Cisco ISE vs. Purple WiFi: Come si Confrontano e Come Lavorano Insieme

Sei un consulente senior per la sicurezza di rete che tiene un briefing per un cliente in inglese britannico con un tono sicuro, autorevole e colloquiale. Parla chiaramente e a un ritmo misurato, come se ti stessi presentando a un consiglio di amministrazione di direttori IT e architetti di rete. Questo è un briefing tecnico professionale, non una lezione. Parla in inglese britannico con un accento standard di "received pronunciation": Benvenuti alla serie di briefing tecnici di Purple. Oggi risponderemo a una domanda che sorge costantemente nella progettazione delle reti aziendali: Cisco ISE contro Purple WiFi. Qual è il confronto e, cosa ancora più importante, come funzionano insieme? Vi darò la risposta diretta in circa dieci minuti. [medium pause] Iniziamo con il contesto. Se gestite un hotel, un'area commerciale, uno stadio o un edificio del settore pubblico, avete quasi certamente due popolazioni distinte che si connettono alla vostra rete. Avete il personale e i dispositivi aziendali, e avete gli ospiti, i visitatori, i tifosi o gli acquirenti. Queste due popolazioni hanno requisiti di autenticazione completamente diversi, diritti sui dati diversi e obiettivi di business diversi. L'errore che commette la maggior parte delle organizzazioni è cercare di risolvere entrambi i problemi con un unico strumento. È da qui che nasce la confusione tra Cisco ISE e Purple. [medium pause] Sezione uno: cosa fa effettivamente Cisco ISE. Cisco Identity Services Engine, o ISE, è la piattaforma di Network Access Control aziendale di Cisco. Il suo compito è autenticare e autorizzare i dispositivi aziendali e il personale. Lo fa principalmente tramite IEEE 802.1X, che è lo standard di controllo dell'accesso alla rete basato su porta. Quando un laptop aziendale si connette alla rete, ISE verifica il suo certificato tramite EAP-TLS, o le sue credenziali tramite PEAP, lo convalida rispetto ad Active Directory o Microsoft Entra ID, ne valuta lo stato di sicurezza e lo assegna alla VLAN corretta con la policy corretta. Se il dispositivo non supera la valutazione dello stato di sicurezza, ISE può metterlo in quarantena automaticamente utilizzando RADIUS Change of Authorisation, o CoA. ISE gestisce anche l'onboarding BYOD, in cui i dispositivi personali vengono registrati con un certificato per consentire un'autenticazione sicura senza una password condivisa. Inoltre, si integra con il framework pxGrid di Cisco, che consente ad altri strumenti di sicurezza come firewall e piattaforme SIEM di consumare il contesto di identità in tempo reale. I tre livelli di licenza ISE sono Essentials, Advantage e Premier. Essentials copre l'802.1X e l'accesso guest di base. Advantage aggiunge il BYOD, la valutazione dello stato di sicurezza e l'integrazione MDM di terze parti. Premier aggiunge servizi di identità passiva e l'integrazione avanzata delle minacce. [medium pause] ISE è quindi una solida piattaforma di sicurezza di livello enterprise. Ma ecco il punto cruciale: il suo portale ospiti è funzionale, non commerciale. ISE può reindirizzare un dispositivo non autenticato a una pagina web, raccogliere nome utente e password o l'approvazione di uno sponsor e concedere l'accesso a Internet. Ciò che non può fare è acquisire il consenso di marketing conforme al GDPR, gestire splash page personalizzate con social login, inviare i dati dei visitatori a Salesforce o HubSpot, generare mappe di calore delle presenze o segmentare i visitatori in base ai dati demografici per una campagna di marketing. Non è per questo che ISE è stato progettato, e cercare di adattarlo a questo ruolo crea complessità senza offrire risultati commerciali. Sei un consulente senior per la sicurezza di rete che continua un briefing tecnico in inglese britannico con un tono sicuro, autorevole e colloquiale. Parla chiaramente e a un ritmo misurato. Parla in inglese britannico con un accento standard di pronuncia ricevuta: Seconda sezione: cosa fa Purple. Purple è una piattaforma overlay basata sul cloud. Ci integriamo sopra la tua infrastruttura WiFi esistente, che si tratti di Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist o di qualsiasi altro dei principali vendor. Non sostituiamo il tuo hardware. Non sostituiamo ISE. Gestiamo il livello della guest experience. Quando un visitatore si connette al tuo SSID ospite, Purple intercetta la connessione e presenta un Captive Portal personalizzato. Questo portale può offrire il social login tramite Facebook, Google o LinkedIn, un modulo personalizzato per l'acquisizione dei dati, un'opzione click-to-connect o Passpoint per la riconnessione automatica e sicura alle visite successive. Ogni accesso acquisisce dati di prima parte con il consenso esplicito del GDPR. Questi dati fluiscono direttamente nel tuo CRM, nella tua piattaforma di email marketing o nel tuo programma di fidelizzazione. Purple opera in oltre 80.000 sedi attive e ha gestito 440 milioni di accessi solo nel 2024. Siamo certificati ISO 27001, conformi a GDPR e CCPA e garantiamo un uptime del 99,999%. Tra i clienti di rilievo figurano McDonald's, Harrods, Premier Inn, AGS Airports e Manchester Airports Group. [pausa media] Terza sezione: come coesistono in una moderna topologia di rete. L'architettura è semplice una volta compresa la separazione delle responsabilità. In esecuzione hai due o tre SSID sugli stessi access point. L'SSID aziendale utilizza WPA3-Enterprise con 802.1X e ISE è il server RADIUS. Ogni dispositivo del personale si autentica tramite un certificato o credenziali. ISE assegna il dispositivo alla VLAN corretta, applica la policy corretta e registra la sessione. Purple non ha alcun ruolo in questo caso. Questo è interamente il dominio di ISE. L'SSID ospite è aperto o utilizza WPA3-Personal con una chiave pre-condivisa per l'associazione iniziale. Il traffico viene reindirizzato al portale cloud di Purple. Purple gestisce l'autenticazione, l'acquisizione del consenso e la reportistica. L'access point applica un walled garden finché Purple non segnala l'autorizzazione, aprendo quindi l'accesso a Internet. ISE non ha alcun ruolo in questo caso. Questo è il dominio di Purple. Per implementazioni più complesse, puoi aggiungere un terzo SSID per i dispositivi IoT, utilizzando chiavi pre-condivise per l'identità, o iPSK, in cui ogni dispositivo riceve una passphrase univoca mappata su una VLAN specifica. ISE può gestire questo aspetto per l'IoT aziendale, mentre la funzionalità SecurePass di Purple si occupa dell'IoT della struttura, come i terminali POS e la segnaletica digitale. Se desideri un'integrazione più stretta tra le due piattaforme, pxGrid di Cisco consente a Purple di pubblicare il contesto della sessione ospite all'interno dell'ecosistema ISE, in modo che il tuo team delle operazioni di sicurezza possa visualizzare l'attività degli ospiti insieme a quella aziendale in una vista unificata. [medium pause] Sezione quattro: raccomandazioni per l'implementazione e trappole comuni. Permettimi di indicarti i tre errori più comuni che riscontro nelle implementazioni. Primo: utilizzare il portale ospiti integrato di ISE per il WiFi ospiti commerciale. Il portale ospiti di ISE è progettato per collaboratori esterni e personale temporaneo, non per un accesso ospiti orientato al marketing. Non offre alcuna integrazione CRM, gestione del consenso o analisi. Se operi nei settori dell'ospitalità, del retail o degli eventi, hai bisogno di Purple sul SSID ospiti. ISE gestisce la parte aziendale. Purple gestisce gli ospiti. Tienili separati. Secondo: non segmentare correttamente le VLAN. Il traffico ospiti deve essere isolato dal traffico aziendale a livello due. Purple opera in una VLAN separata instradata direttamente a Internet, senza accesso alle risorse interne. ISE applica l'assegnazione delle VLAN per i dispositivi aziendali. Se unisci questi elementi, crei un'esposizione di sicurezza e un problema di conformità. Terzo: trascurare la configurazione del walled garden. Quando Purple funge da captive portal, l'access point deve consentire il traffico DNS e HTTP verso gli endpoint cloud di Purple prima dell'autenticazione. Se il tuo walled garden è troppo restrittivo, il portale non si caricherà. Se è troppo permissivo, gli utenti potranno aggirare l'autenticazione. La documentazione di supporto di Purple fornisce gli intervalli IP e i domini esatti da inserire nella whitelist per ciascun fornitore di hardware. [medium pause] Sezione cinque: domande rapide. Purple sostituisce Cisco ISE? No. Risolvono problemi diversi per utenti diversi su SSID diversi. Posso eseguire Purple su Cisco Meraki senza ISE? Sì. Purple si integra nativamente con Cisco Meraki tramite le API Meraki. ISE non è richiesto per il WiFi ospiti. Posso eseguirli entrambi sugli stessi access point? Sì. L'utilizzo di più SSID sullo stesso hardware è una pratica standard. Purple supporta l'802.1X? La funzionalità SecurePass di Purple supporta WPA3-Enterprise con 802.1X per i dispositivi ospiti che hanno installato l'app Purple, consentendo una riconnessione automatica basata su certificati senza un captive portal. E per quanto riguarda la conformità PCI DSS? Il WiFi ospiti deve essere isolato dai sistemi di carte di pagamento. L'architettura VLAN di Purple soddisfa questo requisito. ISE applica lo stesso isolamento per i dispositivi aziendali. [medium pause] Riepilogo e prossimi passi. Il framework decisionale è semplice. Se il dispositivo appartiene alla tua organizzazione o al tuo personale, ISE gestisce l'autenticazione. Se il dispositivo appartiene a un ospite, visitatore, acquirente o fan, Purple gestisce l'esperienza. Le due piattaforme condividono la stessa infrastruttura fisica ma operano in livelli logici completamente separati. Come passo successivo, mappa la tua attuale architettura SSID. Identifica quali SSID sono aziendali e quali sono per gli ospiti. Conferma che il traffico degli ospiti sia isolato tramite VLAN. Quindi valuta se il tuo attuale portale ospiti offre il consenso al marketing, la business intelligence e l'integrazione CRM di cui i tuoi team commerciali hanno bisogno. In caso contrario, questa è la lacuna che Purple colma. Puoi trovare la guida scritta completa, i diagrammi di architettura e gli esempi pratici su purple.ai. Grazie per il tuo tempo.