USM PPSK: confronto tra funzionalità e modelli di implementazione

Benvenuto al Technical Briefing di Purple. Oggi parleremo di USM PPSK - l'Unified Security Model per Private Pre-Shared Keys - che cos'è, come si confronta con le alternative e dove ha senso distribuirlo in immobili residenziali e commerciali multi-tenant. Iniziamo con il problema. Se sei uno sviluppatore immobiliare, un operatore build-to-rent o un proprietario che gestisce un complesso multiresidenziale, gestisci un edificio in cui decine o centinaia di nuclei familiari diversi condividono la stessa infrastruttura di rete fisica. Hai bisogno che ogni residente viva un'esperienza WiFi privata e di tipo domestico. Il loro Chromecast deve trovare il loro telefono. Il loro smart speaker deve comunicare con le loro lampadine. E nulla di tutto questo deve essere visibile al residente dell'appartamento a fianco. La risposta tradizionale era una password condivisa - che rappresenta un rischio per la sicurezza su larga scala - oppure una distribuzione enterprise completa 802.1X, che richiede un'infrastruttura a chiave pubblica, la gestione dei certificati e un server RADIUS che la maggior parte degli operatori immobiliari semplicemente non ha le risorse IT per gestire. Nessuna di queste opzioni è adatta per un blocco build-to-rent da 200 unità. È qui che entra in gioco il PPSK. PPSK sta per Private Pre-Shared Key. Il concetto è semplice: invece di una password WiFi condivisa per l'intero edificio, ogni residente riceve la propria passphrase univoca. Si collegano allo stesso SSID - lo stesso nome di rete - ma la loro chiave è solo loro. Se si trasferiscono, revochi la loro chiave. Questo ha un impatto pari a zero su tutti gli altri residenti. Ora, ci sono tre modelli distinti e comprenderne la differenza è fondamentale per prendere la giusta decisione architetturale. Il primo modello è una PSK condivisa standard. Una password, tutti sulla stessa rete. Questo è ciò che la maggior parte degli edifici utilizza ancora oggi. È semplice da distribuire, ma rappresenta un unico punto di vulnerabilità. Se un residente condivide la password all'esterno, si perde il controllo del perimetro di rete. Vuoi revocare l'accesso a un fornitore esterno? Devi cambiare la password per tutti. Su larga scala, questo non è gestibile. Il secondo modello è il Group PPSK. Si assegna una chiave unica a ciascun gruppo di utenti - forse una chiave per piano o una chiave per tipo di locazione. È meglio di una password condivisa, ma presenta comunque un problema di raggio d'azione dell'impatto. Se una chiave in un gruppo viene compromessa, l'intero gruppo ne risente. E non è ancora possibile isolare i singoli residenti l'uno dall'altro a livello di rete. Il terzo modello - e quello su cui ci concentriamo oggi - è USM PPSK: Unique per-User Pre-Shared Key, gestito attraverso un Unified Security Model. Ogni singolo residente, ogni singolo gruppo di dispositivi, ottiene la propria chiave crittograficamente unica. E quella chiave si associa alla propria VLAN - il proprio segmento di rete - completamente isolata da ogni altro residente nell'edificio. Questa è l'architettura che offre quella che io chiamo la bolla WiFi. I dispositivi del Residente A possono vedersi tra loro. Possono trasmettere, accoppiarsi, condividere file, esattamente come farebbero su una rete domestica. Ma il Residente A non può vedere un singolo dispositivo appartenente al Residente B, anche se sono entrambi connessi allo stesso access point, sullo stesso SSID, utilizzando la stessa infrastruttura di cavi fisici. Permettetemi di guidarvi attraverso il flusso di autenticazione tecnica, perché è qui che l'architettura dimostra il suo valore. Quando il dispositivo di un residente si connette all'SSID, il controller LAN wireless intercetta il tentativo di connessione. Invia l'indirizzo MAC del dispositivo a un server RADIUS. Il server RADIUS - che può essere ospitato in cloud, come quello di Purple - cerca quell'indirizzo MAC nel suo archivio di identità. Restituisce una risposta Access-Accept contenente la chiave pre-condivisa univoca assegnata a quel residente. Il controller convalida la chiave presentata dal dispositivo rispetto alla chiave restituita. Se corrispondono, il dispositivo viene autenticato e inserito nella VLAN dedicata del residente. Aspetto fondamentale, quella risposta RADIUS trasporta anche l'assegnazione della VLAN. Quindi il dispositivo non viene solo autenticato. Viene inserito automaticamente nel segmento di rete corretto, con la corretta policy di larghezza di banda e le corrette regole del firewall - il tutto da un singolo SSID. Nessuna proliferazione di SSID. Nessun sovraccarico di beacon. Un solo nome di rete, con centinaia di reti private isolate al di sotto di esso. Ora parliamo del modello di sicurezza unificato - USM. Questo è il livello di gestione che si trova sopra l'archivio delle credenziali PPSK. Gestisce la generazione, la distribuzione, la gestione del ciclo di vita, l'assegnazione delle policy e la revoca delle chiavi - idealmente tramite integrazione API con il vostro sistema di gestione immobiliare o identity provider. Senza USM, il PPSK è solo una raccolta di password univoche in un foglio di calcolo. Con USM, diventa un sistema di controllo degli accessi automatizzato, verificabile e basato su policy. La differenza in termini di sovraccarico operativo è sostanziale. In un'implementazione USM ben eseguita, quando un nuovo residente firma il contratto di locazione, il sistema di gestione immobiliare attiva una chiamata API alla piattaforma USM. La piattaforma genera una PPSK univoca, la assegna alla VLAN del residente, imposta le policy di larghezza di banda e invia la credenziale al residente tramite e-mail o codice QR - il tutto senza alcun intervento manuale da parte del vostro team IT. Quando il residente si trasferisce, la stessa integrazione attiva la revoca. La sua chiave smette di funzionare. Nessun altro residente viene influenzato. Ora permettetemi di presentarvi due scenari reali per rendere questo concetto concreto. Primo scenario: un complesso residenziale build-to-rent da 300 unità. L'operatore gestiva un'unica password WiFi condivisa per l'intero edificio. Ogni sei mesi, quando un numero significativo di residenti si trasferiva, la password veniva cambiata, con la conseguenza che le due settimane successive venivano trascorse a gestire le chiamate di assistenza dei residenti che non riuscivano a ricollegare i propri dispositivi. I dispositivi smart home rappresentavano un problema particolare: Chromecast, Amazon Echo e l'illuminazione intelligente richiedevano ogni volta una riconfigurazione manuale. Dopo aver implementato USM PPSK - integrato con il sistema di gestione della proprietà - il trasferimento è diventato un evento a zero interruzioni. La chiave del residente uscente veniva revocata automaticamente al termine del contratto di locazione. I nuovi residenti ricevevano la loro chiave univoca tramite l'e-mail di benvenuto. I dispositivi smart home rimanevano connessi perché si trovavano tutti sulla stessa VLAN residente. L'operatore ha registrato una riduzione del 90% dei ticket di supporto relativi al WiFi nel primo trimestre successivo all'implementazione. Secondo scenario: uno studentato da 500 posti letto. La sfida in questo caso era il turnover dei gruppi - ogni agosto, 500 studenti lasciano la struttura e altri 500 si trasferiscono, spesso nella stessa settimana. Con una PSK condivisa, quella settimana era un incubo. Grazie a USM PPSK integrato nel sistema di gestione degli studenti, l'intero gruppo riceveva le chiavi univoche come parte del pacchetto di benvenuto prima dell'arrivo. Il giorno del trasferimento, si connettevano immediatamente. Il team di rete ha registrato zero escalation durante la settimana di arrivo per la prima volta nella storia dell'edificio. Parliamo di implementazione. Alcuni aspetti da definire correttamente fin dall'inizio. In primo luogo, la generazione e la distribuzione delle chiavi. Le chiavi PPSK devono essere sufficientemente lunghe e casuali - minimo 20 caratteri, idealmente 32. Generatelas programmaticamente utilizzando un generatore di numeri casuali crittograficamente sicuro. Non lasciate che siano i residenti a scegliere le proprie chiavi. Anche il meccanismo di distribuzione è importante. L'invio tramite e-mail con un link sicuro, un codice QR su una scheda di benvenuto o l'integrazione con il sistema di gestione degli affitti tramite API sono tutti approcci validi. In secondo luogo, il supporto del controller. Non tutti i controller wireless implementano il PPSK allo stesso modo. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet hanno tutti le proprie implementazioni, ma i limiti di scala, le funzionalità API e la granularità dello steering VLAN variano. Prima di scegliere una piattaforma, verificate il numero massimo di chiavi univoche supportate per SSID. Alcune piattaforme più datate limitano questo numero a poche centinaia, il che non è sufficiente per un grande complesso. In terzo luogo - e questo è l'errore più comune - la randomizzazione degli indirizzi MAC. I sistemi operativi moderni - iOS 14 e successivi, Android 10 e successivi, Windows 11 - utilizzano tutti la randomizzazione degli indirizzi MAC per impostazione predefinita. Se l'implementazione PPSK si basa sulla ricerca degli indirizzi MAC, un dispositivo che presenta un MAC randomizzato non verrà trovato e sarà rifiutato. Pianificate questo aspetto fin dal primo giorno.Quarto, limiti di dispositivi per chiave. Imposta un limite ragionevole - in genere da quattro a sei dispositivi per chiave - e applicalo a livello di controller. Senza questo, una singola PPSK può proliferare su decine di dispositivi, compromettendo la tua capacità di attribuire il traffico in modo accurato. La trappola da evitare sopra ogni altra: implementare PPSK senza un processo documentato del ciclo di vita delle chiavi. Le chiavi che non vengono mai revocate si accumulano nel tempo e diventano un rischio per la sicurezza. Definisci il flusso di lavoro di revoca prima di andare online, non dopo. Dal punto di vista della conformità - e questo è particolarmente importante per il GDPR - l'USM PPSK ti offre quel registro di controllo che una PSK condivisa semplicemente non può fornire. Puoi attribuire l'attività di rete a una credenziale specifica e quindi a un record di locazione specifico. Questa non è solo una buona pratica; in alcuni contesti normativi, è un requisito. Ora lascia che ti dia tre regole empiriche pratiche. Regola uno: se il tuo edificio ha più di 50 unità, utilizza l'USM PPSK basato su RADIUS, non la PPSK locale del controller. Il limite di scalabilità della PPSK locale del controller ti causerà problemi entro 12 mesi dall'avvio. Regola due: pianifica la randomizzazione MAC fin dal primo giorno. Integra un flusso di lavoro di pre-registrazione nel processo di onboarding dei residenti. Non presumere che i dispositivi presentino il loro indirizzo MAC permanente per impostazione predefinita. Regola tre: automatizza il ciclo di vita delle chiavi. Il valore operativo di USM PPSK rispetto a una PSK condivisa dipende interamente dal fatto che le chiavi vengano fornite e revocate automaticamente. La gestione manuale delle chiavi su larga scala non è praticabile. Integrati con il tuo sistema di gestione immobiliare fin dall'inizio. Facciamo qualche domanda rapida. PPSK è uguale a iPSK, MPSK e DPSK? Funzionalmente, sì. Diverso branding dei fornitori, stesso concetto. PPSK funziona con WPA3? Parzialmente. La maggior parte dei controller moderni supporta PPSK in modalità di transizione WPA2 e WPA3. Il supporto puro per WPA3 varia a seconda del fornitore - verifica la matrice di compatibilità del tuo hardware. PPSK può funzionare senza un cloud controller? Alcuni controller on-premises lo supportano, ma la gestione cloud semplifica notevolmente le operazioni del ciclo di vita e l'integrazione USM. L'USM PPSK è adatto per la conformità GDPR? L'USM PPSK fornisce il registro di controllo per utente che supporta la conformità GDPR. Dovrebbe far parte di un framework di governance dei dati più ampio, non essere trattato come una soluzione di conformità autonoma. Per concludere. L'USM PPSK è l'architettura giusta per qualsiasi implementazione WiFi residenziale multi-tenant in cui sia necessaria la responsabilità per singolo residente senza la complessità di un'infrastruttura 802.1X completa. Ti offre credenziali uniche per residente, instradamento VLAN dinamico, gestione granulare del ciclo di vita e un registro di controllo pronto per la conformità - il tutto con un'esperienza di onboarding del dispositivo semplice come l'inserimento di una password WiFi. Se stai pianificando una nuova installazione build-to-rent o per alloggi studenteschi, o se desideri aggiornare una rete esistente con password condivisa, i prossimi passi pratici sono: verificare il supporto PPSK sulla tua attuale piattaforma di controller wireless, definire l'architettura VLAN e mappare il ciclo di vita delle chiavi con gli eventi di locazione del tuo sistema di gestione immobiliare. La piattaforma WiFi multi-tenant di Purple gestisce il livello USM sopra il tuo hardware esistente - che si tratti di Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist o di una qualsiasi delle altre principali piattaforme enterprise. Gestiamo 80.000 sedi attive e 350 milioni di utenti unici. L'infrastruttura è collaudata su scala. Grazie per aver ascoltato il Purple Technical Briefing.