Vai al contenuto principale
Italiano

Migrazione da RADIUS On-Premises (NPS) a RADIUS as a Service

Questa guida autorevole descrive dettagliatamente l'architettura tecnica, la metodologia di implementazione e l'impatto aziendale della migrazione da Microsoft Network Policy Server (NPS) on-premises a un modello RADIUS as a Service nativo del cloud. Offre ai leader IT e agli architetti di rete framework pratici per ridurre i costi operativi, eliminare i singoli punti di vulnerabilità (single points of failure) e proteggere l'autenticazione aziendale in sedi distribuite.

📖 5 minuti di lettura📝 1,066 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
SCENEGGIATURA DEL PODCAST: Migrazione da RADIUS On-Premises (NPS) a RADIUS as a Service Durata: ~10 minuti | Voce: Inglese britannico, maschile, tono da consulente senior --- SEGMENTO 1: INTRODUZIONE E CONTESTO Benvenuti alla serie di briefing tecnici di Purple WiFi. Oggi affrontiamo una migrazione che si trova attualmente nella roadmap di un numero significativo di team IT aziendali: il passaggio da RADIUS on-premises — nello specifico il Network Policy Server di Microsoft — a un modello RADIUS as a Service ospitato nel cloud. Se gestite l'autenticazione WiFi in un gruppo alberghiero, in un patrimonio retail, in uno stadio o in un campus del settore pubblico, questo vi riguarda direttamente. Il modello NPS on-premises ci ha servito bene per quasi due decenni, ma i costi operativi, il rischio di un singolo punto di vulnerabilità e i limiti di scalabilità stanno diventando sempre più difficili da giustificare, in particolare quando le alternative cloud-native offrono ora un'affidabilità di livello enterprise a una frazione del costo totale di proprietà. Nei prossimi dieci minuti copriremo l'architettura tecnica di entrambi gli approcci, analizzeremo una metodologia di migrazione strutturata, esamineremo due scenari di implementazione reali e finiremo con i framework decisionali chiave di cui avete bisogno per fare questa scelta in tutta sicurezza. Entriamo nel vivo. --- SEGMENTO 2: APPROFONDIMENTO TECNICO Innanzitutto, assicuriamoci di essere allineati su ciò che RADIUS fa effettivamente nel vostro stack di rete. RADIUS — Remote Authentication Dial-In User Service — è il protocollo definito nella RFC 2865 che gestisce l'autenticazione, l'autorizzazione e la contabilità per l'accesso alla rete. In un contesto WiFi, è la spina dorsale del controllo degli accessi basato su porta IEEE 802.1X. Quando un dispositivo si connette a un SSID WPA2-Enterprise o WPA3-Enterprise, l'access point funge da client RADIUS — quello che chiamiamo Network Access Server — e inoltra la richiesta di autenticazione al server RADIUS. Il server convalida le credenziali, in genere rispetto ad Active Directory o a una directory LDAP, e restituisce una risposta Access-Accept o Access-Reject. Questo è il flusso fondamentale. Ora, nel modello NPS on-premises — Network Policy Server è l'implementazione RADIUS di Microsoft inclusa in Windows Server — eseguite questa logica di autenticazione su hardware di vostra proprietà, in un data center o in una sala server di cui curate la manutenzione. Il server NPS contiene i criteri di rete, l'infrastruttura di certificazione per EAP-TLS o PEAP-MSCHAPv2 e i criteri di richiesta di connessione. Funziona. È collaudato. Ma comporta una serie di realtà operative che si accumulano nel tempo. La prima è la dipendenza dall'hardware. Il server NPS è una macchina fisica o virtuale che richiede patch, pianificazione della capacità e, infine, l'aggiornamento dell'hardware. In una distribuzione multi-sito — ad esempio, un gruppo alberghiero con proprietà in tutto il Regno Unito — vi trovate a eseguire un NPS centralizzato con dipendenza WAN, oppure a distribuire istanze NPS in ciascun sito gestendole singolarmente. Nessuna delle due soluzioni è elegante. Il secondo aspetto è la disponibilità. Una singola istanza NPS rappresenta un singolo punto di vulnerabilità per l'intera infrastruttura di autenticazione. Certamente è possibile implementare NPS in una configurazione di failover a due nodi, ma questo raddoppia i costi di hardware e licenze, senza comunque offrire la ridondanza geografica nativa di un servizio cloud. Il terzo aspetto è la scalabilità. NPS è stato progettato per ambienti LAN aziendali. Quando si gestiscono migliaia di richieste di autenticazione simultanee durante un evento in uno stadio o nei picchi di affluenza di un centro congressi, i limiti di throughput di una singola istanza NPS diventano evidenti. La latenza di autenticazione subisce dei picchi e gli utenti riscontrano errori di connessione proprio nel momento in cui non ci si può permettere alcun disservizio. Il RADIUS as a Service risolve tutti e tre questi vincoli a livello architetturale. Il provider RADIUS in cloud gestisce un cluster distribuito e geo-ridondante di server RADIUS. I tuoi access point puntano a endpoint RADIUS ospitati nel cloud anziché a un server on-premises. Le richieste di autenticazione vengono bilanciate sul cluster e il failover è automatico e trasparente. Il provider si occupa di patch, scalabilità della capacità e gestione dei certificati. Dal punto di vista del gestore di rete, il RADIUS diventa un servizio fruito anziché un componente da gestire. I protocolli di autenticazione in sé non cambiano. Continuerai a utilizzare lo standard IEEE 802.1X con EAP-TLS, PEAP-MSCHAPv2 o EAP-TTLS a seconda del mix di dispositivi client. La differenza risiede in dove risiede il server RADIUS e in chi è responsabile della sua continuità operativa. C'è un'importante considerazione sulla sicurezza che desidero affrontare direttamente, poiché emerge in quasi tutte le conversazioni con i clienti. Spostare il RADIUS nel cloud significa che il traffico di autenticazione attraversa la rete internet pubblica per raggiungere l'endpoint RADIUS in cloud. Questo rischio viene mitigato attraverso due meccanismi. In primo luogo, il traffico RADIUS tra il Network Access Server e il server RADIUS è protetto tramite un segreto condiviso e l'autenticazione dei messaggi basata su MD5. In secondo luogo, aspetto ancora più importante per le distribuzioni moderne, è opportuno utilizzare RadSec — ovvero RADIUS su TLS, definito nello standard RFC 6614 — che incapsula l'intera sessione RADIUS in un tunnel TLS. Questo garantisce una crittografia a livello di trasporto equivalente a HTTPS, eliminando la vulnerabilità MD5 e fornendo un'autenticazione reciproca tra il NAS e il server RADIUS. Qualsiasi provider RADIUS in cloud degno di nota dovrebbe supportare RadSec come standard. Sul fronte dell'integrazione delle identità, i servizi RADIUS in cloud supportano tipicamente connessioni LDAP e LDAPS verso Active Directory on-premises, oppure un'integrazione nativa con Azure Active Directory ed Entra ID tramite SAML o SCIM. Ciò significa che non è necessario migrare la directory degli utenti: il servizio RADIUS in cloud interroga l'archivio di identità esistente, preservando i processi di gestione del ciclo di vita degli utenti già attivi. Per le organizzazioni attente alla conformità — e questo include chiunque gestisca dati di carte di pagamento ai sensi dello standard PCI DSS, o dati personali ai sensi del GDPR — i provider RADIUS in cloud certificati SOC 2 Type II e accreditati ISO 27001 offrono un livello di conformità più solido rispetto a quello che la maggior parte delle organizzazioni può raggiungere con un'infrastruttura NPS gestita autonomamente. --- SEGMENTO 3: RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE Bene, parliamo di come eseguire concretamente questa migrazione senza mettere offline la vostra infrastruttura di autenticazione. La metodologia che raccomando prevede un approccio in cinque fasi. La prima fase è l'audit e l'inventario. Documentate ogni client RADIUS — ogni access point, ogni switch, ogni concentratore VPN — insieme al suo secret condiviso attuale, al metodo EAP utilizzato e a qualsiasi attributo specifico del fornitore presente nelle vostre policy NPS. È un lavoro poco entusiasmante, ma saltarlo è la causa numero uno del fallimento delle migrazioni. La seconda fase è l'implementazione pilota. Attivate la vostra istanza cloud RADIUS e indirizzate ad essa un SSID non di produzione o un singolo sito di test. Verificate che il vostro metodo EAP funzioni end-to-end, che l'integrazione dell'identità sia operativa e che i dati di accounting fluiscano correttamente. La terza fase è l'esecuzione in parallelo. Questo è il passaggio cruciale per la mitigazione del rischio. Configurate i vostri access point impostando come target di autenticazione sia il server NPS on-premises sia il server cloud RADIUS, con il servizio cloud come primario e l'NPS come fallback. Mantenete questa configurazione per almeno due settimane coprendo un intero ciclo aziendale. Monitorate i tassi di successo dell'autenticazione, la latenza e qualsiasi discrepanza nelle policy. La quarta fase è il cutover. Rimuovete la configurazione di fallback NPS e passate definitivamente a cloud RADIUS come unica infrastruttura di autenticazione. Eseguite questa operazione durante una finestra di manutenzione pianificata, assicurandovi di avere una procedura di rollback documentata e testata. La quinta fase è la disattivazione. Dopo aver convalidato il funzionamento stabile per trenta giorni dal cutover, disattivate i server NPS e recuperate le risorse hardware o delle macchine virtuali. Le trappole che vedo più frequentemente sono: problemi con la catena di attendibilità dei certificati — nello specifico, dispositivi client che non considerano attendibile il certificato del server cloud RADIUS perché la CA non è presente nel loro archivio attendibile. Risolvete questo problema tramite MDM o Group Policy prima del cutover. La seconda trappola comune riguarda le regole del firewall. Il cloud RADIUS richiede traffico UDP in uscita sulle porte 1812 e 1813 dai vostri access point verso gli endpoint cloud, oppure TCP 2083 per RadSec. Assicuratevi che il vostro perimetro di rete consenta questo traffico. Terzo: la complessità del secret condiviso. Se i secret condivisi NPS esistenti sono deboli, sfruttate la migrazione come opportunità per passare a secret crittograficamente forti o, meglio ancora, passate a RadSec ed eliminate completamente i secret condivisi. --- SEGMENTO 4: DOMANDE E RISPOSTE RAPIDE Passiamo in rassegna le domande che ricevo più spesso su questo argomento. Possiamo mantenere Active Directory on-premises? Sì, assolutamente. Il cloud RADIUS si collega al vostro AD on-premises tramite LDAPS. La vostra directory rimane esattamente dove si trova. Cosa succede se la nostra connessione internet si interrompe? Questo è il principale cambiamento di dipendenza. Con il cloud RADIUS, la connettività internet diventa una dipendenza per l'autenticazione. È possibile mitigare questo problema con collegamenti WAN ridondanti o con un proxy RADIUS locale che memorizza nella cache l'autenticazione per i dispositivi noti durante le interruzioni. Questo influisce sulla nostra conformità PCI DSS? Il passaggio a un provider cloud RADIUS certificato in genere migliora la vostra posizione di conformità. Assicuratevi che il vostro provider sia in grado di fornire report SOC 2 Type II e che sia incluso nell'ambito della valutazione annuale del QSA. Quanto tempo richiede una migrazione completa? Per un singolo sito, da due a quattro settimane. Per una rete multi-sito di cinquanta o più sedi, prevedete da tre a sei mesi con un roll-out graduale. --- SEGMENTO 5: RIEPILOGO E PROSSIMI PASSI Per concludere: i vantaggi della migrazione da NPS on-premises a RADIUS as a Service sono convincenti dal punto di vista operativo, finanziario e di conformità. La migrazione stessa presenta un rischio basso se eseguita con una fase strutturata di funzionamento in parallelo. Le decisioni tecniche chiave riguardano la selezione del metodo EAP, l'approccio di integrazione dell'identità e l'opportunità di implementare RadSec per la sicurezza del trasporto — cosa che raccomando caldamente per qualsiasi nuova implementazione. I vostri prossimi passi immediati: conducete l'audit dei vostri attuali client e policy RADIUS, contattate il vostro provider cloud RADIUS per un ambiente pilota e verificate le regole del firewall e le catene di attendibilità dei certificati prima di iniziare. Per le organizzazioni che utilizzano la piattaforma di accesso per gli ospiti di Purple WiFi, la funzionalità RADIUS as a Service si integra direttamente con il flusso di autenticazione del guest WiFi, offrendo un unico piano di controllo sia per l'autenticazione aziendale 802.1X che per la gestione dell'accesso alla rete ospiti — con analisi e report di conformità integrati. Grazie per l'attenzione. La guida di riferimento tecnico completa è disponibile sul sito web di Purple, e il nostro team di soluzioni è a disposizione per una conversazione preliminare di definizione dell'ambito se siete pronti a procedere. --- FINE DELLO SCRIPT

header_image.png

Executive Summary

Per quasi due decenni, il Network Policy Server (NPS) di Microsoft è stato l'implementazione RADIUS predefinita per le reti aziendali. Tuttavia, con la scalabilità dei gestori di sedi in diverse posizioni distribuite (dalle catene di negozi ai gruppi alberghieri globali), l'onere operativo legato alla gestione dell'infrastruttura di autenticazione on-premise è diventato un problema significativo.

La migrazione a RADIUS come servizio sposta l'autenticazione da un componente hardware gestito a un servizio cloud consumato. Questa transizione architetturale elimina il singolo punto di errore intrinseco nelle implementazioni NPS autonome, rimuove i cicli di aggiornamento hardware e fornisce la scalabilità elastica richiesta per ambienti ad alta densità come stadi e centri congressi. Per gli IT manager e i progettisti di rete, questa guida fornisce una metodologia strutturata e neutrale rispetto ai fornitori per migrare l'autenticazione 802.1X sul cloud senza influire sul traffico di produzione, garantendo la conformità con PCI DSS e GDPR, e riducendo l'OpEx dell'infrastruttura di autenticazione fino all'80%.

Approfondimento Tecnico: Architettura e Standard

Per comprendere la migrazione, dobbiamo prima esaminare il cambiamento architetturale nel modo in cui viene fornito il controllo dell'accesso basato su porta IEEE 802.1X.

I Limiti di NPS On-Premise

In un'implementazione tradizionale, gli access point fungono da Network Access Server (NAS), inoltrando le richieste di autenticazione a un server NPS on-premise. Il server NPS valuta le policy di richiesta di connessione, convalida le credenziali rispetto a un archivio di identità (solitamente Active Directory tramite LDAP) e restituisce un messaggio di Access-Accept o Access-Reject.

Questo modello presenta tre vincoli critici per le reti moderne:

  1. Dipendenza dall'Hardware e Manutenzione: NPS richiede macchine fisiche o virtuali dedicate, che richiedono patch continue, pianificazione della capacità e gestione del ciclo di vita.
  2. Complessità dell'Alta Affidabilità: Per ottenere la ridondanza è necessario implementare NPS in una coppia di failover, raddoppiando i costi di licenza senza fornire una reale ridondanza geografica.
  3. Colli di Bottiglia del Throughput: Durante i picchi di concorrenza, come l'afflusso in uno stadio o le ore di punta del commercio al dettaglio, una singola istanza NPS può diventare un collo di bottiglia, causando timeout di autenticazione e un'esperienza utente degradata.

L'Architettura Cloud RADIUS

RADIUS come servizio astrae il livello di autenticazione. I cloud provider gestiscono cluster distribuiti e geograficamente ridondanti di server RADIUS. Il NAS punta a questi endpoint cloud e le richieste vengono bilanciate automaticamente in base al carico.

architecture_comparison.png

Sicurezza del Trasporto: Il Ruolo di RadSec Quando si sposta RADIUS nel cloud, il traffico di autenticazione attraversa l'internet pubblico. Mentre il RADIUS tradizionale utilizza un segreto condiviso e l'hashing MD5, le implementazioni moderne devono implementare RadSec (RADIUS su TLS, RFC 6614). RadSec avvolge l'intera conversazione RADIUS in un tunnel TLS (solitamente porta TCP 2083), fornendo una crittografia a livello di trasporto equivalente a HTTPS e un'autenticazione reciproca tra il NAS e l'endpoint RADIUS nel cloud.

Integrazione dell'identità Il cloud RADIUS non richiede la migrazione della directory degli utenti. I servizi supportano tipicamente connessioni LDAPS verso l'Active Directory on-premises o integrazioni API native con Azure Active Directory (Entra ID) tramite SAML o SCIM. Ciò garantisce che i processi esistenti di gestione del ciclo di vita degli utenti rimangano intatti.

Per le sedi che sfruttano piattaforme di Guest WiFi , il cloud RADIUS si integra direttamente, fornendo un piano di controllo unificato sia per l'autenticazione aziendale 802.1X sia per l'accesso alla rete guest, completo di strumenti avanzati di WiFi Analytics .

Guida all'implementazione: una metodologia in 5 fasi

Eseguire una migrazione senza tempi di inattività richiede un approccio strutturato e graduale.

migration_checklist.png

Fase 1: Audit e inventario

Prima di apportare modifiche, documentare lo stato attuale:

  • Client RADIUS: identificare ogni NAS (access point, switch, concentratori VPN).
  • Policy: documentare le policy di rete e di richiesta di connessione NPS esistenti, inclusi i Vendor-Specific Attributes (VSA) utilizzati per l'assegnazione delle VLAN.
  • Metodi EAP: identificare quali metodi Extensible Authentication Protocol sono in uso (es. EAP-TLS, PEAP-MSCHAPv2).

Fase 2: Implementazione pilota

Configurare l'istanza cloud RADIUS e definire un SSID non di produzione o un singolo sito di test. Convalidare l'integrazione con la directory delle identità (es. sincronizzazione con Entra ID) e assicurarsi che il metodo EAP funzioni end-to-end.

Fase 3: Esecuzione in parallelo (mitigazione del rischio)

Configurare i dispositivi NAS di produzione in modo da utilizzare sia il server cloud RADIUS (primario) sia il server NPS legacy (fallback). Mantenere questa configurazione per un minimo di due settimane. Monitorare i tassi di successo dell'autenticazione, le metriche di latenza e i flussi di dati di accounting per identificare eventuali discrepanze nelle policy prima del passaggio definitivo.

Fase 4: Passaggio definitivo (Cutover)

Durante una finestra di manutenzione programmata, rimuovere la configurazione di fallback NPS legacy dai dispositivi NAS. Passare interamente all'infrastruttura cloud. Assicurarsi che la procedura di rollback sia documentata e testata.

Fase 5: Dismissione

Dopo 30 giorni di funzionamento stabile, dismettere in sicurezza i server NPS legacy e recuperare le risorse di calcolo.

Best Practice e conformità

Nella progettazione dell'architettura cloud RADIUS, attenersi ai seguenti standard:

  • Obbligo RadSec: Non inviare mai traffico RADIUS sulla rete internet pubblica utilizzando lo standard UDP 1812/1813 se il RadSec (TCP 2083) è supportato dal vostro hardware NAS.
  • Catene di attendibilità dei certificati: Assicurarsi che i dispositivi client considerino attendibile l'Autorità di Certificazione (CA) che ha emesso il certificato del server cloud RADIUS. Distribuire la CA radice sui dispositivi gestiti tramite MDM o Criteri di gruppo prima della migrazione.
  • Livello di conformità: Selezionare un provider cloud RADIUS che mantenga la certificazione SOC 2 Type II e l'accreditamento ISO 27001. Questo semplifica notevolmente le valutazioni annuali PCI DSS, in particolare per i settori del Retail e dell' Hospitality .

Per principi di progettazione di rete più ampi, consultare le nostre guide su Configurazione del WiFi per le aziende: Una guida per il 2026 e Comprendere l'RSSI e la potenza del segnale per una pianificazione ottimale dei canali .

Risoluzione dei problemi e mitigazione dei rischi

Modalità di guasto Causa principale Strategia di mitigazione
Timeout di autenticazione Il firewall blocca il traffico in uscita UDP 1812/1813 o TCP 2083. Verificare che le regole del firewall perimetrale consentano il traffico in uscita verso gli intervalli IP specifici del provider cloud RADIUS.
Errori di attendibilità del certificato I dispositivi client non hanno la CA radice nel loro archivio attendibile. Distribuire la CA radice tramite MDM/GPO prima della Fase 3 (Esecuzione in parallelo).
Assegnazione VLAN non riuscita Gli attributi specifici del fornitore (VSA) non sono mappati correttamente nei criteri cloud. Replicare gli esatti formati delle stringhe VSA da NPS al motore dei criteri cloud RADIUS durante la Fase 1.
Impatto dell'interruzione della WAN La perdita di internet interrompe l'accesso al cloud RADIUS. Distribuire collegamenti WAN ridondanti o implementare un proxy RADIUS locale che memorizzi nella cache le credenziali per i dispositivi noti.

ROI e impatto aziendale

La migrazione a RADIUS as a Service offre risultati aziendali misurabili:

  • Riduzione dei costi: Elimina l'acquisto di hardware, le licenze di Windows Server e le ore di ingegneria dedicate a patch e manutenzione. La tipica riduzione delle OpEx è del 60-80%.
  • SLA di affidabilità: I provider cloud offrono SLA di uptime del 99,99% supportati finanziariamente, rispetto al tipico 97-98% ottenuto con le distribuzioni NPS in un unico sito.
  • Agilità: Nuovi siti possono essere attivati istantaneamente senza dover predisporre hardware di autenticazione locale, accelerando i tempi di implementazione per gli hub di Trasporti e le strutture Sanitarie .

Ascoltate il nostro team di consulenza senior discutere le implicazioni strategiche in questo briefing di 10 minuti:

Definizioni chiave

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce la gestione centralizzata di autenticazione, autorizzazione e tracciamento (AAA - Authentication, Authorization, and Accounting) per gli utenti che si connettono e utilizzano un servizio di rete.

Il protocollo fondamentale utilizzato dalle reti WiFi aziendali per convalidare le credenziali degli utenti prima di concedere l'accesso alla rete.

NPS (Network Policy Server)

L'implementazione di Microsoft di un server e proxy RADIUS, integrata come ruolo in Windows Server.

La vecchia infrastruttura on-premises da cui le organizzazioni stanno migrando attivamente per ridurre i costi di manutenzione.

NAS (Network Access Server)

Il dispositivo che funge da gateway per la rete e trasmette le richieste di autenticazione al server RADIUS.

In un contesto wireless, il NAS è tipicamente l'Access Point WiFi o il Wireless LAN Controller.

RadSec (RADIUS over TLS)

Un protocollo definito nello standard RFC 6614 che trasporta pacchetti RADIUS su una connessione TCP crittografata con TLS.

Essenziale per le implementazioni cloud RADIUS per garantire che i dati delle credenziali siano crittografati durante il transito sulla rete internet pubblica.

EAP (Extensible Authentication Protocol)

Un framework di autenticazione utilizzato frequentemente nelle reti wireless e nelle connessioni point-to-point.

Determina il modo in cui il client e il server si scambiano in modo sicuro le credenziali (ad es. certificati tramite EAP-TLS o password tramite PEAP).

VSA (Vendor-Specific Attribute)

Attributi personalizzati definiti dai fornitori di hardware all'interno del protocollo RADIUS per supportare funzionalità proprietarie.

Cruciale durante la migrazione; i VSA sono spesso utilizzati per assegnare dinamicamente gli utenti autenticati a specifiche VLAN di rete.

LDAPS (Lightweight Directory Access Protocol over SSL)

Un protocollo sicuro per interrogare e modificare i servizi di directory come Active Directory.

Utilizzato dai servizi cloud RADIUS per interrogare in modo sicuro gli archivi di identità on-premises senza migrare la directory degli utenti nel cloud.

802.1X

Uno standard IEEE per il controllo dell'accesso alla rete basato su porta (PNAC).

Lo standard sottostante che utilizza RADIUS per garantire che solo i dispositivi autenticati possano trasmettere traffico sulla LAN o WLAN aziendale.

Esempi pratici

Un gruppo alberghiero con 200 strutture utilizza attualmente server NPS locali in ciascun sito per l'autenticazione 802.1X del personale. Sta migrando a Entra ID (Azure AD) e desidera dismettere i server locali. Come dovrebbe procedere per la migrazione?

  1. Distribuire un servizio cloud RADIUS che si integri nativamente con Entra ID tramite SAML/SCIM.
  2. Configurare i criteri del cloud RADIUS per mappare i gruppi di Entra ID (ad es. 'Front Desk', 'Management') su specifiche VLAN VSA.
  3. Presso una struttura pilota, configurare gli access point per utilizzare RadSec per la connessione all'endpoint cloud RADIUS.
  4. Distribuire la CA radice del server cloud RADIUS su tutti i dispositivi del personale tramite Microsoft Intune.
  5. Eseguire l'autenticazione in parallelo nel sito pilota, quindi procedere con un roll-out graduale nelle restanti 199 strutture.
Commento dell'esaminatore: Questo approccio rimuove 200 server fisici/virtuali dall'infrastruttura, riducendo drasticamente la superficie di attacco e i costi di manutenzione. L'integrazione diretta con Entra ID elimina la necessità di complesse VPN site-to-site verso un Active Directory centrale.

Uno stadio con una capacità di 50.000 persone riscontra errori di autenticazione sul proprio SSID aziendale durante i grandi eventi, poiché il server NPS on-premises non riesce a gestire il throughput di migliaia di dispositivi in roaming simultaneo.

  1. Analizzare i criteri NPS esistenti e i metodi EAP.
  2. Configurare un servizio cloud RADIUS in grado di scalare automaticamente per gestire un numero elevato di autenticazioni al secondo (APS).
  3. Stabilire una connessione LDAPS dal servizio cloud RADIUS all'Active Directory on-premises dello stadio.
  4. Aggiornare i controller LAN wireless ad alta densità dello stadio affinché puntino agli endpoint cloud RADIUS come server di autenticazione primari.
Commento dell'esaminatore: Spostando l'elaborazione RADIUS su un cluster cloud, lo stadio sfrutta risorse di calcolo elastiche che scalano dinamicamente durante l'afflusso agli eventi, risolvendo il collo di bottiglia senza richiedere alla struttura di sovradimensionare costose apparecchiature hardware locali.

Domande di esercitazione

Q1. La tua organizzazione sta migrando a Cloud RADIUS. Il team di sicurezza impone che nessun traffico di autenticazione possa essere inviato su internet in chiaro o utilizzando algoritmi di hashing obsoleti come MD5. Quale protocollo devi configurare sui tuoi controller LAN wireless?

Suggerimento: Cerca il protocollo che racchiude RADIUS all'interno di un tunnel TLS.

Visualizza risposta modello

Devi configurare RadSec (RADIUS over TLS). RadSec stabilisce un tunnel TLS su porta TCP 2083 tra il NAS e il server RADIUS cloud, garantendo la crittografia a livello di trasporto e la mutua autenticazione, soddisfacendo così i requisiti del team di sicurezza.

Q2. Durante la Fase 3 (Esecuzione Parallela) della migrazione, noti che gli utenti si autenticano correttamente sul server RADIUS cloud, ma non vengono inseriti nei segmenti di rete corretti. Qual è la lacuna di configurazione più probabile?

Suggerimento: In che modo un server RADIUS comunica a un access point quale segmento di rete utilizzare?

Visualizza risposta modello

I Vendor-Specific Attributes (VSA) per l'assegnazione dinamica della VLAN non sono stati configurati correttamente nelle policy del RADIUS cloud. Devi assicurarti che le stringhe VSA esatte utilizzate nel server NPS legacy siano replicate nell'ambiente cloud, in modo che il NAS sappia quale VLAN assegnare all'utente.

Q3. Un dispositivo client fallisce ripetutamente l'autenticazione EAP-TLS con il nuovo servizio RADIUS cloud, ma funziona correttamente con il server NPS legacy. I log del dispositivo mostrano un errore di 'server non attendibile'. Come risolvi questo problema?

Suggerimento: EAP-TLS richiede che il client si fidi dell'identità del server.

Visualizza risposta modello

Il dispositivo client non ha l'Autorità di Certificazione (CA) Root che ha emesso il certificato del server RADIUS cloud nel proprio archivio root attendibile. È necessario distribuire la CA Root al dispositivo client utilizzando una soluzione di Mobile Device Management (MDM) o una Group Policy.

Continua a leggere questa serie

I vantaggi in termini di sicurezza di RADIUS as a Service per la forza lavoro ibrida

Questa guida di riferimento tecnico spiega come RADIUS as a Service protegga l'accesso alla rete per la forza lavoro ibrida all'interno di sedi distribuite. Copre l'architettura, i vantaggi in termini di sicurezza e i passaggi di implementazione per sostituire l'infrastruttura RADIUS on-premise con un servizio di autenticazione gestito in cloud. Per i responsabili IT e gli architetti di rete di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico, questa guida fornisce gli elementi necessari per valutare e avviare la migrazione a un servizio RADIUS cloud in questo trimestre.

Leggi la guida →

Integrazione di RADIUS as a Service con directory cloud (Azure AD e Google Workspace)

Questa guida tecnica di riferimento descrive in dettaglio come integrare RADIUS as a Service con le directory cloud - Microsoft Entra ID e Google Workspace - per l'autenticazione WiFi aziendale. Copre il passaggio architetturale da NPS on-premise a RADIUS cloud-native, l'implementazione dell'autenticazione EAP-TLS basata su certificati e le migliori pratiche operative per proteggere l'accesso wireless negli ambienti dell'ospitalità, della vendita al dettaglio e del settore pubblico. Per i responsabili IT e gli architetti di rete che hanno già investito nell'identità cloud, questa guida colma il divario tra la gestione delle directory e la sicurezza della rete fisica.

Leggi la guida →

Come implementare l'autenticazione 802.1X con Cloud RADIUS

Questa guida di riferimento tecnico fornisce un framework completo per l'implementazione dell'autenticazione 802.1X con Cloud RADIUS in infrastrutture aziendali distribuite. Descrive in dettaglio l'architettura, la selezione del metodo EAP, la sequenza di implementazione e le strategie di mitigazione del rischio necessarie per proteggere l'accesso alla rete eliminando al contempo i costi operativi dell'infrastruttura on-premises.

Leggi la guida →