuto una riduzione del 90% delle visite degli ingegneri IT in loco implementando il WiFi per gli ospiti gestito in cloud con gestione centralizzata: un risparmio diretto sui costi operativi che ha finanziato l'investimento nella piattaforma entro il primo anno. L'aeroporto di Bruxelles-Sud Charleroi ha ottenuto un ROI del 10.630% dalle analitiche del WiFi per gli ospiti di Purple, grazie al miglioramento dell'esperienza dei passeggeri, all'aumento del tempo di permanenza nelle aree commerciali e a decisioni commerciali basate sui dati.

Per una tipica catena alberghiera di 40 proprietà, il modello finanziario è approssimativamente il seguente. Implementazione basata su controller: da £ 80.000 a £ 120.000 in CapEx per l'hardware del controller, più da £ 15.000 a £ 25.000 all'anno in contratti di supporto, oltre al tempo di ingegneria per la manutenzione. Implementazione gestita in cloud: £ 0 per l'hardware del controller, più da £ 8.000 a £ 15.000 all'anno in abbonamenti alla piattaforma, oltre a oneri ingegneristici significativamente ridotti. Il modello gestito in cloud raggiunge in genere il punto di pareggio entro 18-24 mesi e offre un costo totale di proprietà inferiore su un orizzonte di cinque anni.

Il valore commerciale del livello di analitica di Purple aggiunge un'ulteriore dimensione al calcolo del ROI. I dati di prima parte degli ospiti acquisiti tramite il Captive Portal di Purple (indirizzi e-mail, frequenza delle visite, dati demografici) hanno un valore commerciale diretto per campagne di marketing, iscrizione a programmi fedeltà e comunicazioni personalizzate. Le organizzazioni che integrano Purple con la propria piattaforma CRM registrano in genere un aumento dal 25 al 40% dei contatti qualificati per il marketing entro i primi dodici mesi dall'implementazione.

Ascolta il podcast Purple Technical Briefing per una panoramica audio di 10 minuti di questa guida, che copre i compromessi architetturali, le raccomandazioni per l'implementazione e una rapida sessione di domande e risposte.