Cos'è Cloud RADIUS? Una guida completa a RADIUS as a Service

Questa guida completa esplora Cloud RADIUS (RADIUS as a Service), descrivendone in dettaglio l'architettura, i metodi EAP e le strategie di implementazione. Fornisce ai responsabili IT informazioni utili per migrare dai server on-premise a un modello di autenticazione basato su cloud scalabile, sicuro e conforme.

📖 5 minuti di lettura📝 1,077 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Che cos'è Cloud RADIUS? Una guida completa a RADIUS as a Service.

Benvenuti al Purple WiFi Intelligence Podcast. Sono il vostro ospite e oggi faremo un approfondimento su Cloud RADIUS: cos'è, come funziona dietro le quinte e, soprattutto, come valutare se sia la mossa giusta per la vostra organizzazione in questo trimestre. Che si tratti di un gruppo alberghiero, di una rete di vendita al dettaglio, di uno stadio o di una rete del settore pubblico, questo episodio fa al caso vostro.

Prepariamo lo scenario.

Introduzione e contesto.

Se vi è mai capitato di dover spiegare a un consiglio di amministrazione perché il server di autenticazione di rete è andato in crash alle 2 del mattino — e perché ci sono volute tre ore per ripristinarlo — avete già compreso il problema principale che Cloud RADIUS risolve. L'infrastruttura RADIUS on-premises tradizionale è potente, ma comporta costi operativi significativi. Hardware da acquistare, cicli di patch da gestire, ridondanza da progettare manualmente e un unico punto di vulnerabilità (single point of failure) situato nella sala server.

Cloud RADIUS, o RADIUS as a Service, sposta questo livello di autenticazione in un ambiente cloud gestito e ad alta disponibilità. Il protocollo in sé — Remote Authentication Dial-In User Service — non è cambiato. Rimane la spina dorsale del controllo dell'accesso alla rete IEEE 802.1X, nonché il meccanismo utilizzato dagli access point per convalidare chi accede alla rete. Ma l'infrastruttura che lo gestisce è ora un problema di qualcun altro. E nell'IT aziendale, questo rappresenta un cambiamento significativo.

Entriamo quindi nei dettagli tecnici.

Approfondimento tecnico.

Il protocollo RADIUS è stato originariamente definito nella RFC 2865, pubblicata nel 2000, ed è rimasto incredibilmente solido nel tempo. Il protocollo opera su un modello client-server. Il dispositivo di accesso alla rete — che si tratti di un access point WiFi, di un concentratore VPN o di uno switch cablato — funge da client RADIUS, chiamato anche Network Access Server o NAS. Quando un utente tenta di connettersi, il NAS inoltra un pacchetto Access-Request al server RADIUS, che convalida le credenziali confrontandole con una directory utenti (in genere Active Directory, LDAP o un provider di identità cloud) e restituisce un pacchetto Access-Accept o Access-Reject.

Questo è lo scambio fondamentale. Ma la vera complessità risiede in ciò che avviene intorno ad esso: metodi EAP, assegnazione delle VLAN, applicazione delle policy, record di accounting e gestione dei certificati.

In un'installazione on-premises tradizionale, FreeRADIUS o Microsoft NPS vengono eseguiti su hardware dedicato, gestendo i propri certificati, configurando il proprio failover e mantenendo la sincronizzazione del database utenti. Per un'installazione in un'unica sede con un team IT competente, questo è gestibile. Per una rete retail di 50 punti vendita o per un gruppo alberghiero con strutture in diversi Paesi, diventa un onere operativo non indifferente.

Cloud RADIUS semplifica tutto questo. La logica di autenticazione, l'infrastruttura dei certificati, la ridondanza e il motore delle policy vengono forniti come servizio gestito. I tuoi access point puntano a endpoint RADIUS ospitati nel cloud (in genere un indirizzo IP primario e uno secondario) e il servizio gestisce tutto ciò che sta dietro.

Ora parliamo dei metodi di autenticazione, perché è qui che le decisioni tecniche contano davvero.

Il metodo EAP più comune nei sistemi WiFi aziendali è PEAP (Protected EAP), che incapsula MSCHAPv2 all'interno di una sessione TLS. È ampiamente supportato, funziona nativamente con Active Directory ed è l'impostazione predefinita per la maggior parte dei dispositivi Windows e Android. Tuttavia, PEAP presenta vulnerabilità note, in particolare per quanto riguarda la validazione dei certificati. Se i dispositivi client non sono configurati per verificare il certificato del server, sei esposto ad attacchi di furto di credenziali tramite access point non autorizzati.

EAP-TLS rappresenta il gold standard. Utilizza l'autenticazione reciproca tramite certificato (sia il server che il client presentano i certificati), eliminando completamente la superficie di attacco basata su password. Il compromesso è la distribuzione dei certificati client, che richiede un'infrastruttura PKI e l'integrazione con un MDM. Per le flotte di dispositivi gestiti, questa è in assoluto la scelta giusta. Per gli ambienti BYOD, è più complesso.

Vale la pena conoscere anche EAP-TTLS ed EAP-FAST. TTLS è particolarmente comune negli ambienti in cui è necessario supportare un'ampia gamma di dispositivi client, inclusi i sistemi Linux. EAP-FAST è stato sviluppato da Cisco come alternativa a PEAP che evita la dipendenza dalla validazione del certificato, utilizzando invece le Protected Access Credentials.

Un servizio Cloud RADIUS ben progettato supporta tutti questi metodi e consente di configurare policy per SSID; in questo modo, l'SSID aziendale utilizza EAP-TLS con validazione del certificato, l'SSID del personale utilizza PEAP con Active Directory e la rete ospiti utilizza un Captive Portal o un flusso di login social completamente separato dallo stack RADIUS.

A questo proposito, il RADIUS e il WiFi ospiti vengono spesso confusi, ma servono a scopi diversi. RADIUS è il tuo livello di autenticazione e autorizzazione per utenti e dispositivi noti. Il WiFi ospiti utilizza in genere un flusso con Captive Portal, che è un meccanismo completamente diverso. La piattaforma di Purple, ad esempio, gestisce l'autenticazione degli ospiti attraverso un livello di identità separato, acquisendo dati di prima parte e consentendo la marketing automation, mentre RADIUS gestisce il controllo degli accessi alla rete aziendale e del personale. Si tratta di sistemi complementari, non concorrenti.

Ora parliamo di cosa significa concretamente "ospitato in cloud". Un servizio Cloud RADIUS con un'architettura corretta viene eseguito su più zone di disponibilità, con failover automatico. Le richieste di autenticazione sono bilanciate tra i nodi e il servizio mantiene tempi di risposta inferiori a 100 millisecondi anche in condizioni di picco di carico. Per uno stadio che gestisce 40.000 connessioni simultanee durante un evento, questo profilo di latenza e throughput è fondamentale. Un singolo server on-premises semplicemente non può eguagliare tale elasticità.

Dal punto di vista della conformità, i provider Cloud RADIUS che operano nel Regno Unito e nell'UE devono essere conformi al GDPR nel modo in cui gestiscono i log di autenticazione e i dati degli utenti. Per gli ambienti retail e hospitality che elaborano anche i dati delle carte di pagamento, i requisiti PCI DSS relativi alla segmentazione della rete e al controllo degli accessi sono direttamente rilevanti: il RADIUS fa parte del tuo ambiente di controllo e il tuo QSA vorrà vedere le prove di una corretta configurazione e della registrazione dei log di audit.

Vale la pena affrontare anche il tema del WPA3. La transizione da WPA2 a WPA3 introduce la Simultaneous Authentication of Equals (SAE) per le reti personali e la WPA3-Enterprise per gli ambienti aziendali. La WPA3-Enterprise impone la modalità di sicurezza a 192 bit per la classificazione più elevata, il che richiede metodi EAP e suite di cifratura specifici. Un servizio Cloud RADIUS deve supportare queste configurazioni per essere a prova di futuro.

Raccomandazioni di implementazione ed errori da evitare.

Bene, passiamo alla pratica. Se stai valutando il Cloud RADIUS per l'implementazione in questo trimestre, ecco su cosa mi concentrerei.

In primo luogo, l'integrazione con il tuo identity provider. Il tuo servizio Cloud RADIUS deve sincronizzarsi con il luogo in cui risiedono effettivamente i tuoi utenti, che si tratti di Microsoft Entra ID (precedentemente Azure AD), Google Workspace, Okta o un Active Directory on-premises tramite proxy LDAP. La qualità di questa integrazione determina il tuo sovraccarico operativo. Il provisioning nativo SAML o SCIM è di gran lunga preferibile alle importazioni manuali di file CSV.

In secondo luogo, la gestione dei certificati. Se stai implementando EAP-TLS, hai bisogno di una risposta chiara su come i certificati client vengono emessi, rinnovati e revocati. I migliori servizi Cloud RADIUS includono una PKI integrata o si integrano perfettamente con la tua autorità di certificazione esistente. La scadenza del certificato è una delle cause più comuni di errore di autenticazione nel WiFi aziendale: è del tutto evitabile con una corretta automazione.

In terzo luogo, la compatibilità dei dispositivi di rete. I tuoi punti di accesso devono supportare l'autenticazione RADIUS (praticamente tutti gli AP di livello enterprise lo fanno), ma devi verificare i metodi EAP specifici e gli attributi RADIUS supportati dal servizio scelto rispetto all'implementazione del fornitore dei tuoi AP. Cisco, Aruba, Juniper Mist e Ruckus presentano tutti sfumature diverse nel modo in cui gestiscono gli attributi RADIUS e i messaggi CoA (Change of Authorisation).

Quarto: la configurazione della ridondanza. Configura sempre sia un IP del server RADIUS primario che uno secondario. Il timeout di failover sui dispositivi NAS è fondamentale: se impostato su un valore troppo alto, gli utenti subiranno un ritardo di autenticazione di 30 secondi quando il server primario non è raggiungibile. Un timeout da 3 a 5 secondi con failover immediato è la configurazione corretta per la maggior parte degli ambienti.

Quinto (e questo è l'aspetto che spesso sfugge): l'accounting. I record di accounting RADIUS costituiscono il tuo audit trail. Ti dicono chi si è connesso, da quale dispositivo, a che ora e per quanto tempo. Ai fini della conformità, in particolare negli ambienti sanitari e del settore pubblico, questi record devono essere conservati e accessibili. Assicurati che il tuo fornitore di Cloud RADIUS ti offra l'accesso ai dati di accounting, non solo ai log di autenticazione.

Errori comuni: la complessità del shared secret. Il tuo shared secret RADIUS (la chiave precondivisa tra il NAS e il server RADIUS) deve essere lungo e casuale. Gli shared secret brevi o facilmente indovinabili rappresentano un reale vettore di attacco. Utilizza almeno 32 caratteri, generati casualmente, e ruotali periodicamente.

Presta attenzione anche al whitelisting degli IP. Molti servizi Cloud RADIUS richiedono di inserire in whitelist gli IP di origine dei tuoi dispositivi NAS. In un ambiente cloud dinamico in cui la tua piattaforma di gestione degli AP potrebbe utilizzare il NAT, ciò può causare errori di autenticazione imprevisti. Verifica il comportamento del NAT della tua rete prima dell'implementazione.

Domande e risposte rapide.

Rispondo rapidamente ad alcune domande che mi vengono poste regolarmente.

Il Cloud RADIUS può supportare ambienti multi-tenant? Sì, la maggior parte dei servizi Cloud RADIUS aziendali supporta l'isolamento dei tenant, consentendo a un managed service provider di gestire policy RADIUS separate per più clienti da un'unica piattaforma.

Qual è la latenza tipica per un'autenticazione Cloud RADIUS? Meno di 100 millisecondi per un servizio ben progettato. L'handshake 802.1X in sé aggiunge un po' di overhead, ma per la maggior parte dei metodi EAP, il tempo totale di autenticazione dovrebbe essere inferiore a 500 millisecondi end-to-end.

Il Cloud RADIUS funziona con OpenRoaming? Sì. OpenRoaming (il framework di roaming della Wireless Broadband Alliance) si basa sulla federazione RADIUS. Un servizio Cloud RADIUS che supporta Hotspot 2.0 e OpenRoaming consente ai tuoi utenti di autenticarsi automaticamente sulle reti partecipanti a livello globale. Purple supporta OpenRoaming con la sua licenza Connect, agendo come identity provider nella federazione.

Il Cloud RADIUS è adatto per ambienti ad alta sicurezza? Per la maggior parte degli ambienti aziendali, sì. Per ambienti con dati classificati o specifiche classificazioni di sicurezza governative, potrebbe essere necessario valutare se un servizio cloud gestito soddisfi i tuoi requisiti di accreditamento specifici.

Riepilogo e prossimi passi.

Per riassumere: Cloud RADIUS è un approccio maturo e pronto per la produzione al controllo degli accessi di rete, che elimina l'onere operativo dell'infrastruttura RADIUS on-premises senza scendere a compromessi in termini di sicurezza o funzionalità. Per le organizzazioni multi-sito, il ROI è evidente: si eliminano le spese in conto capitale per l'hardware, si riducono i costi generali IT, si ottiene una ridondanza integrata e si usufruisce di un servizio che si adegua alle dimensioni del patrimonio immobiliare.

Le decisioni chiave riguardano: quale metodo EAP è più adatto alla flotta di dispositivi, come integrarsi con l'identity provider esistente e se il servizio scelto offre le funzionalità di conformità e di audit richieste dall'organizzazione.

Se gestite un gruppo alberghiero, una catena di negozi o reti del settore pubblico, il mio consiglio è di iniziare con un proof-of-concept su un singolo sito: impostate correttamente la configurazione RADIUS, convalidate l'integrazione con il vostro identity provider e misurate la latenza di autenticazione prima di procedere alla distribuzione sull'intera rete.

Per saperne di più su WiFi analytics, gestione delle reti guest e su come la piattaforma di Purple si integra con l'autenticazione basata su RADIUS, visitate purple.ai. Grazie per l'attenzione.

Punti chiave

✓Cloud RADIUS elimina le spese in conto capitale (capex) e i costi di manutenzione dei server di autenticazione on-premises.
✓Offre scalabilità elastica e ridondanza globale, essenziali per ambienti retail distribuiti, hospitality e aziendali.
✓La migrazione a EAP-TLS tramite Cloud RADIUS rappresenta il gold standard per proteggere le reti dal furto di credenziali.
✓L'integrazione fluida con i moderni IdP (Entra ID, Google Workspace) tramite SCIM automatizza il provisioning e la disattivazione degli utenti.
✓Una corretta configurazione del NAS, inclusi timeout di failover di 3-5 secondi e segreti condivisi complessi, è fondamentale per l'affidabilità.
✓I log di Accounting generati da Cloud RADIUS sono obbligatori per dimostrare la conformità con PCI DSS e GDPR.
✓RADIUS gestisce l'accesso degli utenti noti, mentre le piattaforme di Guest WiFi gestiscono il coinvolgimento dei visitatori e l'acquisizione dei dati.

执行摘要

对于现代企业网络，传统本地部署的 RADIUS (Remote Authentication Dial-In User Service) 架构构成了一个重大的运维瓶颈。管理物理服务器、打操作系统补丁、处理证书颁发机构以及设计多站点冗余会消耗宝贵的 IT 资源。Cloud RADIUS（或称 RADIUS 即服务）通过将 IEEE 802.1X 认证层迁移到托管的、高可用的云基础设施来解决这一问题。本指南为评估部署策略的 IT 经理、网络架构师和 CTO 提供了 Cloud RADIUS 的全面技术概述。通过从资本支出高、手动维护的系统转变为弹性的、全球分布式的模型，零售、酒店和交通行业的组织可以执行强大的访问策略，实现合规性（如 PCI DSS 和 GDPR），并与 Microsoft Entra ID 和 Google Workspace 等现代身份提供商无缝集成。

技术深度解析

RADIUS 架构的演变

RADIUS 最初在 RFC 2865 中定义，它基于客户端-服务器模型运行，其中网络接入服务器 (NAS) —— 例如 WiFi 接入点或 VPN 集中器 —— 将认证请求转发到中央服务器。在过去，这意味着在专用硬件上部署 FreeRADIUS 或 Microsoft 网络策略服务器 (NPS)。虽然这对于单站点部署是可行的，但在分布式环境中扩展此架构会带来显着的延迟和冗余挑战。

Cloud RADIUS 抽象了底层基础设施。认证请求被路由到全球分布的云端点，即使在峰值负载下也能确保低于 100 毫秒的响应时间。这种弹性对于体育场馆或会议中心等高密度环境至关重要。

EAP 方法与安全态势

可扩展身份验证协议 (EAP) 方法的选择从根本上决定了您的安全态势：

PEAP (Protected EAP): 在 TLS 会话中建立 MSCHAPv2 隧道。虽然 PEAP 得到广泛支持且易于与 Active Directory 集成，但如果客户端设备未严格配置为验证服务器证书，则 PEAP 容易受到通过流氓接入点进行凭据窃取的影响。
EAP-TLS： 企业级黄金标准。它要求进行双向证书身份验证——服务器和客户端都必须出示有效的证书。这完全消除了基于密码的攻击，但需要强大的公钥基础设施（PKI）和移动设备管理（MDM）集成来进行证书部署。
EAP-TTLS 和 EAP-FAST： 提供替代方案，适用于需要广泛的客户端兼容性（包括遗留系统或 Linux 系统）或者需要使用受保护的访问凭据（PAC）来绕过证书验证依赖项的场景。

WPA3 和 OpenRoaming 集成

现代部署必须考虑 WPA3-Enterprise，它强制要求 192 位安全模式以达到最高安全级别，这需要特定的密码套件。此外，Cloud RADIUS 还有助于参与 OpenRoaming 等联盟框架。例如，Purple 在其 Connect 许可下作为 OpenRoaming 的免费身份提供商，允许在全球参与的各网络之间进行无缝、安全的身份验证。

实施指南

部署 Cloud RADIUS 需要采用系统化的方法，以确保过渡期间的零停机时间。

第 1 步：身份提供商（IdP）集成

您的 Cloud RADIUS 实例必须与您的权威用户目录同步。与 Microsoft Entra ID、Google Workspace 或 Okta 进行原生 SAML 或 SCIM 配置，比手动 LDAP 代理或 CSV 导入更值得推荐。这可以确保当员工在 HR 系统中办理离职时，其网络访问权限会立即被撤销。

第 2 步：证书管理策略

如果部署 EAP-TLS，请定义您的证书生命周期。选择一个包含集成 PKI 或与您现有的证书颁发机构（CA）无缝集成的 Cloud RADIUS 提供商。通过您的 MDM 平台（例如 Intune 或 Jamf）自动进行证书的颁发和撤销，以防止因证书过期而导致身份验证失败。

第 3 步：网络设备配置

配置您的 NAS 设备（接入点、交换机）以指向主和备 Cloud RADIUS IP 地址。确保共享密钥在密码学上足够复杂（最少 32 个随机字符）。调整故障转移超时设置；3 到 5 秒的超时是最理想的，可以防止在主节点无法访问时出现长时间的身份验证延迟。

第 4 步：策略定义

建立基于每个 SSID 的策略。例如，企业网络强制执行 EAP-TLS，遗留物联网设备执行 PEAP，并隔离访客访问。请注意，RADIUS 处理已知用户；对于访客，请部署专用的 Guest WiFi 解决方案和 Captive Portal 以收集一手数据，并与 WiFi Analytics 平台进行集成。有关访客互动的更多信息，请参考如何提高访客满意度：终极指南。

最佳实践

实施严格的服务器证书验证： 对于 PEAP 部署，推送组策略或 MDM 配置文件，强制客户端验证 RADIUS 服务器证书，并将信任限制在特定的根 CA。
细分计费与认证流量： 确保对 RADIUS 计费数据进行主动监控和保留。此审计跟踪对于合规性报告（例如 PCI DSS、HIPAA）至关重要。
监控认证延迟： 高延迟通常表明路由欠佳或 IdP 同步存在问题。使用监控工具追踪从 Access-Request 到 Access-Accept 数据包所需的时间。
优化信号与信道规划： 可靠的认证依赖于稳定的物理层。审阅诸如 Understanding RSSI and Signal Strength for Optimal Channel Planning 的指南，以确保您的射频环境支持无缝的 802.1X 漫游。

故障排除与风险缓解

即使使用托管服务，配置错误也可能导致访问失败。常见的失败模式包括：

证书过期： EAP-TLS 失败的首要原因。缓解措施： 在 CA 或服务器证书过期前 30 天实施自动告警。
共享密钥不匹配： 通常发生在添加新接入点时。缓解措施： 在您的网络管理系统中标准化配置模板。
NAT 和 IP 白名单问题： Cloud RADIUS 提供商通常需要 NAS IP 白名单。如果您的分支机构使用动态 IP 或复杂的 NAT 配置，认证请求可能会被丢弃。缓解措施： 如有必要，使用静态出口 IP 或部署本地 RADIUS 代理。
IdP 同步失败： 如果云目录未能与本地 AD 同步，新用户将无法进行认证。缓解措施： 主动监控 SCIM/LDAP 连接器状态。

ROI 与业务影响

过渡到 Cloud RADIUS 可提供可衡量的业务价值：

减少基础设施资本支出 (Capex)： 无需在每个主要站点购买、上架和为物理 RADIUS 服务器供电。
降低运营开销： IT 团队无需再花费数小时来修补操作系统漏洞或手动管理服务器故障转移。供应商管理的更新可确保持续合规。
增强安全态势： 通过云 PKI 过渡到 EAP-TLS 可降低凭据被盗的风险，直接降低潜在的数据泄露成本。
敏捷性与可扩展性： 在开设新的零售分支机构或酒店时，网络认证可以在几分钟内完成配置，而不是几周。有关实用的推广策略，请参阅 Setting Up WiFi for Business: A 2026 Playbook 。

通过集中式访问控制，企业不仅能够保障其边界安全，还能释放资深工程人才的精力，使其专注于战略性主导项目，而无需维护过时的传统基础设施。

Definizioni chiave

Cloud RADIUS

Un servizio gestito che ospita il protocollo Remote Authentication Dial-In User Service in un ambiente cloud a elevata disponibilità, eliminando la necessità di server di autenticazione on-premises.

Valutato dai team IT che desiderano ridurre le spese in conto capitale per l'hardware e i costi operativi, mantenendo al contempo un accesso sicuro alla rete 802.1X.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Un metodo di autenticazione altamente sicuro che richiede sia al client che al server di presentare certificati digitali per dimostrare la propria identità.

Lo standard raccomandato per le reti aziendali per prevenire gli attacchi basati su password, che richiede PKI e MDM per l'implementazione.

NAS (Network Access Server)

Il dispositivo, come un punto di accesso WiFi, uno switch o un concentratore VPN, che funge da client RADIUS, inoltrando le credenziali dell'utente al server RADIUS.

I progettisti di rete devono configurare il NAS con gli IP corretti del server RADIUS e le chiavi segrete condivise per abilitare l'autenticazione 802.1X.

Shared Secret (Segreto condiviso)

Una stringa di testo crittografica nota solo al NAS e al server RADIUS, utilizzata per crittografare i pacchetti RADIUS e verificare l'autenticità del mittente.

Una chiave segreta condivisa debole rappresenta una grave vulnerabilità di sicurezza; le implementazioni aziendali dovrebbero utilizzare stringhe lunghe e generate casualmente.

SCIM (System for Cross-domain Identity Management)

Uno standard aperto che automatizza lo scambio di informazioni sull'identità degli utenti tra sistemi IT o applicazioni cloud.

Utilizzato per abilitare e disabilitare automaticamente gli utenti nella directory Cloud RADIUS quando vengono apportate modifiche nel sistema di identità primario delle risorse umane o dell'IT.

OpenRoaming

Un framework di federazione sviluppato dalla Wireless Broadband Alliance che consente agli utenti di connettersi in modo automatico e sicuro alle reti WiFi partecipanti a livello globale.

I provider di Cloud RADIUS che supportano OpenRoaming (come Purple) consentono alle strutture di offrire ai visitatori una connettività fluida e sicura senza Captive Portal.

Accounting Logs (Log di tracciamento)

Record generati dal server RADIUS che descrivono in dettaglio gli eventi di connessione dell'utente, inclusi l'ora di inizio, l'ora di fine, i dati trasferiti e l'indirizzo IP assegnato.

Fondamentali per gli audit di sicurezza, la risoluzione dei problemi e la dimostrazione della conformità a framework come PCI DSS e GDPR.

Change of Authorization (CoA)

Una funzionalità RADIUS che consente al server di modificare dinamicamente la sessione attiva di un utente, ad esempio cambiando la sua VLAN o disconnettendolo, senza richiedere una riconnessione.

Utilizzato dagli amministratori di rete per mettere istantaneamente in quarantena un dispositivo compromesso o applicare nuove restrizioni ai criteri a metà sessione.

Esempi pratici

Un hotel di 200 camere utilizza attualmente Microsoft NPS on-premises per l'autenticazione WiFi del personale tramite PEAP. Si verificano timeout di autenticazione durante le ore di punta dei check-in e l'hotel desidera migrare a Cloud RADIUS con EAP-TLS per una migliore sicurezza e affidabilità. Come dovrebbe progettare questa migrazione il Direttore IT?

Distribuire un tenant Cloud RADIUS e integrarlo con il Microsoft Entra ID dell'hotel tramite SCIM per la gestione automatizzata del ciclo di vita degli utenti. 2. Configurare la PKI integrata di Cloud RADIUS per emettere certificati client. 3. Utilizzare l'MDM esistente (ad es. Intune) per distribuire la Root CA, i certificati client e un nuovo profilo WiFi configurato per EAP-TLS a tutti i dispositivi del personale. 4. Configurare gli access point dell'hotel in modo che puntino agli IP primario e secondario di Cloud RADIUS, utilizzando un nuovo segreto condiviso complesso a 32 caratteri. 5. Eseguire sia il vecchio NPS che il nuovo Cloud RADIUS in parallelo su diversi SSID per un periodo di transizione di due settimane prima di dismettere i server on-premise.

Commento dell'esaminatore: Questo approccio riduce al minimo i rischi eseguendo SSID paralleli durante la transizione. Il passaggio a EAP-TLS elimina i rischi di raccolta delle credenziali associati a PEAP, e l'utilizzo dell'MDM per la distribuzione dei certificati garantisce un impatto zero per gli utenti finali. L'integrazione SCIM garantisce che, quando il personale lascia l'azienda, il relativo accesso venga revocato istantaneamente.

Una catena di vendita al dettaglio nazionale con 500 punti vendita deve garantire la conformità PCI DSS per i propri terminali POS (point-of-sale), che si connettono tramite WiFi. L'azienda sta passando a Cloud RADIUS. Quali configurazioni specifiche sono necessarie per soddisfare la conformità?

Implementare una rigorosa segmentazione della rete: i terminali POS devono autenticarsi su un SSID dedicato e nascosto, mappato su una VLAN isolata. 2. Imporre l'autenticazione EAP-TLS per tutti i dispositivi POS per garantire l'autenticazione reciproca e impedire a dispositivi non autorizzati di accedere alla rete POS. 3. Configurare il servizio Cloud RADIUS per conservare tutti i log di contabilità (Access-Accept, Access-Reject, durata della connessione) per almeno un anno, come richiesto dallo standard PCI DSS. 4. Assicurarsi che i segreti condivisi RADIUS tra gli AP di filiale e il servizio Cloud RADIUS vengano ruotati ogni 90 giorni utilizzando uno script automatizzato.

Commento dell'esaminatore: Questa soluzione risponde direttamente ai requisiti PCI DSS in materia di segmentazione logica, controllo rigoroso degli accessi e verificabilità. Affidarsi al filtraggio degli indirizzi MAC non è sufficiente ai fini della conformità; EAP-TLS fornisce la prova crittografica necessaria dell'identità del dispositivo. La conservazione dei log di contabilità nel cloud semplifica il processo di audit per il QSA.

Domande di esercitazione

Q1. La tua organizzazione sta migrando da un Active Directory on-premises a Google Workspace. Attualmente utilizzi PEAP-MSCHAPv2 per l'autenticazione WiFi. Perché questo rappresenta un problema e qual è la soluzione consigliata?

Suggerimento: Considera come PEAP convalida le credenziali rispetto al protocollo di directory.

Visualizza risposta modello

PEAP-MSCHAPv2 si basa sull'hash NT della password di un utente, che Google Workspace non memorizza né espone nativamente. La soluzione consigliata consiste nel migrare a EAP-TLS utilizzando un provider Cloud RADIUS dotato di una PKI integrata. Il servizio Cloud RADIUS può sincronizzare le identità degli utenti da Google Workspace tramite SAML/SCIM e autenticare i dispositivi utilizzando certificati client anziché password.

Q2. Una sede secondaria segnala che gli utenti riscontrano ritardi di 30 secondi durante la connessione alla rete WiFi, seguiti da una connessione riuscita. L'IP primario di Cloud RADIUS in quella regione è attualmente in fase di manutenzione. Quale errore di configurazione sta causando questo ritardo?

Suggerimento: Esamina la comunicazione tra il NAS e i server RADIUS.

Visualizza risposta modello

Il NAS (Access Point o Switch) ha il timeout del server RADIUS configurato su un valore troppo alto (ad es. 30 secondi). Sta attendendo la risposta del server primario prima di eseguire il failover sul server secondario. Il timeout dovrebbe essere ridotto a 3-5 secondi per garantire un failover rapido senza influire sull'esperienza utente.

Q3. Stai implementando Cloud RADIUS per un ospedale. Il team di sicurezza impone che solo i dispositivi aziendali possano connettersi alla rete interna, anche se un dipendente conosce un nome utente e una password validi. Come applichi questa regola?

Suggerimento: Quale metodo EAP verifica l'identità del dispositivo e non solo la conoscenza dell'utente?

Visualizza risposta modello

Implementa EAP-TLS. Configura la soluzione MDM dell'ospedale per inviare un certificato client univoco solo ai dispositivi registrati e di proprietà aziendale. Configura la policy di Cloud RADIUS in modo da rifiutare qualsiasi richiesta di autenticazione che non presenti un certificato valido firmato dalla PKI interna attendibile, bloccando efficacemente i dispositivi BYOD o non autorizzati, indipendentemente dalla conoscenza della password.

Continua a leggere questa serie

I vantaggi in termini di sicurezza di RADIUS as a Service per la forza lavoro ibrida

Questa guida di riferimento tecnico spiega come RADIUS as a Service protegga l'accesso alla rete per la forza lavoro ibrida all'interno di sedi distribuite. Copre l'architettura, i vantaggi in termini di sicurezza e i passaggi di implementazione per sostituire l'infrastruttura RADIUS on-premise con un servizio di autenticazione gestito in cloud. Per i responsabili IT e gli architetti di rete di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico, questa guida fornisce gli elementi necessari per valutare e avviare la migrazione a un servizio RADIUS cloud in questo trimestre.

Integrazione di RADIUS as a Service con directory cloud (Azure AD e Google Workspace)

Questa guida tecnica di riferimento descrive in dettaglio come integrare RADIUS as a Service con le directory cloud - Microsoft Entra ID e Google Workspace - per l'autenticazione WiFi aziendale. Copre il passaggio architetturale da NPS on-premise a RADIUS cloud-native, l'implementazione dell'autenticazione EAP-TLS basata su certificati e le migliori pratiche operative per proteggere l'accesso wireless negli ambienti dell'ospitalità, della vendita al dettaglio e del settore pubblico. Per i responsabili IT e gli architetti di rete che hanno già investito nell'identità cloud, questa guida colma il divario tra la gestione delle directory e la sicurezza della rete fisica.

Come implementare l'autenticazione 802.1X con Cloud RADIUS

Questa guida di riferimento tecnico fornisce un framework completo per l'implementazione dell'autenticazione 802.1X con Cloud RADIUS in infrastrutture aziendali distribuite. Descrive in dettaglio l'architettura, la selezione del metodo EAP, la sequenza di implementazione e le strategie di mitigazione del rischio necessarie per proteggere l'accesso alla rete eliminando al contempo i costi operativi dell'infrastruttura on-premises.