Vai al contenuto principale

Migrazione da RADIUS (NPS) On-Premises a RADIUS-as-a-Service

Questa guida autorevole descrive dettagliatamente l'architettura tecnica, la metodologia di implementazione e l'impatto aziendale della migrazione da Microsoft Network Policy Server (NPS) on-premises a un modello RADIUS-as-a-Service nativo del cloud. Fornisce ai responsabili IT e agli architetti di rete framework pratici per ridurre i costi operativi, eliminare i singoli punti di vulnerabilità e proteggere l'autenticazione aziendale in sedi distribuite.

📖 5 minuti di lettura📝 1,066 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
SCRIPT DEL PODCAST: Migrazione da RADIUS On-Premises (NPS) a RADIUS-as-a-Service Durata: ~10 minuti | Voce: Inglese britannico, maschile, tono da consulente senior --- SEGMENTO 1: INTRODUZIONE E CONTESTO Benvenuti alla serie di briefing tecnici di Purple WiFi. Oggi affrontiamo una migrazione che è presente nella roadmap di un numero significativo di team IT aziendali in questo momento: il passaggio da un RADIUS on-premises - nello specifico Network Policy Server di Microsoft - a un modello di RADIUS-as-a-Service ospitato in cloud. Se gestite l'autenticazione WiFi in un gruppo alberghiero, in un patrimonio retail, in uno stadio o in un campus del settore pubblico, questo vi riguarda direttamente. Il modello NPS on-premises ci ha servito bene per quasi due decenni, ma i costi operativi, il rischio di un singolo punto di guasto e i limiti di scalabilità stanno diventando sempre più difficili da giustificare - in particolare quando le alternative cloud-native offrono ora un'affidabilità di livello enterprise a una frazione del costo totale di proprietà. Nei prossimi dieci minuti, copriremo l'architettura tecnica di entrambi gli approcci, analizzeremo una metodologia di migrazione strutturata, esamineremo due scenari di implementazione del mondo reale e concluderemo con i framework decisionali chiave di cui avete bisogno per fare questa scelta in tutta sicurezza. Iniziamo. --- SEGMENTO 2: APPROFONDIMENTO TECNICO In primo luogo, assicuriamoci di essere allineati su ciò che RADIUS fa effettivamente nel vostro stack di rete. RADIUS - Remote Authentication Dial-In User Service - è il protocollo definito nella RFC 2865 che gestisce l'autenticazione, l'autorizzazione e la contabilità per l'accesso alla rete. In un contesto WiFi, è la spina dorsale del controllo dell'accesso basato su porta IEEE 802.1X. Quando un dispositivo si connette a un SSID WPA2 o WPA3-Enterprise, l'access point funge da client RADIUS - quello che chiamiamo Network Access Server - e inoltra la richiesta di autenticazione al server RADIUS. Il server convalida le credenziali, in genere rispetto ad Active Directory o a una directory LDAP, e restituisce una risposta Access-Accept o Access-Reject. Questo è il flusso fondamentale. Ora, nel modello NPS on-premises - Network Policy Server è l'implementazione RADIUS di Microsoft inclusa in Windows Server - state eseguendo quella logica di autenticazione su hardware di vostra proprietà, in un data center o in una sala server di cui curate la manutenzione. Il server NPS contiene i criteri di rete, l'infrastruttura di certificati per EAP-TLS o PEAP-MSCHAPv2 e i criteri di richiesta di connessione. Funziona. È maturo. Ma comporta una serie di realtà operative che si accumulano nel tempo. La prima è la dipendenza dall'hardware. Il server NPS è una macchina fisica o virtuale che richiede patch, pianificazione della capacità e un eventuale rinnovo dell'hardware. In un'implementazione multi-sito - ad esempio, un gruppo alberghiero con proprietà in tutto il Regno Unito - state eseguendo un NPS centralizzato con dipendenza WAN, oppure state distribuendo istanze NPS in ciascun sito e gestendole singolarmente. Nessuna delle due soluzioni è elegante. Il secondo è la disponibilità. Una singola istanza NPS rappresenta un singolo punto di vulnerabilità per l'intera infrastruttura di autenticazione. Certamente, è possibile distribuire NPS in una coppia di failover, ma questo raddoppia i costi di hardware e licenze, e non offre comunque la ridondanza geografica che un servizio cloud fornisce nativamente. Il terzo è la scalabilità. NPS è stato progettato per ambienti LAN aziendali. Quando si gestiscono migliaia di richieste di autenticazione simultanee durante un evento in uno stadio o un picco in un centro congressi, i limiti di throughput di una singola istanza NPS diventano evidenti. La latenza di autenticazione subisce un'impennata e gli utenti riscontrano errori di connessione esattamente nel momento in cui non ci si può permettere un disservizio. RADIUS-as-a-Service affronta tutti e tre questi vincoli a livello architetturale. Il provider RADIUS in cloud gestisce un cluster distribuito e geo-ridondante di server RADIUS. I punti di accesso puntano a endpoint RADIUS ospitati nel cloud anziché a un server on-premises. Le richieste di autenticazione vengono bilanciate sul carico del cluster e il failover è automatico e trasparente. Il provider gestisce patch, scalabilità della capacità e gestione dei certificati. Dal punto di vista dell'operatore di rete, il RADIUS diventa un servizio consumato anziché un componente gestito. I protocolli di autenticazione stessi non cambiano. Si continua a eseguire lo standard 802.1X con EAP-TLS, PEAP o EAP-TTLS a seconda del mix di dispositivi client. La differenza risiede nel luogo in cui risiede il server RADIUS e in chi è responsabile della sua continuità operativa. C'è un'importante considerazione sulla sicurezza che desidero affrontare direttamente, perché emerge in quasi tutte le conversazioni con i clienti. Spostare il RADIUS nel cloud significa che il traffico di autenticazione attraversa la rete internet pubblica per raggiungere l'endpoint RADIUS in cloud. Questo rischio viene mitigato attraverso due meccanismi. In primo luogo, il traffico RADIUS tra il Network Access Server e il server RADIUS è protetto mediante un segreto condiviso e l'autenticazione dei messaggi basata su MD5. In secondo luogo, e cosa più importante per le implementazioni moderne, è opportuno eseguire RadSec - RADIUS su TLS, definito in RFC 6614 - che racchiude l'intera conversazione RADIUS in un tunnel TLS. Questo garantisce una crittografia a livello di trasporto equivalente a HTTPS, eliminando la vulnerabilità di MD5 e fornendo un'autenticazione reciproca tra il NAS e il server RADIUS. Qualsiasi provider RADIUS in cloud degno di considerazione dovrebbe supportare RadSec come standard. Sul fronte dell'integrazione delle identità, i servizi RADIUS in cloud supportano tipicamente connessioni LDAP e LDAPS verso l'Active Directory on-premises, o un'integrazione nativa con Azure Active Directory e Microsoft Entra ID tramite SAML o SCIM. Ciò significa che non è necessario migrare la directory degli utenti - il servizio RADIUS in cloud interroga il database di identità esistente, mantenendo inalterati i processi di gestione del ciclo di vita degli utenti.Per le organizzazioni attente alla conformità - e questo include chiunque gestisca dati di carte di pagamento ai sensi del PCI-DSS o dati personali ai sensi del GDPR - i provider cloud RADIUS certificati SOC 2 Type II e accreditati ISO 27001 offrono una postura di conformità più solida rispetto a quella che la maggior parte delle organizzazioni può ottenere con un'infrastruttura NPS autogestita. --- SEGMENTO 3: RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE Bene, parliamo di come eseguire concretamente questa migrazione senza mettere offline la vostra infrastruttura di autenticazione. La metodologia che raccomando è un approccio in cinque fasi. La fase uno è l'audit e l'inventario. Documentate ogni client RADIUS - ogni access point, ogni switch, ogni concentratore VPN - insieme al suo shared secret attuale, al metodo EAP in uso e a qualsiasi attributo specifico del vendor nelle vostre policy NPS. Questo è il lavoro meno affascinante, ma saltarlo è la causa numero uno dei fallimenti della migrazione. La fase due è il deployment pilota. Attivate la vostra istanza cloud RADIUS e indirizzate verso di essa un SSID non di produzione o un singolo sito di test. Validate che il vostro metodo EAP funzioni end-to-end, che l'integrazione dell'identità sia funzionante e che i dati di accounting fluiscano correttamente. La fase tre è il funzionamento in parallelo. Questa è la fase critica per la mitigazione del rischio. Configurate i vostri access point con il server NPS on-premises e il server cloud RADIUS come target di autenticazione, impostando il servizio cloud come primario e NPS come fallback. Eseguite questa configurazione per un minimo di due settimane coprendo un intero ciclo aziendale. Monitorate i tassi di successo dell'autenticazione, la latenza e qualsiasi discrepanza nelle policy. La fase quattro è il cutover. Rimuovete la configurazione di fallback NPS e passate definitivamente a cloud RADIUS come unica infrastruttura di autenticazione. Eseguite questa operazione durante una finestra di manutenzione pianificata, con una procedura di rollback documentata e testata. La fase cinque è il decommissionamento. Una volta convalidato il funzionamento stabile per trenta giorni dopo il cutover, disattivate i server NPS e recuperate le risorse hardware o della macchina virtuale. Le trappole che vedo più frequentemente sono: problemi con la catena di attendibilità dei certificati - in particolare, i dispositivi client che non si fidano del certificato del server cloud RADIUS perché la CA non si trova nel loro store attendibile. Risolvete questo problema tramite il vostro MDM o le Group Policy prima del cutover. Il secondo errore comune riguarda le regole del firewall. Cloud RADIUS richiede le porte UDP 1812 e 1813 in uscita dai vostri access point verso gli endpoint cloud, oppure TCP 2083 per RadSec. Assicuratevi che il perimetro della vostra rete consenta questo traffico. Terzo: la complessità dello shared secret. Se i vostri shared secret NPS esistenti sono deboli, usate la migrazione come opportunità per passare a secret crittograficamente forti o, meglio ancora, passate a RadSec ed eliminate completamente gli shared secret. --- SEGMENTO 4: DOMANDE E RISPOSTE RAPIDE Lasciatemi passare in rassegna le domande che ricevo più spesso su questo argomento. Possiamo mantenere Active Directory on-premises? Sì, assolutamente. Cloud RADIUS si connette ad Active Directory on-premises tramite LDAPS. La vostra directory rimane dove si trova. Cosa succede se la nostra connessione internet si interrompe? Questo è il principale cambiamento di dipendenza. Con il cloud RADIUS, la connettività internet diventa una dipendenza per l'autenticazione. Mitiga questo aspetto con collegamenti WAN ridondanti o un proxy RADIUS locale che memorizza nella cache l'autenticazione per i dispositivi noti durante le interruzioni. Questo influisce sulla nostra conformità PCI-DSS? Passare a un fornitore di cloud RADIUS certificato in genere migliora la tua postura di conformità. Assicurati che il tuo fornitore possa fornire report SOC 2 Type II e sia incluso nell'ambito della tua valutazione annuale QSA. Quanto tempo richiede una migrazione completa? Per un singolo sito, da due a quattro settimane. Per una proprietà multi-sito di cinquanta o più sedi, pianifica da tre a sei mesi con un roll-out graduale. - SEGMENTO 5: RIEPILOGO E PROSSIMI PASSI Per concludere: le ragioni per migrare da NPS on-premises a RADIUS-as-a-Service sono convincenti dal punto di vista operativo, finanziario e di conformità. La migrazione stessa è a basso rischio se eseguita con una fase strutturata di funzionamento in parallelo. Le decisioni tecniche chiave sono la selezione del metodo EAP, l'approccio di integrazione dell'identità e l'eventuale implementazione di RadSec per la sicurezza del trasporto - cosa che raccomando caldamente per qualsiasi nuova implementazione. I tuoi prossimi passi immediati: esegui l'audit dei tuoi attuali client e criteri RADIUS, coinvolgi il tuo fornitore di cloud RADIUS per un ambiente pilota e rivedi le regole del firewall e le catene di attendibilità dei certificati prima di iniziare. Per le organizzazioni che utilizzano la piattaforma di accesso per gli ospiti di Purple WiFi, la funzionalità RADIUS-as-a-Service si integra direttamente con il flusso di autenticazione del WiFi ospite, offrendoti un unico piano di controllo sia per l'autenticazione aziendale 802.1X che per la gestione dell'accesso alla rete ospite - con analisi e report di conformità integrati. Grazie per l'ascolto. La guida di riferimento tecnica completa è disponibile sul sito web di Purple, e il nostro team di soluzioni è disponibile per una conversazione di scoping se sei pronto a procedere. - FINE DELLA SCENEGGIATURA

header_image.png

Sintesi Esecutiva

Per quasi due decenni, il Network Policy Server (NPS) di Microsoft è stato l'implementazione RADIUS predefinita per le reti aziendali. Tuttavia, man mano che gli operatori di grandi spazi si espandono su siti distribuiti - dalle catene di vendita al dettaglio ai gruppi alberghieri globali - l'onere operativo di gestire l'infrastruttura di autenticazione on-premises è diventato un problema significativo.

La migrazione a RADIUS-as-a-Service trasforma l'autenticazione da un componente hardware gestito a un servizio cloud consumabile. Questo cambiamento architetturale elimina i singoli punti di guasto intrinseci nelle distribuzioni NPS autonome, rimuove i cicli di rinnovo dell'hardware e fornisce la scalabilità elastica richiesta per ambienti ad alta densità come stadi e centri congressi. Per i responsabili IT e gli architetti di rete, questa guida fornisce una metodologia strutturata e neutrale rispetto ai fornitori per migrare l'autenticazione 802.1X sul cloud senza influire sul traffico di produzione, garantendo la conformità con PCI-DSS e GDPR, e riducendo l'OpEx dell'infrastruttura di autenticazione fino all'80%.

Approfondimento Tecnico: Architettura e Standard

Per comprendere questa migrazione, dobbiamo prima esaminare il cambiamento architetturale nel modo in cui viene fornito il controllo dell'accesso basato su porta IEEE 802.1X.

I Limiti dell'NPS On-Premises

In una distribuzione tradizionale, l'access point funge da Network Access Server (NAS), inoltrando le richieste di autenticazione a un server NPS on-premises. Il server NPS valuta i criteri di richiesta di connessione, convalida le credenziali rispetto all'archivio di identità (solitamente Active Directory tramite LDAP) e restituisce un messaggio di Access-Accept o Access-Reject.

Questo modello presenta tre limiti critici per le reti moderne:

  1. Dipendenza dall'hardware e manutenzione: NPS richiede macchine fisiche o virtuali dedicate, che richiedono patch continue, pianificazione della capacità e gestione del ciclo di vita.
  2. Complessità dell'alta disponibilità: Per ottenere la ridondanza è necessario distribuire NPS in coppie di failover, il che raddoppia i costi di licenza senza fornire una reale ridondanza geografica.
  3. Colli di bottiglia nel throughput: Durante i picchi di concorrenza (come l'ingresso negli stadi o le ore di punta dello shopping), una singola istanza NPS può diventare un collo di bottiglia, causando timeout di autenticazione e un'esperienza utente degradata.

Architettura Cloud RADIUS

RADIUS-as-a-Service astrae il livello di autenticazione. Il fornitore cloud gestisce cluster distribuiti e geograficamente ridondanti di server RADIUS. Il NAS punta a questi endpoint cloud e le richieste vengono bilanciate automaticamente in base al carico.

architecture_comparison.png

Sicurezza del trasporto: il ruolo di RadSec Quando il RADIUS si sposta nel cloud, il traffico di autenticazione attraversa l'internet pubblico. Mentre il RADIUS legacy si affida a segreti condivisi e hashing MD5, le distribuzioni moderne devono implementare RadSec (RADIUS over TLS, RFC 6614). RadSec incapsula l'intera conversazione RADIUS in un tunnel TLS (in genere la porta TCP 2083), fornendo una crittografia a livello di trasporto equivalente a HTTPS, insieme alla mutua autenticazione tra il NAS e l'endpoint RADIUS nel cloud.

Integrazione dell'identità Il cloud RADIUS non richiede la migrazione della directory utenti. I servizi supportano tipicamente connessioni LDAPS verso l'Active Directory on-premises, o l'integrazione API nativa con Azure Active Directory (Entra ID) tramite SAML o SCIM. Questo garantisce che i processi di gestione del ciclo di vita degli utenti esistenti rimangano invariati.

Per le sedi che utilizzano una piattaforma di Guest WiFi , il cloud RADIUS si integra direttamente, fornendo un piano di controllo unificato sia per l'autenticazione aziendale 802.1X sia per l'accesso alla rete ospiti, completo di funzioni avanzate di WiFi Analytics .

Guida all'implementazione: La metodologia in 5 fasi

Eseguire la migrazione senza interruzioni di servizio richiede un approccio strutturato e a fasi.

migration_checklist.png

Fase 1: Audit e inventario

Prima di apportare qualsiasi modifica, documentare lo stato attuale:

  • Client RADIUS: Identificare ogni NAS (access point wireless, switch, concentratori VPN).
  • Policy: Documentare le policy di rete e di richiesta di connessione NPS esistenti, inclusi gli attributi specifici del fornitore (VSA) utilizzati per l'assegnazione delle VLAN.
  • Metodi EAP: Identificare quali metodi Extensible Authentication Protocol sono in uso (es. EAP-TLS, PEAP-MSCHAPv2).

Fase 2: Distribuzione pilota

Configurare l'istanza cloud RADIUS e impostare un SSID non di produzione o un singolo sito di test. Validare l'integrazione con la directory delle identità (es. sincronizzazione con Entra ID) e confermare che i metodi EAP funzionino correttamente end to end.

Fase 3: Esecuzione in parallelo (mitigazione del rischio)

Configurare i dispositivi NAS di produzione per utilizzare contemporaneamente sia i server cloud RADIUS (primario) sia i server NPS legacy (backup). Mantenere questa configurazione per un minimo di due settimane. Monitorare i tassi di successo dell'autenticazione, le metriche di latenza e i flussi di dati di accounting per identificare eventuali discrepanze nelle policy prima del passaggio definitivo.

Fase 4: Passaggio definitivo (Cutover)

Durante una finestra di manutenzione programmata, rimuovere la configurazione di backup NPS legacy dai dispositivi NAS. Passare completamente all'infrastruttura cloud. Assicurarsi che la procedura di rollback sia documentata e testata.

Fase 5: Dismissione

Dopo 30 giorni di funzionamento stabile, dismettere in modo sicuro i server NPS legacy e recuperare le risorse di calcolo.

Best Practice e conformità

Attenersi ai seguenti standard durante la progettazione dell'architettura cloud RADIUS:

  • Obbligo RadSec: Se l'hardware NAS supporta RadSec (TCP 2083), non inviare mai traffico RADIUS su internet pubblico utilizzando lo standard UDP 1812/1813.
  • Catena di attendibilità del certificato: Assicurati che i dispositivi client considerino attendibile l'Autorità di certificazione (CA) che rilascia i certificati del server RADIUS in cloud. Distribuisci la CA radice ai dispositivi gestiti tramite MDM o Criteri di gruppo prima della migrazione.
  • Stato di conformità: Scegli un provider RADIUS in cloud che mantenga l'attestazione SOC 2 Type II e la certificazione ISO 27001. Questo semplifica notevolmente le valutazioni annuali PCI-DSS, in particolare per gli ambienti del settore retail e dell'ora hospitality .

Per principi di progettazione di rete più ampi, consulta le nostre guide: Configurare il WiFi aziendale: Guida 2026 e Comprendere l'RSSI e la potenza del segnale per una pianificazione ottimale dei canali .

Risoluzione dei problemi e mitigazione dei rischi

Modalità di errore Causa principale Strategia di mitigazione
Timeout di autenticazione Il firewall blocca il traffico in uscita UDP 1812/1813 o TCP 2083. Verifica che le regole del firewall perimetrale consentano il traffico in uscita verso gli intervalli IP specifici del provider RADIUS in cloud.
Errori di attendibilità del certificato CA radice mancante dall'archivio dei certificati attendibili del dispositivo client. Distribuisci la CA radice tramite MDM/GPO prima della Fase 3 (esecuzione parallela).
Errori di assegnazione VLAN Gli attributi specifici del fornitore (VSA) non sono mappati correttamente nei criteri cloud. Durante la Fase 1, replica gli esatti formati di stringa VSA da NPS nel motore dei criteri RADIUS in cloud.
Impatto del disservizio WAN La perdita di connettività internet impedisce l'accesso al RADIUS in cloud. Distribuisci collegamenti WAN ridondanti o implementa un proxy RADIUS locale che memorizzi nella cache le credenziali per i dispositivi noti.

ROI e impatto aziendale

La migrazione a RADIUS-as-a-Service offre risultati aziendali misurabili:

  • Riduzione dei costi: Elimina l'acquisto di hardware, le licenze Windows Server e le ore di ingegneria dedicate a patch e manutenzione. Le riduzioni tipiche delle OpEx sono del 60-80%.
  • SLA di affidabilità: I provider cloud offrono SLA di disponibilità del 99,99% supportati finanziariamente, rispetto alla disponibilità tipica del 97-98% di una distribuzione NPS a sito singolo.
  • Agilità: Attiva istantaneamente nuovi siti senza dover predisporre hardware di autenticazione locale, abbreviando i tempi di implementazione per gli hub di trasporto e le organizzazioni di sanità .

Ascolta il nostro team di consulenti senior discutere le implicazioni strategiche in questo briefing di 10 minuti:

Definizioni chiave

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento (AAA) per gli utenti che si connettono e utilizzano un servizio di rete.

Il protocollo fondamentale utilizzato dalle reti WiFi aziendali per convalidare le credenziali degli utenti prima di concedere l'accesso alla rete.

NPS (Network Policy Server)

L'implementazione Microsoft di un server e proxy RADIUS, fornito come ruolo in Windows Server.

L'infrastruttura legacy on-premises da cui le organizzazioni stanno attivamente migrando per ridurre i costi di manutenzione.

NAS (Network Access Server)

Il dispositivo che funge da gateway per la rete e inoltra le richieste di autenticazione al server RADIUS.

In un contesto wireless, il NAS è tipicamente l'Access Point WiFi o il Wireless LAN Controller.

RadSec (RADIUS over TLS)

Un protocollo definito nella RFC 6614 che trasporta pacchetti RADIUS su una connessione TCP crittografata con TLS.

Essenziale per le distribuzioni cloud RADIUS per garantire che i dati delle credenziali siano crittografati durante il transito sulla rete internet pubblica.

EAP (Extensible Authentication Protocol)

Un framework di autenticazione frequentemente utilizzato nelle reti wireless e nelle connessioni point-to-point.

Determina il modo in care il client e il server scambiano in modo sicuro le credenziali (ad es. certificati tramite EAP-TLS o password tramite PEAP).

VSA (Vendor-Specific Attribute)

Attributi personalizzati definiti dai fornitori di hardware all'interno del protocollo RADIUS per supportare funzionalità proprietarie.

Cruciale durante la migrazione; le VSA sono spesso utilizzate per assegnare dinamicamente gli utenti autenticati a specifiche VLAN di rete.

LDAPS (Lightweight Directory Access Protocol over SSL)

Un protocollo sicuro per interrogare e modificare i servizi di directory come Active Directory.

Utilizzato dai servizi cloud RADIUS per interrogare in modo sicuro gli identity store locali senza migrare la directory degli utenti nel cloud.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta (PNAC).

Lo standard sottostante che utilizza RADIUS per garantire che solo i dispositivi autenticati possano trasmettere traffico sulla LAN o WLAN aziendale.

Esempi pratici

Un gruppo alberghiero con 200 strutture utilizza attualmente server NPS locali in ogni sito per l'autenticazione 802.1X del personale. Sta migrando a Entra ID (Azure AD) e desidera dismettere i server locali. Come dovrebbe impostare la migrazione?

  1. Distribuire un servizio RADIUS in cloud che si integri nativamente con Microsoft Entra ID tramite SAML/SCIM.
  2. Configurare i criteri del cloud RADIUS per mappare i gruppi Microsoft Entra ID (ad es. "Front Desk", "Management") a specifiche VSA VLAN.
  3. Presso una struttura pilota, configurare gli access point per utilizzare RadSec per la connessione all'endpoint cloud RADIUS.
  4. Distribuire la CA radice del server cloud RADIUS a tutti i dispositivi del personale tramite Microsoft Intune.
  5. Eseguire l'autenticazione parallela nel sito pilota, quindi procedere a un roll-out graduale nelle restanti 199 strutture.
Commento dell'esaminatore: Questo approccio rimuove 200 server fisici/virtuali dall'infrastruttura, riducendo drasticamente la superficie di attacco e i costi di manutenzione. L'integrazione diretta con Microsoft Entra ID elimina la necessità di complesse VPN site-to-site verso un Active Directory centrale.

Uno stadio con una capienza di 50.000 persone riscontra errori di autenticazione sul proprio SSID aziendale durante i grandi eventi, poiché il server NPS on-premises non è in grado di gestire il volume di migliaia di dispositivi in roaming simultaneo.

  1. Verificare i criteri NPS e i metodi EAP esistenti.
  2. Predisporre un servizio cloud RADIUS in grado di scalare automaticamente per gestire un numero elevato di autenticazioni al secondo (APS).
  3. Stabilire una connessione LDAPS dal servizio cloud RADIUS all'Active Directory on-premises dello stadio.
  4. Aggiornare i controller LAN wireless ad alta densità dello stadio per puntare agli endpoint cloud RADIUS come server di autenticazione primari.
Commento dell'esaminatore: Esternalizzando l'elaborazione RADIUS a un cluster cloud, lo stadio sfrutta risorse di calcolo elastiche che scalano dinamicamente durante l'afflusso all'evento, risolvendo il collo di bottiglia senza richiedere alla struttura di sovradimensionare costosi hardware locali.

Domande di esercitazione

Q1. La tua organizzazione sta migrando a Cloud RADIUS. Il team di sicurezza impone che nessun traffico di autenticazione possa essere inviato su Internet in chiaro o utilizzando algoritmi di hashing deprecati come MD5. Quale protocollo devi configurare sui tuoi controller wireless LAN?

Suggerimento: Cerca il protocollo che racchiude RADIUS in un tunnel TLS.

Visualizza risposta modello

È necessario configurare RadSec (RADIUS su TLS). RadSec stabilisce un tunnel TLS sulla porta TCP 2083 tra il NAS e il server cloud RADIUS, fornendo crittografia a livello di trasporto e autenticazione reciproca, soddisfacendo così i requisiti del team di sicurezza.

Q2. Durante la Fase 3 (Esecuzione Parallela) della migrazione, noti che gli utenti si autenticano correttamente sul server cloud RADIUS, ma non vengono inseriti nei segmenti di rete corretti. Qual è la lacuna di configurazione più probabile?

Suggerimento: In quale modo un server RADIUS comunica a un access point quale segmento di rete utilizzare?

Visualizza risposta modello

I Vendor-Specific Attributes (VSA) per l'assegnazione dinamica della VLAN non sono stati configurati correttamente nelle policy del cloud RADIUS. È necessario assicurarsi che le stringhe VSA esatte utilizzate nel server NPS legacy siano replicate nell'ambiente cloud in modo che il NAS sappia quale VLAN assegnare all'utente.

Q3. Un dispositivo client fallisce ripetutamente l'autenticazione EAP-TLS con il nuovo servizio cloud RADIUS, ma funziona correttamente con il server NPS legacy. I log del dispositivo mostrano un errore "untrusted server". Come risolvi il problema?

Suggerimento: EAP-TLS richiede che il client si fidi dell'identità del server.

Visualizza risposta modello

Il dispositivo client non ha l'Autorità di Certificazione Radice (CA Root) che ha emesso il certificato del server cloud RADIUS nel suo archivio radice attendibile. È necessario distribuire la CA Root al dispositivo client utilizzando una soluzione di Mobile Device Management (MDM) o una Group Policy.

Continua a leggere questa serie

I vantaggi in termini di sicurezza di RADIUS as a Service per la forza lavoro ibrida

Questa guida di riferimento tecnico spiega come RADIUS as a Service protegga l'accesso alla rete per la forza lavoro ibrida all'interno di sedi distribuite. Copre l'architettura, i vantaggi in termini di sicurezza e i passaggi di implementazione per sostituire l'infrastruttura RADIUS on-premise con un servizio di autenticazione gestito in cloud. Per i responsabili IT e gli architetti di rete di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico, questa guida fornisce gli elementi necessari per valutare e avviare la migrazione a un servizio RADIUS cloud in questo trimestre.

Leggi la guida →

Integrazione di RADIUS as a Service con directory cloud (Azure AD e Google Workspace)

Questa guida tecnica di riferimento descrive in dettaglio come integrare RADIUS as a Service con le directory cloud - Microsoft Entra ID e Google Workspace - per l'autenticazione WiFi aziendale. Copre il passaggio architetturale da NPS on-premise a RADIUS cloud-native, l'implementazione dell'autenticazione EAP-TLS basata su certificati e le migliori pratiche operative per proteggere l'accesso wireless negli ambienti dell'ospitalità, della vendita al dettaglio e del settore pubblico. Per i responsabili IT e gli architetti di rete che hanno già investito nell'identità cloud, questa guida colma il divario tra la gestione delle directory e la sicurezza della rete fisica.

Leggi la guida →

Come implementare l'autenticazione 802.1X con Cloud RADIUS

Questa guida di riferimento tecnico fornisce un framework completo per l'implementazione dell'autenticazione 802.1X con Cloud RADIUS in infrastrutture aziendali distribuite. Descrive in dettaglio l'architettura, la selezione del metodo EAP, la sequenza di implementazione e le strategie di mitigazione del rischio necessarie per proteggere l'accesso alla rete eliminando al contempo i costi operativi dell'infrastruttura on-premises.

Leggi la guida →