Soluzioni WiFi gestite: una guida completa per le aziende

PARTE 1: Benvenuti. Oggi parliamo di WiFi gestito - non del router consumer che collegate a casa, ma dell'infrastruttura di livello enterprise gestita in cloud che supporta tutto, dalle 800 proprietà di Premier Inn ai terminal di Manchester Airports Group. Lasciate che vi presenti lo scenario. Gestite una proprietà multisito - hotel, punti vendita, uno stadio o uno sviluppo immobiliare build-to-rent. Il vostro WiFi è probabilmente un mosaico di soluzioni diverse. Alcuni siti hanno Cisco Meraki, altri hanno apparecchiature HPE Aruba installate nel 2018 e da qualche parte c'è una configurazione Ubiquiti UniFi installata da un appaltatore che nessuno capisce bene. Vi suona familiare? Questo è il problema che il WiFi gestito risolve. Sostituisce quel mosaico con un unico overlay cloud - una dashboard, un motore di policy, una postura di sicurezza - indipendentemente dall'hardware sottostante. Entriamo nell'architettura. Una distribuzione di WiFi gestito progettata correttamente esegue tre segmenti di rete distinti. Primo, il WiFi Ospiti - la rete rivolta al pubblico a cui si connettono visitatori, ospiti o acquirenti. Secondo, il WiFi Personale - una rete separata e autenticata per i dipendenti, che utilizza lo standard IEEE 802.1X con un server RADIUS per l'accesso basato sull'identità. Terzo, una VLAN IoT - isolata da tutto il resto, che trasporta i vostri sistemi di gestione dell'edificio, CCTV, serrature intelligenti e sensori. Perché tre? Perché un ospite che si connette al WiFi del vostro hotel non dovrebbe mai essere in grado di raggiungere il vostro sistema di gestione della proprietà. E i vostri dispositivi IoT - che spesso eseguono firmware obsoleti e non possono essere patchati - non dovrebbero mai essere raggiungibili dalla rete ospiti. L'isolamento VLAN non è opzionale. È la base di un'architettura di rete difendibile. Ora, l'autenticazione. Per l'accesso ospiti, avete due approcci principali. Il Captive Portal tradizionale - in cui un visitatore apre un browser, visualizza una splash page, accetta i termini e opzionalmente accede tramite e-mail o social. Questo è ciò che Purple distribuisce in oltre 80.000 location in tutto il mondo. Acquisisce dati di prima parte con opt-in di scelta consapevole che sono completamente conformi al GDPR. Il secondo approccio è Passpoint, noto anche come Hotspot 2.0 o OpenRoaming. Questo utilizza i protocolli 802.11u e WPA3 per autenticare i dispositivi automaticamente, senza una splash page. Purple funge da identity provider gratuito per OpenRoaming nell'ambito del piano Connect. Per l'autenticazione del personale, lo standard di riferimento è IEEE 802.1X con EAP-TLS. Ogni dispositivo presenta un certificato anziché una password. Nessun segreto condiviso. Vi integrate con Microsoft Entra ID, Okta o Google Workspace tramite SCIM e SAML. Quando un membro del personale se ne va, Purple revoca l'accesso automaticamente. Per gli ambienti multi-tenant - sviluppi build-to-rent, alloggi per studenti, MDU - si utilizza iPSK o PPSK. Ogni unità abitativa riceve una chiave univoca. Il traffico è isolato a livello di VLAN per singola unità. Il WiFi Multi-Tenant di Purple gestisce questo processo automaticamente, supportando Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. Parliamo di implementazione. Cinque fasi. Fase uno: il sopralluogo del sito. È necessaria un'indagine sulle radiofrequenze - predittiva, utilizzando software come Ekahau, o attiva, ispezionando il sito con un analizzatore di spettro. Una tipica camera d'albergo richiede un access point ogni due o quattro stanze, a seconda dei materiali di costruzione. Fase due: progettazione della rete. Si definiscono la struttura VLAN, gli ambiti DHCP, le policy QoS e i piani dei canali. 2.4 gigahertz per la portata e la compatibilità IoT, 5 gigahertz per la velocità di trasmissione, 6 gigahertz su hardware Wi-Fi 6E per ambienti ad alta densità. Fase tre: installazione dell'hardware. Cavo Cat 6A per ogni access point, switch PoE plus con budget di alimentazione adeguati. Non sottodimensionare lo strato di switching - è la causa più comune di problemi di prestazioni che riscontriamo sul campo. Fase quattro: onboarding sul cloud. Collega il tuo hardware alla piattaforma di gestione, invia i modelli di configurazione ed esegui i test. Con Purple, si tratta di un cloud overlay - sovrapponi il motore di identità, analytics e policy di Purple alla tua infrastruttura esistente. Fase cinque: gestione continua. Aggiornamenti firmware inviati centralmente. Rilevamento di AP non autorizzati. Monitoraggio della larghezza di banda. Avvisi automatici quando un access point va offline. La piattaforma di Purple garantisce un uptime del 99.999%, supportato dalla certificazione ISO 27001. PARTE 2: Ora vorrei presentarvi due scenari reali. Scenario uno: un hotel da 200 camere. Quattro piani, una suite per conferenze, un ristorante e una spa. Il team IT è composto da due persone. Non possono essere sul posto ogni volta che un ospite si lamenta del WiFi. La soluzione: 85 access point su hardware HPE Aruba, gestiti tramite il cloud overlay di Purple. WiFi ospiti su VLAN 10 con una splash page personalizzata che acquisisce l'e-mail al momento del check-in. WiFi del personale su VLAN 20 con autenticazione 802.1X collegata alla directory Microsoft Entra ID dell'hotel. IoT su VLAN 30 che supporta il sistema di gestione dell'edificio e l'intrattenimento in camera. Il risultato: il team IT gestisce l'intera struttura da un'unica dashboard. Gli aggiornamenti del firmware avvengono durante la notte. I reclami degli ospiti diminuiscono perché la rete viene monitorata in modo proattivo, non reattivo. Scenario due: un complesso residenziale in affitto con 300 unità. Lo sviluppatore ha bisogno di un WiFi che i residenti possano utilizzare fin dal primo giorno, che supporti i dispositivi smart home e che mantenga privato il traffico di ogni appartamento. La soluzione: Multi-Tenant WiFi di Purple con iPSK. Ogni unità riceve una chiave pre-condivisa univoca, fornita automaticamente al momento della creazione del contratto di locazione. I residenti collegano i loro telefoni, laptop, smart TV e termostati con la stessa chiave. Il traffico è isolato per VLAN. Lo sviluppatore offre il WiFi come servizio incluso nelle spese condominiali. La rete funziona su hardware Cisco Meraki con Purple come livello di gestione cloud. Lasciate che vi dia tre regole pratiche prima di passare alle domande. Regola uno: segmentare tutto. Il traffico degli ospiti, del personale e dell'IoT non deve mai condividere una VLAN. Se dovete ricordare una sola cosa da questa sessione, che sia questa. Una VLAN configurata male ha causato più incidenti di sicurezza di qualsiasi altro singolo fattore nel WiFi aziendale. Regola due: progetta per il picco, non per la media. Un centro congressi con 500 posti deve gestire 500 connessioni simultanee durante un keynote. Progetta la densità dei tuoi access point e il piano dei canali per quel carico di picco, non per la media del martedì pomeriggio. Regola tre: il livello di gestione in cloud non è opzionale su scala. Se gestisci più di cinque siti, una piattaforma cloud non è un lusso - è l'unico modo per mantenere una postura di sicurezza coerente e rispondere rapidamente agli incidenti. Bene, facciamo un giro di domande a raffica. Domanda: ho bisogno del WPA3? Risposta: sì, per qualsiasi nuova implementazione. WPA3 elimina la vulnerabilità KRACK, introduce la Simultaneous Authentication of Equals ed è obbligatorio per la certificazione Wi-Fi 6. Abilitalo in modalità di transizione per supportare i dispositivi legacy. Domanda: e per quanto riguarda la conformità PCI-DSS per il retail? Risposta: la rete del tuo punto vendita deve trovarsi su una VLAN separata, completamente isolata dal WiFi per gli ospiti. Il requisito PCI-DSS 1.3 impone la segmentazione della rete tra gli ambienti con dati dei titolari di carta e tutte le altre reti. Domanda: come gestisco il BYOD per il personale? Risposta: usa 802.1X con PEAP e MSCHAPv2 per i dispositivi che non possono eseguire EAP-TLS. Oppure usa PPSK con chiavi per singolo dispositivo gestite tramite il tuo provider di identità. Purple si integra con Microsoft Entra ID e Okta per automatizzare questo processo. Domanda: qual è il ROI previsto? Risposta: tre numeri. Il WiFi gestito riduce il tempo di supporto IT per i problemi di rete in media del 40% rispetto all'infrastruttura autogestita, in base ai dati dei clienti di Purple. La cattura dei dati del WiFi per gli ospiti genera dati di marketing di prima parte che valgono in media 12 sterline per profilo catturato in ricavi da email marketing nell'arco di 12 mesi. E un uptime del 99,999% significa meno di sei minuti di inattività all'anno. Per riassumere. Il WiFi gestito non riguarda solo la connettività. Si tratta di gestire una rete sicura fin dalla progettazione, osservabile in tempo reale e scalabile senza aggiungere personale. L'architettura è lineare: tre VLAN, gestione in cloud, autenticazione basata sull'identità. L'implementazione è un processo in cinque fasi, dal sopralluogo del sito alla gestione continua. E il caso aziendale è chiaro - costi operativi inferiori, migliore postura di sicurezza e una rete che genera dati che puoi effettivamente utilizzare. Il team tecnico di Purple può guidarti attraverso una revisione dell'architettura specifica per il tuo sito. Abbiamo effettuato implementazioni in oltre 80.000 sedi, registrato 440 milioni di connessioni nel 2024 e raccolto 29 miliardi di punti dati. Sappiamo cosa funziona. Grazie per il tuo tempo.