The Security Benefits of RADIUS as a Service for Hybrid Workforces

Sintesi esecutiva

Il passaggio alla forza lavoro ibrida ha messo in luce una debolezza fondamentale nella sicurezza di rete tradizionale: i server RADIUS on-premise sono stati progettati per un mondo in cui il personale lavorava in un unico edificio e si connetteva a un'unica rete. Quel mondo non esiste più. Oggi, i dipendenti si autenticano da camere d'albergo, punti vendita, uffici remoti e sedi di eventi. I provider di identità risiedono nel cloud. Gli access point coprono centinaia di sedi. Eppure, molte organizzazioni si affidano ancora a server RADIUS fisici che richiedono patch manuali, non possono integrarsi nativamente con Microsoft Entra ID o Google Workspace e smettono di funzionare silenziosamente in caso di guasti hardware.

RADIUS as a Service sostituisce questa infrastruttura con un motore di autenticazione cloud-native. È sufficiente indirizzare gli access point verso gli endpoint cloud. Il provider gestisce i server, le patch e l'alta disponibilità. Voi gestite le policy. Per i team IT dei gruppi del settore Hospitality , delle catene Retail e dei locali pubblici, questo passaggio elimina i costi generali dell'hardware, impone la segmentazione della rete basata sull'identità e fornisce il registro di controllo richiesto da PCI DSS e GDPR.

Approfondimento tecnico

Perché il RADIUS on-premise è in difficoltà

Il protocollo RADIUS, definito nella specifica RFC 2865, fornisce servizi centralizzati di autenticazione, autorizzazione e contabilità (AAA) per l'accesso alla rete. Qualsiasi azienda che utilizzi il WiFi WPA2-Enterprise o WPA3-Enterprise dipende da esso. Il protocollo in sé è solido. Il problema risiede nel modello infrastrutturale che si è sviluppato attorno ad esso.

FreeRADIUS su Linux richiede competenze significative per l'implementazione, il rafforzamento della sicurezza e la manutenzione. Microsoft Network Policy Server (NPS) è strettamente legato ad Active Directory e non offre un supporto nativo per Microsoft Entra ID, Okta o Google Workspace. Cisco Identity Services Engine (ISE) offre funzionalità di policy di livello enterprise, ma richiede hardware dedicato, licenze complesse e un team di specialisti per la gestione. Tutti e tre richiedono la creazione e la manutenzione manuale dell'alta disponibilità, in genere eseguendo due server con replica del database e un bilanciatore di carico a monte.

Per un'organizzazione con un'unica sede e un Active Directory stabile, questo modello è gestibile. Per un gruppo alberghiero con 50 strutture, una catena di negozi con 400 punti vendita o un'università con un campus distribuito, diventa impraticabile. Le opzioni sono centralizzare i server RADIUS, accettando la latenza di autenticazione dalle sedi remote, oppure distribuire server in ogni sede e gestirli singolarmente. Nessuna delle due opzioni è scalabile.

L'architettura di RADIUS as a Service

RADIUS as a Service è un modello di distribuzione basato su cloud per il protocollo RADIUS. Il protocollo stesso rimane invariato, seguendo la specifica RFC 2865 e le sue estensioni. Ciò che cambia è chi gestisce l'infrastruttura.

Quando un dispositivo si connette alla rete WiFi, l'access point (il client RADIUS) inoltra la richiesta di autenticazione agli endpoint RADIUS in cloud tramite un tunnel sicuro e crittografato. Il servizio cloud convalida le credenziali rispetto al provider di identità e restituisce un messaggio di Access-Accept o Access-Reject, insieme ad attributi di policy come l'assegnazione dinamica della VLAN. Dal punto di vista dell'access point, il flusso di autenticazione è identico a quello del RADIUS on-premise.

Il cloud provider gestisce i server RADIUS in più data center distribuiti geograficamente. Il failover è automatico. Se un endpoint non è disponibile, il traffico viene instradato verso quello successivo funzionante, senza alcun intervento da parte del vostro team. Per le organizzazioni con sedi in più regioni, l'autenticazione avviene presso l'endpoint cloud più vicino, mantenendo bassa la latenza indipendentemente dalla posizione geografica.

IEEE 802.1X ed EAP metodi

IEEE 802.1X è lo standard per il controllo dell'accesso alla rete basato su porta (NAC). Impone a un dispositivo di autenticarsi prima che gli venga assegnato un indirizzo IP e gli sia consentito il transito del traffico. RADIUS è il server di autenticazione in un'implementazione 802.1X.

L'Extensible Authentication Protocol (EAP) definisce la modalità di scambio delle credenziali. Il RADIUS in cloud supporta l'intera gamma di metodi EAP:

EAP-TLS, definito nella specifica RFC 5216, rappresenta lo standard di riferimento. Sia il dispositivo client che il server RADIUS si presentano reciprocamente certificati digitali. Questa autenticazione reciproca elimina completamente le password dal processo di accesso alla rete. Un certificato è legato crittograficamente al dispositivo e non può essere oggetto di phishing, indovinato o rubato come una password. Per le organizzazioni che hanno subito violazioni basate sulle credenziali, questa è la mitigazione tecnica più diretta disponibile.

Assegnazione dinamica della VLAN

Oltre all'autenticazione, il server RADIUS applica l'autorizzazione. Quando accetta una connessione, restituisce gli attributi di policy all'access point, incluso l'ID VLAN da assegnare al dispositivo. Questa assegnazione dinamica della VLAN è il meccanismo che abilita le reti basate sull'identità (Identity-Based Networks).

Un addetto alla reception di un hotel si autentica e viene inserito nella VLAN front-of-house con accesso al sistema di gestione della struttura. Un addetto alle pulizie viene inserito in una VLAN limitata con solo accesso a Internet. Un dispositivo ospite viene inserito nella VLAN Guest WiFi, completamente isolato da tutte le risorse aziendali. Un dispositivo IoT, come una telecamera di sicurezza, viene inserito in una VLAN dedicata VLAN IoT. Tutto questo avviene automaticamente, in base all'identità verificata dal server RADIUS, senza alcuna configurazione manuale della VLAN per dispositivo.

Questo è il principio del privilegio minimo applicato all'accesso alla rete. Non si considera attendibile un dispositivo solo perché si è connesso a un particolare SSID. L'accesso viene concesso in base all'identità verificata, limitandolo esclusivamente a ciò che tale identità richiede. Per un approfondimento su come questo si inserisca in una strategia di controllo dell'accesso alla rete più ampia, consulta la nostra guida sui sistemi di controllo dell'accesso alla rete .

Integrazione nativa dell'identità cloud

Il vantaggio più significativo a livello operativo di cloud RADIUS è la sua integrazione nativa con i moderni provider di identità. Cloud RADIUS si connette direttamente a Microsoft Entra ID, Okta e Google Workspace tramite protocolli standard, tra cui OIDC, SAML e LDAP. Quando abiliti un nuovo dipendente nel tuo provider di identità, questo può autenticarsi immediatamente alla rete WiFi. Quando disabiliti un dipendente, disattivi il suo account nella directory e il suo accesso WiFi viene revocato istantaneamente, in ogni access point e in qualsiasi sede.

Questa sincronizzazione in tempo reale elimina una delle falle di sicurezza più persistenti nel WiFi aziendale: l'ex dipendente che possiede ancora la PSK condivisa o il cui account RADIUS non è stato eliminato manualmente al momento delle dimissioni. Con cloud RADIUS e un provider di identità cloud, il deprovisioning è un'unica azione con effetto immediato su tutta la rete.

Guida all'implementazione

Passaggio 1: Connetti il tuo provider di identità

Connetti il servizio cloud RADIUS al tuo provider di identità. Per Microsoft Entra ID o Google Workspace, questo comporta in genere l'autorizzazione di un'applicazione aziendale tramite OAuth o la configurazione di un connettore LDAP. Mappa i gruppi della tua directory su policy di rete specifiche. Definisci la tassonomia dei ruoli prima di iniziare: quali gruppi corrispondono a quali VLAN e quali diritti di accesso comporta ciascuna VLAN. Impostare correttamente questo aspetto all'inizio evita significativi sforzi di rielaborazione successivi.

Passaggio 2: Distribuisci i certificati per i dispositivi aziendali

Per i dispositivi di proprietà dell'azienda, configura la tua piattaforma di Mobile Device Management (MDM), come Microsoft Intune o Jamf, per inviare i certificati client ai dispositivi. Questo abilita l'autenticazione EAP-TLS. Assicurati che la Root Certificate Authority (CA) che ha emesso il certificato del server RADIUS sia considerata attendibile da tutti i dispositivi client. Una catena di attendibilità interrotta è la causa più comune di errori di autenticazione silenziosi.

Passaggio 3: Configura l'hardware di rete

Aggiungi gli indirizzi IP di cloud RADIUS e le chiavi segrete condivise (shared secrets) ai tuoi controller wireless o access point. Configura sempre sia l'endpoint primario che quello secondario per utilizzare la ridondanza integrata del provider. Assicurati che le porte UDP 1812 (autenticazione) e 1813 (accounting) siano aperte in uscita dai tuoi access point verso gli endpoint cloud RADIUS. Verifica questo aspetto prima della messa in servizio. Le regole del firewall configurate in modo errato sono la seconda causa più comune di fallimento dell'implementazione.

Cloud RADIUS funziona con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. I passaggi di configurazione variano a seconda del fornitore, ma il protocollo RADIUS è standardizzato, quindi i parametri principali (IP del server, chiave segreta condivisa, porta di autenticazione) sono coerenti.

Passaggio 4: Definisci le policy VLAN

Configura l'assegnazione dinamica della VLAN nel motore delle policy RADIUS. Mappa ogni ruolo utente o tipo di dispositivo su un ID VLAN specifico. Testa ogni policy prima del rilascio in produzione. Una semplice matrice di test (un dispositivo per ruolo, una VLAN per ruolo, verifica del posizionamento) rileva la maggior parte degli errori di configurazione prima che abbiano un impatto sugli utenti.

Best practice

Imponi l'uso di EAP-TLS per tutti i dispositivi aziendali. Abbandona PEAP-MSCHAPv2 non appena la distribuzione del tuo MDM lo consente. PEAP si basa su password, che possono essere compromesse. EAP-TLS si basa su certificati, che non possono esserlo.

Segmenta tutto. Non inserire mai personale, ospiti e dispositivi IoT nella stessa sottorete. Utilizza RADIUS per imporre limiti VLAN rigorosi. Questo è fondamentale per gli ambienti del settore Retail che gestiscono i dati delle carte di pagamento secondo lo standard PCI DSS e per gli ambienti del settore Healthcare che proteggono i dati dei pazienti.

Allineati a WPA3-Enterprise. WPA3-Enterprise, l'attuale standard di sicurezza WiFi, richiede l'autenticazione 802.1X. Assicurati che i tuoi access point supportino WPA3-Enterprise e configuralo come standard di sicurezza minimo per le reti del personale.

Controlla regolarmente i log di RADIUS. Cloud RADIUS fornisce log di controllo centralizzati. Esamina gli errori di autenticazione settimanalmente. Un picco di errori da un dispositivo o da una sede specifica è un indicatore precoce di una configurazione errata o di un potenziale attacco.

Testa il failover. Almeno una volta a trimestre, simula un guasto dell'endpoint RADIUS primario e verifica che l'autenticazione continui tramite l'endpoint secondario. Documenta il risultato. Si tratta di un test semplice che la maggior parte dei team non esegue mai finché non ne ha effettivo bisogno.

Per le strutture che distribuiscono il WiFi in ambienti complessi, comprese località marittime o remote, consulta la nostra guida su come configurare un Captive Portal su Starlink per considerazioni sulla dipendenza dalla rete WAN.

Risoluzione dei problemi e mitigazione dei rischi

Timeout di autenticazione

Se i dispositivi non riescono ad autenticarsi, verifica innanzitutto la connettività tra i tuoi access point e gli endpoint cloud RADIUS. Verifica che le porte UDP 1812 e 1813 siano aperte in uscita. L'ispezione approfondita dei pacchetti (Deep packet inspection) sui firewall moderni può ritardare o scartare i pacchetti RADIUS. Se riscontri dei timeout, controlla le regole della tua policy firewall che potrebbero ispezionare o limitare la velocità del traffico UDP verso gli endpoint RADIUS.

Errori della catena di attendibilità del certificato

Se utilizzi EAP-TLS, assicurati che i dispositivi client considerino attendibile la Root CA che ha emesso il certificato del server RADIUS. Se la catena di attendibilità è interrotta, il dispositivo rifiuterà silenziosamente la connessione per prevenire un attacco man-in-the-middle. Questo si presenta come un errore di connessione senza alcun messaggio di errore evidente. Controlla i log del server RADIUS per Errori di handshake EAP-TLS. Distribuisci il certificato Root CA a tutti i dispositivi gestiti tramite MDM.

Dipendenza dalla WAN

Cloud RADIUS richiede una connessione internet attiva. Se il collegamento WAN si interrompe, le richieste di autenticazione non possono raggiungere il server. Per le risorse locali mission-critical, valuta access point che supportino la sopravvivenza locale o il caching dell'autenticazione. Per la maggior parte delle distribuzioni, la dipendenza dalla WAN è accettabile poiché un sito senza internet non può comunque accedere alle applicazioni cloud.

Mancata corrispondenza dei segreti condivisi

Ogni access point o controller wireless deve essere configurato come client RADIUS con il segreto condiviso corretto. Una mancata corrispondenza causa lo scarto silenzioso di tutte le richieste di autenticazione provenienti da quel dispositivo. Se un access point specifico non funziona mentre altri hanno successo, verifica la configurazione del segreto condiviso su quel dispositivo.

ROI e impatto aziendale

Il business case per il RADIUS as a Service si basa su tre pilastri: riduzione delle spese in conto capitale, minori costi operativi e un migliore livello di sicurezza.

In termini di spese in conto capitale, elimini i costi di acquisto, licenza e aggiornamento dei server fisici. Una distribuzione RADIUS on-premise minima richiede due server per l'alta affidabilità, licenze del sistema operativo e l'aggiornamento dell'hardware ogni tre-cinque anni. Per un gruppo alberghiero con 50 strutture, ciò rappresenta un investimento hardware significativo su tutto il patrimonio immobiliare.

In termini di costi operativi, il tuo team di ingegneria non deve più dedicare tempo all'applicazione di patch su Windows Server, alla risoluzione dei problemi delle configurazioni FreeRADIUS o alla gestione dei rinnovi dei certificati sull'infrastruttura fisica. Quel tempo viene reindirizzato ad attività sulle policy di sicurezza che migliorano direttamente il tuo livello di protezione.

In termini di sicurezza, il passaggio a EAP-TLS e all'assegnazione dinamica delle VLAN riduce significativamente la superficie di attacco. Il furto di credenziali è la causa principale delle violazioni di rete. L'eliminazione delle password dal processo di autenticazione di rete affronta direttamente questo rischio. La registrazione centralizzata dei log di controllo supporta la conformità a PCI DSS v4.0 e GDPR, riducendo i costi e la complessità degli audit di conformità.

Per le organizzazioni che gestiscono hub di Trasporto o sedi ad alta affluenza, la capacità di applicare policy di sicurezza coerenti in tutte le sedi da un'unica dashboard rappresenta un miglioramento operativo misurabile. Purple opera in oltre 80.000 sedi attive e ha elaborato 440 milioni di accessi nel 2024 (dati interni Purple, 2024). L'infrastruttura che supporta tale scala è cloud-native per progettazione.

Per una panoramica più ampia di come l'analisi WiFi e la network intelligence si collegano ai risultati aziendali, consulta la nostra piattaforma di WiFi Analytics .

Riferimenti

[1] IEEE Standard for Local and metropolitan area networks - Port-Based Network Access Control. IEEE Std 802.1X-2020. [2] IETF. Remote Authentication Dial In User Service (RADIUS). RFC 2865. 1997. [3] IETF. The EAP-TLS Authentication Protocol. RFC 5216. 2008. [4] IronWiFi. Benefits of a Cloud RADIUS Server: Why Enterprises Are Moving Authentication Online. Febbraio 2026. [5] SecureW2. Cloud vs. On-Site RADIUS: Which is Better? Maggio 2026. [6] Portnox. RADIUS as a Service. 2026. [7] PCI Security Standards Council. PCI DSS v4.0. Marzo 2022. [8] Purple. Dati interni della piattaforma: 440 milioni di accessi, oltre 80.000 sedi. 2024.