I vantaggi in termini di sicurezza di RADIUS as a Service per la forza lavoro ibrida

Questa guida di riferimento tecnico spiega come RADIUS as a Service protegga l'accesso alla rete per la forza lavoro ibrida all'interno di sedi distribuite. Copre l'architettura, i vantaggi in termini di sicurezza e i passaggi di implementazione per sostituire l'infrastruttura RADIUS on-premise con un servizio di autenticazione gestito in cloud. Per i responsabili IT e gli architetti di rete di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico, questa guida fornisce gli elementi necessari per valutare e avviare la migrazione a un servizio RADIUS cloud in questo trimestre.

📖 9 minuti di lettura📝 2,171 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 9 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuti a questo briefing tecnico di Purple. Sono il vostro host e oggi esamineremo un cambiamento cruciale nell'architettura delle reti aziendali: il passaggio dai server RADIUS on-premise al RADIUS as a Service. Se gestite l'IT per un gruppo alberghiero, una catena di negozi, uno stadio o qualsiasi grande spazio pubblico, sapete bene che proteggere l'accesso alla rete per una forza lavoro ibrida non è più un problema marginale. È fondamentale per la sicurezza operativa, la conformità e, francamente, per la vostra tranquillità.

Oggi tratteremo cinque aree. In primo luogo, il contesto: perché la tradizionale infrastruttura RADIUS on-premise fatica a stare al passo con il lavoro ibrido. In secondo luogo, l'architettura tecnica del RADIUS as a Service e come funziona concretamente. In terzo luogo, i vantaggi specifici in termini di sicurezza che ne derivano. In quarto luogo, una guida pratica all'implementazione e gli errori da evitare. E in quinto luogo, una sessione di domande e risposte rapide che copre i quesiti più frequenti posti da IT manager e architetti di rete.

Partiamo dal contesto. Per vent'anni, l'autenticazione 802.1X ha fatto affidamento su server fisici che eseguivano FreeRADIUS su Linux, Microsoft Network Policy Server su Windows o Cisco Identity Services Engine su hardware dedicato. Questi sistemi funzionavano. Funzionano tuttora. Ma richiedono un'attenzione costante. Bisognava applicare patch ai sistemi operativi, gestire le catene di certificati, configurare manualmente l'alta affidabilità e creare ridondanza su più server. In un mondo in cui i lavoratori si spostano costantemente tra l'ufficio, le sedi remote, le camere d'albergo e le sedi dei clienti, quell'infrastruttura statica on-premise diventa un vero e proprio limite.

Il problema è aggravato dal passaggio ai provider di identità in cloud. Microsoft NPS, ad esempio, è strettamente legato ad Active Directory. Non ha un supporto nativo per Microsoft Entra ID, Google Workspace o Okta. Se la vostra organizzazione è migrata a una di queste directory in cloud, vi trovate di fronte a una scelta difficile: mantenere un Active Directory parallelo solo per supportare il server RADIUS, o investire ingenti sforzi di progettazione in integrazioni personalizzate. Nessuna delle due opzioni è vantaggiosa.

RADIUS as a Service cambia completamente l'equazione. Sposta il motore di autenticazione nel cloud. Non si gestisce più l'infrastruttura, ma si gestiscono i criteri. Il provider si occupa dei server, delle patch, dell'alta affidabilità e delle integrazioni. Voi definite chi ha accesso a cosa, e il servizio applica le regole.

Ora entriamo nei dettagli dell'architettura tecnica. Il RADIUS, acronimo di Remote Authentication Dial-In User Service, è il protocollo definito nella RFC 2865. Fornisce l'autenticazione, l'autorizzazione e il tracciamento centralizzati (Authentication, Authorisation, and Accounting), ciò che definiamo AAA, per l'accesso alla rete. Quando un dispositivo si connette alla rete WiFi, l'access point funge da client RADIUS. Inoltra la richiesta di autenticazione al server RADIUS. Il server convalida le credenziali rispetto all'archivio delle identità e restituisce un Access-Accept o un Access-Reject.

In un'implementazione RADIUS in cloud, il server viene ospitato dal provider in diversi data center distribuiti geograficamente. I tuoi access point, che si tratti di Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o Ubiquiti UniFi, puntano agli endpoint RADIUS in cloud tramite tunnel sicuri e crittografati. Dal punto di vista dell'access point, il flusso di autenticazione è identico a quello di un RADIUS on-premise. La differenza è che il server stesso viene gestito, aggiornato e scalato dal provider.

Il miglioramento della sicurezza più importante nelle moderne implementazioni RADIUS in cloud è il passaggio a EAP-TLS, ovvero Extensible Authentication Protocol con Transport Layer Security. EAP-TLS è definito nella specifica RFC 5216 e fornisce l'autenticazione reciproca tramite certificati digitali. Sia il dispositivo client che il server RADIUS presentano reciprocamente i propri certificati. Questo elimina completamente le password dal processo di autenticazione. Un certificato è collegato crittograficamente al dispositivo e non può essere oggetto di phishing, indovinato o rubato come avviene per una password.

La seconda funzionalità di sicurezza principale è l'assegnazione dinamica delle VLAN. Quando il server RADIUS autentica un utente, non si limita a concedere o negare l'accesso. Indica anche all'access point in quale LAN virtuale inserire il dispositivo, in base all'identità e al ruolo dell'utente. Un addetto alla reception di un hotel si autentica e viene inserito nella VLAN della reception con accesso al sistema di gestione della struttura. Un membro del personale delle pulizie viene inserito in una VLAN con restrizioni e solo accesso a Internet. Un dispositivo ospite viene inserito nella VLAN ospiti, completamente isolato da tutte le risorse aziendali. Un dispositivo IoT, come una telecamera di sicurezza, viene inserito in una VLAN IoT dedicata.

Questa segmentazione della rete basata sull'identità è fondamentale per un modello di sicurezza Zero Trust. Non si considera più attendibile un dispositivo solo perché si è connesso a un determinato SSID. L'accesso viene concesso in base all'identità verificata e viene limitato esclusivamente a ciò che tale identità richiede. Questo è il principio del privilegio minimo applicato all'accesso alla rete.

Affrontiamo anche l'aspetto della conformità. Lo standard PCI DSS versione 4.0 richiede controlli di accesso rigorosi per qualsiasi rete che gestisca i dati dei titolari di carta. Il requisito 8 impone un'autenticazione univoca per tutti gli utenti. Il requisito 1 richiede la segmentazione della rete. Il RADIUS in cloud, con EAP-TLS e l'assegnazione dinamica delle VLAN, soddisfa direttamente entrambi i requisiti. Per il GDPR, la registrazione centralizzata dei log di controllo fornita dal RADIUS in cloud offre un registro completo di chi ha effettuato l'accesso alla rete, quando e da quale dispositivo. Questa traccia di controllo è essenziale per dimostrare la conformità e per indagare su eventuali violazioni dei dati.

Ora ti illustrerò due scenari concreti di implementazione che mostrano come funziona nella pratica.

Il primo scenario riguarda un gruppo alberghiero. Si consideri una struttura alberghiera di duecento camere. Attualmente utilizzano una chiave precondivisa comune per il Wi-Fi del personale. Ogni membro dello staff, dal direttore generale al personale delle pulizie stagionale, utilizza la stessa password. Quando un dipendente stagionale se ne va alla fine dell'estate, la password viene cambiata raramente, poiché modificarla significa aggiornare ogni singolo dispositivo della struttura. Questa è una vulnerabilità di sicurezza da manuale.

La soluzione consiste nell'implementare il RADIUS as a Service integrato con Microsoft Entra ID. L'hotel configura i suoi access point Cisco Meraki per utilizzare WPA3-Enterprise con 802.1X. Ciascun membro dello staff si autentica utilizzando le proprie credenziali Entra ID. Il server RADIUS legge il loro ruolo dalla directory e li assegna alla VLAN appropriata in modo dinamico. Il personale delle pulizie viene inserito nella VLAN 10, con accesso esclusivo al sistema di gestione delle attività di pulizia. Il personale della reception viene inserito nella VLAN 20, con accesso al sistema di gestione della struttura. La direzione viene inserita nella VLAN 30, con un accesso più ampio. Quando il contratto di un dipendente stagionale termina, il suo account Entra ID viene disattivato e il suo accesso al Wi-Fi viene revocato istantaneamente su tutti gli access point della struttura. Non è richiesto alcun cambio di password.

Il secondo scenario riguarda una catena di vendita al dettaglio nazionale. Si consideri una catena con quattrocento negozi. Attualmente gestiscono quattrocento istanze FreeRADIUS separate su server locali nei negozi. Ogni server richiede patch, monitoraggio e manutenzione individuali. Quando viene rilevata una vulnerabilità critica, il team di sicurezza deve applicare le patch a quattrocento server, spesso nell'arco di diverse settimane, lasciando l'intera infrastruttura esposta durante tale periodo.

La soluzione consiste nel migrare a una singola istanza RADIUS as a Service. Tutti i quattrocento negozi indirizzano i propri access point HPE Aruba agli stessi endpoint RADIUS in cloud. I terminali dei punti vendita (POS) vengono autenticati tramite EAP-TLS con certificati macchina distribuiti tramite la piattaforma MDM. Il server RADIUS li inserisce in una VLAN conforme agli standard PCI, isolata da tutto il resto del traffico di rete. Il personale del negozio utilizza un SSID separato autenticato tramite Okta, che lo inserisce in una VLAN generale per lo staff. Il team di sicurezza gestisce ora un unico set di policy da un'unica dashboard. Quando viene rilevata una vulnerabilità, il provider applica le patch all'infrastruttura. Il team di sicurezza della catena di negozi si concentra sulle policy, non sull'infrastruttura.

Esaminiamo ora le raccomandazioni per l'implementazione e gli errori da evitare.

Il primo passo consiste nel connettere il servizio cloud RADIUS al proprio provider di identità. Per Microsoft Entra ID o Google Workspace, ciò comporta solitamente l'autorizzazione di un'applicazione aziendale. Mappate i gruppi della vostra directory su policy di rete specifiche. Riflettete attentamente sulla tassonomia dei ruoli prima di iniziare. Procedere correttamente all'inizio evita un notevole lavoro di rifacimento in seguito.

Il secondo passo consiste nel configurare la distribuzione dei certificati per i dispositivi aziendali. Configura la tua piattaforma MDM per inviare i certificati client ai dispositivi gestiti. Questo abilita l'autenticazione EAP-TLS ed elimina completamente le password dall'equazione. Per i dispositivi non gestiti, puoi utilizzare PEAP con credenziali utente come soluzione di riserva, ma l'obiettivo per tutti i dispositivi di proprietà aziendale deve essere l'EAP-TLS.

Il terzo passo consiste nel configurare l'hardware di rete. Aggiungi gli indirizzi IP e i segreti condivisi del RADIUS cloud ai tuoi controller wireless o access point. Configura sempre sia l'endpoint primario sia quello secondario per sfruttare la ridondanza integrata del provider.

Il quarto passo consiste nel definire le policy VLAN. Quando il server RADIUS autentica un utente, restituisce l'ID VLAN corretto all'access point. Pianifica questa mappatura prima della distribuzione. Definisci in quale VLAN deve confluire ciascun ruolo utente e testala a fondo prima del rilascio in produzione.

Passiamo ora alle insidie. L'errore più comune è un firewall configurato in modo errato che blocca le porte UDP 1812 e 1813, che sono le porte di autenticazione e accounting RADIUS. Verifica sempre la connettività tra i tuoi access point e gli endpoint RADIUS cloud prima della messa in servizio. La seconda insidia è una catena di attendibilità dei certificati interrotta. Se i tuoi dispositivi client non considerano attendibile la Root Certificate Authority che ha emesso il certificato del server RADIUS, rifiuteranno silenziosamente la connessione. Questo può sembrare un disservizio di rete, mentre in realtà si tratta di un problema di configurazione PKI.

Passiamo alle domande rapide.

Domanda uno: cosa succede se la nostra connessione internet si interrompe? Se la sede perde la connessione internet, non può raggiungere il RADIUS cloud. Tuttavia, se la sede è priva di internet, gli utenti non possono comunque accedere alle applicazioni cloud. Per le risorse locali critiche, alcuni access point offrono modalità di sopravvivenza locale. Ma la dipendenza principale rimane il collegamento WAN, e questo vale per quasi tutti i servizi SaaS utilizzati dalla tua organizzazione.

Domanda due: il RADIUS cloud è conforme a GDPR e PCI DSS? Sì. L'autenticazione centralizzata con trasporto crittografato supporta una solida postura di conformità. I registri di audit soddisfano i requisiti PCI DSS e i rigidi controlli di accesso supportano i principi del GDPR di minimizzazione dei dati e limitazione dell'accesso.

Domanda tre: funziona con il nostro hardware esistente? Sì. Il protocollo RADIUS è uno standard definito nella RFC 2865. Se il tuo hardware supporta lo standard 802.1X, come tutti i dispositivi enterprise di Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet, funzionerà con qualsiasi RADIUS as a Service conforme agli standard.

Per riassumere i punti chiave. In primo luogo, RADIUS as a Service sostituisce i server on-premise con una piattaforma cloud gestita, riducendo le spese in conto capitale e i costi di manutenzione. In secondo luogo, il cloud RADIUS si integra nativamente con Microsoft Entra ID, Okta e Google Workspace, eliminando la necessità di middleware complessi. In terzo luogo, consente l'assegnazione dinamica delle VLAN, garantendo che gli utenti e i dispositivi vengano indirizzati nel segmento di rete corretto in base alla loro identità verificata. In quarto luogo, la transizione a EAP-TLS elimina il rischio di furto di password e attacchi di phishing sulla rete. In quinto luogo, la gestione centralizzata nel cloud garantisce policy di sicurezza coerenti in centinaia di sedi distribuite. In sesto luogo, i provider gestiscono le patch di sicurezza e l'alta affidabilità. E in settimo luogo, il cloud RADIUS supporta la conformità con PCI DSS e GDPR applicando controlli di accesso rigorosi e basati sull'identità con registrazione completa dei log di controllo.

Il passo successivo consiste nel valutare la vostra attuale infrastruttura RADIUS. Calcolate il costo totale di proprietà effettivo, inclusi licenze, cicli di aggiornamento hardware e ore di ingegneria dedicate alla manutenzione. Successivamente, avviate una proof of concept con un provider di cloud RADIUS. Probabilmente scoprirete che l'implementazione richiede ore, non settimane. Grazie per l'attenzione. Proteggete le vostre reti, segmentate il vostro traffico e smettete di gestire server che non avete bisogno di possedere.

Punti chiave

✓RADIUS as a Service sostituisce i server on-premise con una piattaforma cloud gestita, eliminando le spese in conto capitale (CapEx) per l'hardware e i costi di manutenzione.
✓Cloud RADIUS si integra nativamente con Microsoft Entra ID, Okta e Google Workspace, eliminando la necessità di middleware complessi o distribuzioni parallele di Active Directory.
✓L'assegnazione dinamica della VLAN garantisce che gli utenti e i dispositivi vengano inseriti automaticamente nel segmento di rete corretto in base alla loro identità verificata, e non all'SSID a cui si sono connessi.
✓La transizione a EAP-TLS (autenticazione basata su certificati) elimina il rischio di furto di password e attacchi di phishing sulla rete.
✓La gestione centralizzata nel cloud applica politiche di sicurezza coerenti in centinaia di sedi distribuite da un'unica dashboard.
✓I provider gestiscono l'applicazione delle patch di sicurezza e l'alta affidabilità multi-regione, garantendo che i servizi di autenticazione rimangano disponibili anche durante gli aggiornamenti dell'infrastruttura.
✓Cloud RADIUS supporta la conformità con PCI DSS v4.0 e GDPR imponendo controlli di accesso rigorosi e basati sull'identità, con un registro di controllo centralizzato completo.

Sintesi per la direzione

Il passaggio al lavoro ibrido ha esposto una debolezza fondamentale nella sicurezza di rete tradizionale: i server RADIUS on-premise sono stati progettati per un mondo in cui il personale sedeva in un unico edificio e si connetteva a un'unica rete. Quel mondo non esiste più. Oggi, il personale si autentica da camere d'albergo, punti vendita, uffici remoti e sedi di eventi. I provider di identità risiedono nel cloud. I punti di accesso coprono centinaia di sedi. Eppure, molte organizzazioni si affidano ancora a server RADIUS fisici che richiedono patch manuali, non possono integrarsi nativamente con Microsoft Entra ID o Google Workspace e smettono di funzionare senza preavviso in caso di guasto hardware.

RADIUS as a Service sostituisce questa infrastruttura con un motore di autenticazione cloud-native. È sufficiente puntare i punti di accesso verso endpoint cloud. Il provider gestisce i server, le patch e l'alta affidabilità. Voi gestite le policy. Per i team IT dei gruppi del settore Hospitality , delle catene Retail e dei locali pubblici, questo passaggio elimina i costi hardware, impone la segmentazione della rete basata sull'identità e fornisce il registro di audit richiesto da PCI DSS e GDPR.

Approfondimento tecnico

Perché il RADIUS on-premise è in difficoltà

Il protocollo RADIUS, definito nella specifica RFC 2865, fornisce servizi centralizzati di autenticazione, autorizzazione e tracciamento (AAA) per l'accesso alla rete. Ogni azienda che esegue il WiFi WPA2-Enterprise o WPA3-Enterprise dipende da esso. Il protocollo in sé è solido. Il problema è il modello infrastrutturale che si è sviluppato intorno ad esso.

FreeRADIUS su Linux richiede competenze significative per essere distribuito, protetto e mantenuto. Microsoft Network Policy Server (NPS) è strettamente legato ad Active Directory e non offre un supporto nativo per Microsoft Entra ID, Okta o Google Workspace. Cisco Identity Services Engine (ISE) offre funzionalità di policy di livello enterprise, ma richiede hardware dedicato, licenze complesse e un team specializzato per la gestione. Tutti e tre richiedono la configurazione e la manutenzione manuale dell'alta affidabilità, in genere eseguendo due server con replica del database e un bilanciatore di carico a monte.

Per un'organizzazione con un'unica sede e un Active Directory stabile, questo modello è gestibile. Per un gruppo alberghiero con 50 proprietà, una catena retail con 400 negozi o un'università con un campus distribuito, diventa impraticabile. Si finisce per centralizzare i server RADIUS accettando la latenza di autenticazione dalle sedi remote, oppure per distribuire server in ogni sede gestendoli singolarmente. Nessuna delle due opzioni è scalabile.

L'architettura del RADIUS as a Service

RADIUS as a Service è un modello di erogazione basato su cloud per il protocollo RADIUS. Il protocollo stesso rimane invariato, seguendo la specifica RFC 2865 e le sue estensioni. Ciò che cambia è chi gestisce l'infrastruttura. Quando un dispositivo si connette alla tua rete WiFi, l'access point (il client RADIUS) inoltra la richiesta di autenticazione agli endpoint RADIUS in cloud tramite un tunnel sicuro e crittografato. Il servizio cloud convalida le credenziali con il tuo provider di identità e restituisce un messaggio di Access-Accept o Access-Reject, insieme ad attributi di policy come l'assegnazione dinamica della VLAN. Dal punto di vista dell'access point, il flusso di autenticazione è identico a quello di un server RADIUS on-premise.

Il cloud provider gestisce i server RADIUS in diversi data center distribuiti geograficamente. Il failover è automatico. Se un endpoint non è disponibile, il traffico viene instradato verso quello successivo integro senza alcun intervento da parte del tuo team. Per le organizzazioni con sedi in più aree geografiche, l'autenticazione avviene presso l'endpoint cloud più vicino, mantenendo la latenza bassa indipendentemente dalla posizione geografica.

Metodi IEEE 802.1X ed EAP

Lo standard IEEE 802.1X è lo standard per il controllo dell'accesso alla rete basato su porta (NAC). Impone a un dispositivo di autenticarsi prima di ricevere un indirizzo IP e di poter trasmettere traffico. RADIUS è il server di autenticazione in una distribuzione 802.1X.

L'Extensible Authentication Protocol (EAP) definisce la modalità di scambio delle credenziali. Il servizio cloud RADIUS supporta l'intera gamma di metodi EAP:

Metodo EAP	Tipo di Autenticazione	Livello di Sicurezza	Uso Consigliato
EAP-TLS	Basata su certificati reciproci	Massimo	Dispositivi aziendali con certificati gestiti da MDM
PEAP-MSCHAPv2	Nome utente e password	Moderato	Dispositivi legacy o BYOD senza MDM
EAP-TTLS	Credenziali in tunnel	Moderato	Ambienti misti
MAC Authentication Bypass	Indirizzo MAC del dispositivo	Basso	Dispositivi IoT che non supportano lo standard 802.1X

Il metodo EAP-TLS, definito nello standard RFC 5216, rappresenta il gold standard. Sia il dispositivo client sia il server RADIUS si presentano reciprocamente dei certificati digitali. Questa autenticazione reciproca elimina completamente le password dal processo di accesso alla rete. Un certificato è legato crittograficamente al dispositivo e non può essere oggetto di phishing, indovinato o rubato come una password. Per le organizzazioni che hanno subito violazioni basate sulle credenziali, questa rappresenta la misura di mitigazione tecnica più diretta disponibile.

Assegnazione dinamica della VLAN

Oltre all'autenticazione, il server RADIUS applica l'autorizzazione. Quando accetta una connessione, restituisce gli attributi di policy all'access point, incluso l'ID VLAN da assegnare al dispositivo. Questa assegnazione dinamica della VLAN è il meccanismo che abilita le reti basate sull'identità.L'addetto alla reception di un hotel si autentica e viene inserito nella VLAN della reception con accesso al sistema di gestione della struttura. Un membro del personale addetto alle pulizie viene inserito in una VLAN con restrizioni e solo accesso a internet. Il dispositivo di un ospite viene inserito nella VLAN Guest WiFi, completamente isolato da tutte le risorse aziendali. Un dispositivo IoT, come una telecamera di sicurezza, viene inserito in una VLAN IoT dedicata. Tutto questo avviene automaticamente, in base all'identità verificata dal server RADIUS, senza alcuna configurazione VLAN manuale per dispositivo.

Questo è il principio del privilegio minimo applicato all'accesso alla rete. Non si concede fiducia a un dispositivo solo perché si è connesso a un particolare SSID. Si concede l'accesso in base a un'identità verificata, limitando tale accesso unicamente a ciò che quell'identità richiede. Per un'analisi più approfondita di come questo si inserisca in una strategia più ampia di controllo degli accessi alla rete, consulta la nostra guida sui sistemi di controllo degli accessi alla rete .

Integrazione nativa con l'identità cloud

Il vantaggio operativo più significativo di cloud RADIUS è la sua integrazione nativa con i moderni provider di identità. Cloud RADIUS si connette direttamente a Microsoft Entra ID, Okta e Google Workspace tramite protocolli standard inclusi OIDC, SAML e LDAP. Quando si abilita un nuovo dipendente nel provider di identità, questo può autenticarsi immediatamente alla rete WiFi. Quando si disattiva un dipendente, si disabilita il suo account nella directory e il suo accesso WiFi viene revocato istantaneamente, su ogni access point in ogni sede.

Questa sincronizzazione in tempo reale elimina una delle falle di sicurezza più persistenti nel WiFi aziendale: l'ex dipendente che possiede ancora la PSK condivisa o il cui account RADIUS non è stato eliminato manualmente al momento delle sue dimissioni. Con cloud RADIUS e un provider di identità cloud, la disattivazione è un'unica azione con effetto immediato su tutta la rete.

Guida all'implementazione

Passaggio 1: Connetti il tuo provider di identità

Connetti il servizio cloud RADIUS al tuo provider di identità. Per Microsoft Entra ID o Google Workspace, questo comporta in genere l'autorizzazione di un'applicazione aziendale tramite OAuth o la configurazione di un connettore LDAP. Mappa i gruppi della directory su criteri di rete specifici. Definisci la tassonomia dei ruoli prima di iniziare: quali gruppi si mappano su quali VLAN e quali diritti di accesso comporta ciascuna VLAN. Impostare correttamente questo aspetto all'inizio evita notevoli rielaborazioni successive.

Passaggio 2: Distribuisci i certificati per i dispositivi aziendali

Per i dispositivi di proprietà dell'azienda, configura la piattaforma di Mobile Device Management (MDM), come Microsoft Intune o Jamf, per inviare i certificati client ai dispositivi. Questo abilita l'autenticazione EAP-TLS. Assicurati che l'Autorità di Certificazione (CA) radice che ha emesso il certificato del server RADIUS sia considerata attendibile da tutti i dispositivi client. Una catena di attendibilità interrotta è la causa più comune di errori di autenticazione invisibili.

Passaggio 3: Configura l'hardware di rete

Aggiungi gli indirizzi IP cloud RADIUS e i shared secret ai tuoi controller wireless o access point. Configura sempre sia l'endpoint primario che quello secondario per utilizzare la ridondanza integrata del provider. Assicurati che le porte UDP 1812 (autenticazione) e 1813 (accounting) siano aperte in uscita dagli access point verso gli endpoint cloud RADIUS. Verifica questo passaggio prima del go-live. Le regole del firewall configurate in modo errato sono la seconda causa più comune di fallimento della distribuzione.

Il cloud RADIUS funziona con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. I passaggi di configurazione variano a seconda del fornitore, ma il protocollo RADIUS è standardizzato, quindi i parametri principali (IP del server, shared secret, porta di autenticazione) sono coerenti.

Passaggio 4: Definisci i criteri VLAN

Configura l'assegnazione dinamica della VLAN nel motore dei criteri RADIUS. Associa ogni ruolo utente o tipo di dispositivo a un ID VLAN specifico. Testa ciascun criterio prima del roll-out in produzione. Una semplice matrice di test (un dispositivo per ruolo, una VLAN per ruolo, verifica del posizionamento) rileva la maggior parte degli errori di configurazione prima che impattino sugli utenti.

Best practice

Imponi EAP-TLS per tutti i dispositivi aziendali. Abbandona PEAP-MSCHAPv2 non appena la distribuzione del tuo MDM lo consente. PEAP si basa su password, che possono essere compromesse. EAP-TLS si basa su certificati, che invece sono sicuri.

Segmenta tutto. Non inserire mai personale, ospiti e dispositivi IoT nella stessa sottorete. Utilizza RADIUS per applicare limiti rigorosi alle VLAN. Questo aspetto è fondamentale per gli ambienti Retail che gestiscono i dati delle carte di pagamento ai sensi del PCI DSS e per gli ambienti Healthcare che proteggono i dati dei pazienti.

Allineati a WPA3-Enterprise. WPA3-Enterprise, l'attuale standard di sicurezza Wi-Fi, richiede l'autenticazione 802.1X. Assicurati che i tuoi access point supportino WPA3-Enterprise e configuralo come standard di sicurezza minimo per le reti del personale.

Controlla regolarmente i log RADIUS. Il cloud RADIUS fornisce log di controllo centralizzati. Esamina i fallimenti di autenticazione settimanalmente. Un picco di errori da un dispositivo o da una posizione specifica è un indicatore precoce di una configurazione errata o di un potenziale attacco.

Testa il failover. Almeno una volta al trimestre, simula un guasto all'endpoint RADIUS primario e verifica che l'autenticazione continui tramite l'endpoint secondario. Documenta il risultato. Si tratta di un test semplice che la maggior parte dei team non esegue mai finché non ne ha effettivo bisogno.

Per le sedi che distribuiscono il Wi-Fi in ambienti complessi, incluse imbarcazioni o località remote, consulta la nostra guida su come configurare un Captive Portal su Starlink per considerazioni sulla dipendenza dalla rete WAN.

Risoluzione dei problemi e mitigazione dei rischi

Timeout di autenticazione

Se i dispositivi non riescono a autenticarsi, verifica prima la connettività tra i tuoi access point e gli endpoint RADIUS in cloud. Verifica che le porte UDP 1812 e 1813 siano aperte in uscita. L'ispezione approfondita dei pacchetti (DPI) sui firewall moderni può ritardare o scartare i pacchetti RADIUS. Se riscontri dei timeout, controlla le regole della policy del tuo firewall che potrebbero ispezionare o limitare la velocità del traffico UDP verso gli endpoint RADIUS.

Errori della catena di attendibilità del certificato

Se utilizzi EAP-TLS, assicurati che i dispositivi client considerino attendibile la Root CA che ha emesso il certificato del server RADIUS. Se la catena di attendibilità è interrotta, il dispositivo rifiuterà silenziosamente la connessione per prevenire un attacco man-in-the-middle. Questo si presenta come un errore di connessione senza alcun messaggio di errore evidente. Controlla i log del server RADIUS per individuare eventuali errori di handshake EAP-TLS. Distribuisci il certificato della Root CA a tutti i dispositivi gestiti tramite MDM.

Dipendenza dalla rete WAN

Il RADIUS in cloud richiede una connessione internet attiva. Se il collegamento WAN si interrompe, le richieste di autenticazione non possono raggiungere il server. Per le risorse locali critiche per il business, valuta access point che supportino la sopravvivenza locale o il caching dell'autenticazione. Per la maggior parte delle implementazioni, la dipendenza dalla rete WAN è accettabile poiché una sede senza internet non può comunque accedere alle applicazioni cloud.

Mancata corrispondenza dei segreti condivisi (shared secret)

Ogni access point o controller wireless deve essere configurato come client RADIUS con il segreto condiviso corretto. Una mancata corrispondenza causa lo scarto silenzioso di tutte le richieste di autenticazione provenienti da quel dispositivo. Se un access point specifico riscontra problemi mentre gli altri funzionano correttamente, verifica la configurazione del segreto condiviso su quel dispositivo specifico.

ROI e impatto aziendale

La tesi aziendale a favore di RADIUS as a Service si basa su tre pilastri: riduzione delle spese in conto capitale (CapEx), riduzione dei costi operativi (OpEx) e miglioramento della postura di sicurezza.

Per quanto riguarda le spese in conto capitale, si elimina il costo di acquisto, licenza e aggiornamento dei server fisici. Un'installazione RADIUS on-premise minima richiede due server per l'alta affidabilità, licenze del sistema operativo e l'aggiornamento dell'hardware ogni tre-cinque anni. Per un gruppo alberghiero di 50 strutture, ciò rappresenta un investimento hardware significativo su tutto il patrimonio immobiliare.

Sui costi operativi, il tuo team di ingegneri non dovrà più dedicare tempo a patchare Windows Server, risolvere problemi di configurazione di FreeRADIUS o gestire i rinnovi dei certificati sull'infrastruttura fisica. Quel tempo viene reindirizzato ad attività sulle policy di sicurezza che migliorano direttamente la tua postura.

Sulla postura di sicurezza, il passaggio a EAP-TLS e all'assegnazione dinamica delle VLAN riduce concretamente la superficie di attacco. Il furto di credenziali è la causa principale delle violazioni di rete. Eliminare le password dal processo di autenticazione di rete risponde direttamente a questo rischio. La registrazione centralizzata degli audit log supporta la conformità con PCI DSS v4.0 e GDPR, riducendo i costi e la complessità degli audit di conformità.

Per le organizzazioni che gestiscono hub di Transport o spazi ad alta affluenza, la capacità di applicare criteri di sicurezza coerenti in tutte le sedi da un'unica dashboard rappresenta un miglioramento operativo tangibile. Purple opera in oltre 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024 (dati interni Purple, 2024). L'infrastruttura che supporta tale scala è cloud-native per progettazione.

Per una panoramica più ampia su come la WiFi analytics e la network intelligence si collegano ai risultati aziendali, consulta la nostra WiFi Analytics platform .

References

[1] IEEE Standard for Local and metropolitan area networks - Port-Based Network Access Control. IEEE Std 802.1X-2020. [2] IETF. Remote Authentication Dial In User Service (RADIUS). RFC 2865. 1997. [3] IETF. The EAP-TLS Authentication Protocol. RFC 5216. 2008. [4] IronWiFi. Benefits of a Cloud RADIUS Server: Why Enterprises Are Moving Authentication Online. February 2026. [5] SecureW2. Cloud vs. On-Site RADIUS: Which is Better? May 2026. [6] Portnox. RADIUS as a Service. 2026. [7] PCI Security Standards Council. PCI DSS v4.0. March 2022. [8] Purple. Internal platform data: 440 million logins, 80,000+ venues. 2024.

Definizioni chiave

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete definito nella RFC 2865 che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (AAA - Authentication, Authorisation, and Accounting) per gli utenti che si connettono a un servizio di rete.

I team IT utilizzano RADIUS come motore decisionale centrale per verificare se un dispositivo o un utente è autorizzato ad accedere alla rete WiFi aziendale. Si colloca tra l'access point e l'identity provider.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta (Network Access Control). Fornisce un meccanismo di autenticazione ai dispositivi che desiderano collegarsi a una LAN o WLAN, obbligandoli ad autenticarsi prima di ricevere un indirizzo IP.

Questo è lo standard alla base della sicurezza WiFi aziendale. Senza 802.1X, qualsiasi dispositivo che si connette all'SSID ottiene l'accesso alla rete. Con 802.1X, ogni dispositivo deve prima dimostrare la propria identità.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un metodo di autenticazione definito nella RFC 5216 che richiede sia al dispositivo client sia al server RADIUS di presentare certificati digitali, fornendo un'autenticazione reciproca senza l'uso di password.

Considerato il gold standard per la sicurezza WiFi aziendale. I certificati vengono distribuiti sui dispositivi aziendali tramite MDM. EAP-TLS elimina il rischio di furto di password e attacchi di phishing sulla rete.

PEAP

Protected Extensible Authentication Protocol. Un metodo EAP che incapsula uno scambio di nome utente e password all'interno di una sessione TLS. Meno sicuro di EAP-TLS poiché si basa sulle password.

Il protocollo PEAP-MSCHAPv2 è ampiamente distribuito negli ambienti legacy. I team IT dovrebbero pianificare una migrazione a EAP-TLS per i dispositivi aziendali, utilizzando PEAP solo come fallback per i dispositivi non gestiti o BYOD.

Assegnazione dinamica della VLAN

Un processo in cui il server RADIUS indica all'access point in quale Virtual LAN inserire un dispositivo, in base all'identità verificata e al ruolo dell'utente, anziché all'SSID a cui si è connesso.

Essenziale per la segmentazione della rete in ambienti multi-ruolo. Un singolo SSID "Staff" può separare in modo sicuro il traffico dei servizi, della reception e del management in VLAN diverse con diritti di accesso differenti.

AAA

Authentication, Authorisation, and Accounting (Autenticazione, Autorizzazione e Tracciamento). Le tre funzioni eseguite da un server RADIUS: verifica dell'identità (autenticazione), determinazione dei permessi di accesso consentiti (autorizzazione) e registrazione dei dati di sessione per scopi di audit (tracciamento).

I team IT e i revisori utilizzano l'AAA come framework per valutare il controllo dell'accesso alla rete. Cloud RADIUS fornisce tutte e tre le funzioni da un servizio gestito.

WPA3-Enterprise

L'attuale standard di sicurezza WiFi per le reti aziendali, che richiede l'autenticazione 802.1X tramite un server RADIUS. Offre una crittografia più solida rispetto al WPA2-Enterprise, inclusa una modalità di sicurezza a 192 bit per ambienti ad alta sicurezza.

I manager IT dovrebbero configurare il WPA3-Enterprise come standard di sicurezza minimo per le reti del personale. Le reti guest possono utilizzare il WPA2 o l'autenticazione aperta con un captive portal.

Controllo dell'accesso alla rete (NAC)

Un approccio alla sicurezza che applica policy sui dispositivi che tentano di accedere alle risorse di rete, combinando la valutazione della sicurezza degli endpoint, l'autenticazione dell'identità e l'applicazione delle regole di rete.

Il RADIUS è un componente fondamentale del NAC. Cloud RADIUS estende il NAC ad ambienti distribuiti e multi-sito senza richiedere un'infrastruttura on-premise in ciascuna sede.

Captive portal

Una pagina web con cui l'utente di una rete ad accesso pubblico deve interagire prima che gli venga concesso l'accesso a Internet. Utilizzata in genere per il WiFi Guest per raccogliere il consenso o mostrare le condizioni d'uso.

I captive portal gestiscono l'accesso guest non autenticato, mentre l'802.1X gestisce l'accesso del personale autenticato. I due meccanismi operano su SSID e VLAN separati.

Esempi pratici

Un hotel di 200 camere deve proteggere la propria rete del personale tra servizio pulizie, reception e direzione, mantenendo il WiFi ospiti completamente separato. Attualmente utilizzano una chiave PSK condivisa per la rete del personale, che non viene modificata da due anni.

Implementare RADIUS as a Service integrato con Microsoft Entra ID. Configurare gli access point Cisco Meraki per utilizzare WPA3-Enterprise con 802.1X. Il personale di pulizia si autentica utilizzando le proprie credenziali Entra ID; il server RADIUS legge il loro gruppo di directory e li assegna dinamicamente alla VLAN 10 (solo accesso al sistema di gestione delle pulizie). Il personale della reception viene assegnato alla VLAN 20 (accesso al sistema di gestione della struttura). La direzione viene assegnata alla VLAN 30 (accesso più ampio). Il WiFi ospiti rimane su un SSID separato con un Captive Portal, isolato sulla VLAN 40. Quando un membro del personale stagionale se ne va, il suo account Entra ID viene disattivato, revocando istantaneamente l'accesso al WiFi su tutti gli access point della struttura.

Commento dell'esaminatore: Questo approccio elimina la vulnerabilità della chiave PSK condivisa e il rischio che gli ex dipendenti mantengano l'accesso. L'assegnazione dinamica della VLAN garantisce che un dispositivo di pulizia compromesso non possa raggiungere il sistema di gestione della struttura. L'utilizzo di un sistema RADIUS cloud elimina la necessità di un server fisico nel limitato armadio IT dell'hotel. L'integrazione con Entra ID fa sì che la disattivazione dell'utente sia un'azione singola con effetto immediato su tutta la rete.

Una catena di vendita al dettaglio nazionale con 400 negozi deve garantire la conformità PCI DSS per i propri terminali POS. Attualmente gestiscono 400 istanze FreeRADIUS separate sui server dei negozi locali, ognuna delle quali richiede patch individuali.

Migrare a una singola istanza RADIUS as a Service. Configurare gli access point HPE Aruba in tutti i 400 negozi per autenticare i dispositivi POS utilizzando EAP-TLS con certificati della macchina distribuiti tramite Microsoft Intune. Il server RADIUS cloud autentica i certificati e inserisce i dispositivi POS in una VLAN conforme a PCI (VLAN 30), isolata da tutto il resto del traffico di rete. Il personale del negozio utilizza un SSID separato autenticato tramite Okta, che lo inserisce in una VLAN per il personale generico (VLAN 20). Gli acquirenti sulla rete ospiti sono isolati sulla VLAN 40. Il team di sicurezza gestisce tutti i criteri da un'unica dashboard.

Commento dell'esaminatore: La centralizzazione dell'infrastruttura RADIUS elimina l'onere di manutenzione derivante dall'applicazione di patch a 400 server locali. L'uso di EAP-TLS per i dispositivi POS rimuove completamente le password, impedendo il furto di credenziali. Questa architettura soddisfa il requisito 8 di PCI DSS v4.0 (autenticazione univoca) e il requisito 1 (segmentazione della rete). Quando viene rilevata una vulnerabilità, è il provider ad applicare la patch all'infrastruttura cloud, anziché il team di sicurezza della catena di negozi che dovrebbe aggiornare 400 server nell'arco di diverse settimane.

Domande di esercitazione

Q1. Il campus universitario della tua organizzazione utilizza attualmente Microsoft NPS su Windows Server per autenticare gli studenti tramite PEAP-MSCHAPv2. L'istituto sta migrando a Google Workspace e desidera decommissionare tutti i server on-premise entro 12 mesi. Qual è la modifica architetturale più sicura ed efficiente dal punto di vista operativo per l'infrastruttura di autenticazione WiFi?

Suggerimento: Microsoft NPS non supporta nativamente Google Workspace. Considera cosa sostituisce sia il server che il metodo di autenticazione.

Visualizza risposta modello

Migrare a RADIUS as a Service con integrazione nativa a Google Workspace. Il servizio RADIUS in cloud si connette direttamente a Google Workspace tramite LDAP o OIDC, eliminando la necessità di Active Directory o NPS. Contemporaneamente, trasferire i dispositivi gestiti di studenti e personale da PEAP-MSCHAPv2 a EAP-TLS distribuendo certificati client tramite la piattaforma MDM dell'istituto. Questo rimuove le password dal processo di autenticazione e garantisce che solo i dispositivi gestiti e attendibili possano accedere alle reti del personale e degli studenti. La migrazione può essere graduale: distribuire il cloud RADIUS a fianco di NPS, migrare un SSID alla volta, quindi decommissionare NPS una volta che tutti i dispositivi utilizzano il nuovo servizio.

Q2. Uno stadio con una capacità di 80.000 persone richiede un Wi-Fi sicuro per il personale aziendale, i terminali di biglietteria, i membri della stampa e i contrattisti del giorno dell'evento. Come dovrebbe essere configurata la rete utilizzando il cloud RADIUS per imporre l'accesso appropriato per ciascun gruppo?

Suggerimento: Considera come RADIUS gestisce l'autorizzazione, non solo l'autenticazione. Ogni gruppo ha bisogno di diritti di accesso diversi.

Visualizza risposta modello

Distribuire un singolo SSID 802.1X per tutti i gruppi autenticati. Configurare il servizio cloud RADIUS per utilizzare l'assegnazione dinamica della VLAN in base al ruolo dell'utente nell'identity provider. Al personale aziendale viene assegnata la VLAN 10 con accesso ai sistemi interni. I terminali di biglietteria, autenticati tramite certificati macchina (EAP-TLS), vengono inseriti in una VLAN 20 limitata con accesso esclusivo alla piattaforma di biglietteria. Ai membri della stampa viene assegnata la VLAN 30 con accesso a Internet a banda larga ma senza accesso ai sistemi interni. Ai contrattisti dell'evento viene assegnata la VLAN 40 con solo accesso a Internet limitato. Un SSID aperto separato con un Captive Portal gestisce l'accesso ospite di tifosi e partecipanti sulla VLAN 50, isolato da tutto l'altro traffico.

Q3. Durante un audit di sicurezza, si scopre che il server FreeRADIUS della tua organizzazione non riceve patch di sicurezza da otto mesi. Il team è stato riluttante ad applicare le patch perché l'ultimo aggiornamento ha causato un'interruzione dell'autenticazione di due ore. In che modo la migrazione a RADIUS as a Service risolve sia il rischio di sicurezza che il rischio operativo?

Suggerimento: Considera la divisione delle responsabilità in un modello di servizio gestito e il modo in cui i provider gestiscono le patch senza tempi di inattività.

Visualizza risposta modello

RADIUS as a Service sposta la responsabilità del patching del sistema operativo e della gestione delle vulnerabilità sul provider. Il provider gestisce cluster multi-regione ad alta disponibilità, il che consente di applicare patch ai singoli endpoint e distribuire gli aggiornamenti in modo progressivo senza causare tempi di inattività dell'autenticazione. Il tuo team non deve più pianificare finestre di manutenzione o accettare il rischio di un'interruzione causata da una patch. Il rischio di sicurezza viene eliminato perché il provider applica le patch all'infrastruttura non appena vengono rese note le vulnerabilità, spesso prima che la CVE venga ampiamente pubblicizzata. Il rischio operativo viene eliminato perché l'SLA del provider garantisce l'uptime indipendentemente dalle attività di patching. Il ruolo del tuo team passa dalla manutenzione dell'infrastruttura alla gestione delle policy.

Continua a leggere questa serie

Integrazione di RADIUS as a Service con directory cloud (Azure AD e Google Workspace)

Questa guida tecnica di riferimento descrive in dettaglio come integrare RADIUS as a Service con le directory cloud - Microsoft Entra ID e Google Workspace - per l'autenticazione WiFi aziendale. Copre il passaggio architetturale da NPS on-premise a RADIUS cloud-native, l'implementazione dell'autenticazione EAP-TLS basata su certificati e le migliori pratiche operative per proteggere l'accesso wireless negli ambienti dell'ospitalità, della vendita al dettaglio e del settore pubblico. Per i responsabili IT e gli architetti di rete che hanno già investito nell'identità cloud, questa guida colma il divario tra la gestione delle directory e la sicurezza della rete fisica.

Come implementare l'autenticazione 802.1X con Cloud RADIUS

Questa guida di riferimento tecnico fornisce un framework completo per l'implementazione dell'autenticazione 802.1X con Cloud RADIUS in infrastrutture aziendali distribuite. Descrive in dettaglio l'architettura, la selezione del metodo EAP, la sequenza di implementazione e le strategie di mitigazione del rischio necessarie per proteggere l'accesso alla rete eliminando al contempo i costi operativi dell'infrastruttura on-premises.

Cos'è Cloud RADIUS? Una guida completa a RADIUS as a Service

Questa guida completa esplora Cloud RADIUS (RADIUS as a Service), descrivendone in dettaglio l'architettura, i metodi EAP e le strategie di implementazione. Fornisce ai responsabili IT informazioni utili per migrare dai server on-premise a un modello di autenticazione basato su cloud scalabile, sicuro e conforme.