Aruba ClearPass vs. Purple WiFi: Confronto delle Funzionalità e Co-implementazione

Parla in inglese britannico con un tono sicuro, autorevole e colloquiale. Sei un consulente di rete senior che tiene un briefing con un cliente. Ritmo misurato, dizione chiara, professionale ma non rigido. Pause naturali occasionali per dare enfasi: Benvenuto a questo briefing tecnico Purple. Sono il tuo ospite e oggi affronteremo una domanda che sorge in quasi tutti i progetti wireless aziendali su cui lavoriamo: quando hai già implementato Aruba ClearPass, come si colloca Purple WiFi e in che modo i due sistemi collaborano? [medium pause] Questa non è una discussione teorica. Se sei un IT manager, un network architect o un security engineer di un gruppo alberghiero, di una catena di negozi o di un gestore di stadi, questa è una decisione che potresti dover prendere in questo trimestre. Quindi, entriamo nel vivo. [medium pause] Introduzione e contesto. [short pause] Innanzitutto, facciamo chiarezza su ciò che ciascuna piattaforma è effettivamente progettata per fare. Aruba ClearPass Policy Manager è una piattaforma di Network Access Control. Il suo compito è autenticare dispositivi e utenti, valutare lo stato di conformità degli endpoint e applicare i criteri di accesso all'intera rete. Gestisce lo standard 802.1X, che è lo standard IEEE per il controllo dell'accesso alla rete basato su porta, utilizzando metodi EAP come EAP-TLS con certificati e PEAP con nome utente e password. Si integra con Microsoft Entra ID, Okta e altri provider di identità. Profila i dispositivi, verifica se sono conformi alla politica di sicurezza e li assegna al ruolo di rete corretto. Per i dispositivi aziendali, ClearPass è eccellente. È stato creato esattamente per questo caso d'uso. [medium pause] Purple WiFi è un altro pianeta. Purple è una piattaforma di intelligence per il guest WiFi basata sul cloud. Il suo compito è autenticare i visitatori tramite un Captive Portal personalizzato, acquisire dati di prima parte con flussi di consenso conformi al GDPR e trasmettere tali dati allo stack di marketing e analytics. Purple opera in oltre 80.000 sedi in tutto il mondo e ha gestito 440 milioni di accessi solo nel 2024. Si integra con oltre 400 connettori, inclusi CRM e piattaforme di marketing automation. Per le reti guest, Purple è lo specialista. [medium pause] Il problema che la maggior parte delle organizzazioni si trova ad affrontare è il tentativo di utilizzare un'unica piattaforma per entrambi i compiti. Chiedono a ClearPass di gestire il proprio portale guest, cosa che può fare ma in modo non ottimale, oppure implementano Purple senza considerare come si integri con l'investimento NAC esistente. La risposta corretta è un'architettura di co-implementazione in cui ciascuna piattaforma fa ciò che sa fare meglio. [medium pause] Approfondimento tecnico. [short pause] Permettetemi di illustrarvi l'architettura. In una co-implementazione, il vostro Aruba Mobility Controller o gli access point Aruba Instant trasmettono molteplici SSID. In genere tre: uno per i dispositivi aziendali, uno per gli ospiti e uno per l'IoT. Per saperne di più su questo schema di progettazione degli SSID, Purple ha pubblicato una guida dettagliata intitolata "Three SSIDs to rule them all", che vi consiglio di leggere insieme a questo briefing. [medium pause] L'SSID aziendale utilizza 802.1X con EAP-TLS. I dispositivi si autenticano utilizzando certificati forniti tramite ClearPass Onboard, che è il modulo integrato di registrazione dei certificati e provisioning dei dispositivi di ClearPass. ClearPass verifica lo stato di sicurezza del dispositivo, verifica il certificato, interroga Active Directory o Microsoft Entra ID e assegna il dispositivo alla VLAN appropriata. In genere la VLAN 10 per i dispositivi aziendali. L'intero flusso rimane all'interno di ClearPass. Purple non è coinvolto. [medium pause] È sull'SSID ospiti che avviene l'integrazione. Quando un visitatore si connette all'SSID ospiti, il controller Aruba intercetta il traffico HTTP e reindirizza il browser al Captive Portal di Purple. Il visitatore si autentica tramite Purple, ad esempio utilizzando il login social tramite Google, un modulo e-mail personalizzato o OpenRoaming, in cui Purple funge da identity provider gratuito con la licenza Connect. Una volta che Purple ha convalidato il visitatore, invia un messaggio RADIUS Access-Accept al controller, che concede l'accesso a internet. [medium pause] Ora, la decisione architetturale chiave è se inserire ClearPass come proxy RADIUS tra il controller e Purple, o se far comunicare direttamente il controller con i server RADIUS di Purple. Per la maggior parte delle implementazioni enterprise, il modello proxy è la scelta corretta. Ecco perché. [medium pause] Con ClearPass como proxy RADIUS, ogni evento di autenticazione sulla rete, sia aziendale che ospiti, passa attraverso ClearPass. Si ottiene un unico audit trail. Il team delle operazioni di sicurezza vede tutto in un unico punto. ClearPass può aggiungere i propri attributi di policy prima di restituire la risposta al controller, consentendo l'assegnazione dinamica della VLAN in base al ruolo. E si mantiene la possibilità di applicare policy aggiuntive sulle sessioni degli ospiti, come limiti di larghezza di banda o restrizioni di accesso basate sull'ora. Parla in inglese britannico con un tono sicuro, autorevole e colloquiale. Sei un consulente di rete senior che istruisce un cliente. Ritmo misurato, dizione chiara, professionale ma non rigido: La configurazione del proxy in ClearPass è semplice. Si crea una RADIUS Routing Policy che corrisponde all'SSID ospiti tramite identificatore NAS o ID della stazione chiamata. Le richieste corrispondenti a tale policy vengono inoltrate ai server RADIUS cloud di Purple. Purple risponde, ClearPass aggiunge l'attributo specifico del fornitore Aruba-User-Role e il controller inserisce l'utente ospite nella VLAN 20 con accesso solo a internet. [medium pause] Per i dispositivi IoT, il terzo SSID utilizza il bypass dell'autenticazione MAC. ClearPass profila il dispositivo utilizzando il suo OUI, i primi sei caratteri del MAC address che identificano il produttore, e lo assegna a ROLE_IOT, che si mappa sulla VLAN 30. Questa VLAN non ha accesso a internet, ma solo connettività locale. Le smart TV, i termostati e le serrature intelligenti sono completamente isolati sia dal traffico aziendale che da quello degli ospiti. [medium pause] Parliamo di conformità, perché è qui che l'architettura dimostra tutto il suo valore. In base allo standard PCI DSS, qualsiasi segmento di rete che tratta i dati dei titolari di carta deve essere isolato dalle reti guest. La segmentazione VLAN in questa architettura soddisfa tale requisito. Ai sensi del GDPR, il captive portal di Purple gestisce la raccolta del consenso tramite opt-in basati su una scelta consapevole, il che significa che i visitatori scelgono attivamente di condividere i propri dati anziché vederli raccolti per impostazione predefinita. Purple è certificata ISO 27001, conforme al GDPR e possiede la certificazione Cyber Essentials. ClearPass fornisce l'audit trail di cui il tuo team di sicurezza ha bisogno per i report di conformità. [medium pause] Raccomandazioni di implementazione e insidie comuni. [short pause] Permettimi di illustrarti i cinque problemi più comuni in questa implementazione e come evitarli. [medium pause] Numero uno: il walled garden. Prima che un visitatore si autentichi, il controller Aruba consente il traffico solo verso un elenco predefinito di destinazioni. Se i domini del portale di Purple, i suoi endpoint CDN e i domini dei provider di social login non sono in quell'elenco, il portale non si caricherà. È necessario includere star dot purple dot ai, star dot cloudfront dot net e i domini OAuth per qualsiasi provider di social login abilitato. Google, Facebook, Apple e Microsoft Entra ID hanno tutti i propri set di domini. Gestisci il walled garden come una configurazione dinamica, poiché i provider di social login cambiano periodicamente i loro domini CDN. [medium pause] Numero due: i timeout RADIUS. Il timeout RADIUS predefinito sulla maggior parte dei controller Aruba è di tre secondi. In un'architettura proxy, la richiesta viaggia dall'access point al controller, a ClearPass, attraverso Internet fino al cloud RADIUS di Purple e ritorno. Su una rete sovraccarica, questo pacchetto di andata e ritorno può superare i tre secondi. Imposta il timeout ad almeno dieci secondi e configura una logica di tentativo con almeno due tentativi. [medium pause] Numero tre: discrepanze nei segreti condivisi. Il segreto condiviso tra il controller Aruba e ClearPass deve corrispondere esattamente. Anche il segreto condiviso tra ClearPass e i server RADIUS di Purple deve corrispondere in modo identico. Una differenza di un singolo carattere causa errori di autenticazione silenziosi, senza alcun messaggio di errore significativo per il visitatore. Verifica sempre questi parametri carattere per carattere. [medium pause] Numero quattro: distinzione tra maiuscole e minuscole nei nomi dei ruoli. L'attributo Aruba-User-Role restituito da ClearPass deve corrispondere esattamente al nome del ruolo definito sul controller Aruba, inclusa la distinzione tra maiuscole e minuscole. Se ClearPass restituisce guest-authenticated ma il controller ha definito Guest-Authenticated, il visitatore tornerà al ruolo di logon predefinito senza accesso a Internet. [medium pause] Numero cinque: RADIUS accounting. Molte installazioni configurano correttamente il proxy di autenticazione ma dimenticano di configurare il proxy anche per l'accounting. Purple utilizza i dati di RADIUS accounting per monitorare la durata delle sessioni, l'utilizzo dei dati e per popolare le sue dashboard analitiche. Se i dati di accounting non arrivano a Purple, le analisi delle presenze e i report sui tempi di permanenza risulteranno incompleti. [medium pause] Domande rapide. [short pause] Posso eseguirlo su Aruba Instant anziché su un Mobility Controller completo? Sì. Aruba Instant supporta server RADIUS esterni e il redirect del Captive Portal. La configurazione differisce leggermente, ma i principi sono identici. [medium pause] Purple supporta la Change of Authorisation? Sì. La CoA consente al controller di aggiornare dinamicamente la sessione di un visitatore senza richiedere una nuova connessione. Questo è utile per l'accesso a tempo limitato o per gli upgrade di livello. [medium pause] Funziona con WPA3? Sì. Sono supportati sia WPA3-SAE per le reti personali che WPA3-Enterprise per 802.1X. Per le reti guest che utilizzano Captive Portal, le scelte tipiche sono WPA3-SAE o un SSID aperto con Opportunistic Wireless Encryption. [medium pause] Posso utilizzare un unico SSID sia per i dipendenti che per gli ospiti? Sì, ma aggiunge complessità. ClearPass gestisce sia l'autenticazione 802.1X che quella MAC sullo stesso SSID, utilizzando regole di servizio per differenziare i tipi di traffico e instradarli di conseguenza. Per la maggior parte delle strutture, avere SSID separati rappresenta la scelta più pulita. [medium pause] Riepilogo e prossimi passi. [short pause] ClearPass e Purple sono complementari, non concorrenti. ClearPass è il tuo motore di policy per i dispositivi aziendali: 802.1X, stato dell'endpoint, gestione dei certificati e audit trail unificato. Purple è la tua piattaforma di guest intelligence: Captive Portal personalizzato, acquisizione dati conforme al GDPR, analisi delle presenze e marketing automation. [medium pause] L'architettura di co-installazione utilizza ClearPass como proxy RADIUS. Tutte le richieste di autenticazione passano attraverso ClearPass. Le richieste degli ospiti vengono instradate al cloud RADIUS di Purple. Le richieste aziendali sono gestite localmente da ClearPass. Il controller Aruba applica le policy risultanti tramite l'assegnazione dinamica della VLAN. [medium pause] I tre elementi di configurazione che devi impostare correttamente sono: il walled garden, i timeout RADIUS e la coerenza dei nomi dei ruoli. Impostandoli correttamente, otterrai un'installazione WiFi guest conforme e di valore commerciale, senza compromettere la sicurezza della tua rete aziendale. [medium pause] Per i prossimi passi: recupera le credenziali RADIUS della tua sede Purple dalla dashboard di Purple, esamina l'elenco di riferimento del walled garden nella guida scritta di accompagnamento e testa l'intero flusso di autenticazione con un dispositivo di test dedicato prima di passare alla produzione. Se la distribuzione avviene su più sedi, la console di gestione multi-sito di Purple ti consente di gestire le configurazioni del Captive Portal, il branding e l'analisi di intere proprietà da un'unica interfaccia. [medium pause] Grazie per l'ascolto. Visita purple dot ai per parlare con un solutions architect del tuo deployment specifico.