Cisco ISE विरुद्ध Purple WiFi: ते कसे तुलना करतात आणि एकत्र काम करतात

तुम्ही ब्रिटिश इंग्लिशमध्ये एका आत्मविश्वासी, अधिकृत आणि संभाषणात्मक सुरात क्लायंटला माहिती देणारे वरिष्ठ नेटवर्क सुरक्षा सल्लागार आहात. आयटी डायरेक्टर्स आणि नेटवर्क आर्किटेक्ट्सच्या बोर्डरूमसमोर सादरीकरण करत असल्यासारखे स्पष्टपणे आणि मोजक्या गतीने बोला. हे व्यावसायिक तांत्रिक ब्रीफिंग आहे, व्याख्यान नाही. प्रमाणित रिसीव्ह्ड प्रोनन्सिएशन (received pronunciation) उच्चारासह ब्रिटिश इंग्लिशमध्ये बोला: Purple तांत्रिक ब्रीफिंग मालिकेमध्ये आपले स्वागत आहे. आज आपण एका अशा प्रश्नावर चर्चा करत आहोत जो एंटरप्राइझ नेटवर्क डिझाइनमध्ये सतत समोर येतो: Cisco ISE विरुद्ध Purple WiFi. त्यांची तुलना कशी होते आणि सर्वात महत्त्वाचे म्हणजे, ते एकत्र कसे काम करतात? मी तुम्हाला साधारण दहा मिनिटांत याचे थेट उत्तर देणार आहे. [medium pause] चला संदर्भापासून सुरुवात करूया. जर तुम्ही एखादे हॉटेल, रिटेल इस्टेट, स्टेडियम किंवा सार्वजनिक क्षेत्रातील इमारत चालवत असाल, तर तुमच्या नेटवर्कशी दोन वेगवेगळ्या लोकसंख्या जोडल्या जाण्याची दाट शक्यता असते. तुमच्याकडे कर्मचारी आणि कॉर्पोरेट डिव्हाइस असतात आणि दुसरीकडे तुमचे पाहुणे, अभ्यागत, चाहते किंवा खरेदीदार असतात. या दोन लोकसंख्येच्या ऑथेंटिकेशनच्या आवश्यकता पूर्णपणे वेगवेगळ्या असतात, डेटाचे अधिकार वेगळे असतात आणि व्यावसायिक उद्दिष्टे देखील भिन्न असतात. बहुतांश संस्था दोन्ही समस्या एकाच टूलच्या मदतीने सोडवण्याची चूक करतात. Cisco ISE आणि Purple मधील गोंधळ नेमका इथूनच सुरू होतो. [medium pause] विभाग १: Cisco ISE प्रत्यक्षात काय करते. Cisco Identity Services Engine, म्हणजेच ISE, हा Cisco चा एंटरप्राइझ Network Access Control प्लॅटफॉर्म आहे. याचे काम कॉर्पोरेट डिव्हाइसेस आणि कर्मचारी युजर्सना ऑथेंटिकेट आणि ऑथोराइज करणे हे आहे. हे प्रामुख्याने IEEE 802.1X द्वारे केले जाते, जे पोर्ट-आधारित नेटवर्क ऍक्सेस कंट्रोल मानक आहे. जेव्हा एखादा कॉर्पोरेट लॅपटॉप तुमच्या नेटवर्कशी जोडला जातो, तेव्हा ISE EAP-TLS द्वारे त्याचे सर्टिफिकेट किंवा PEAP द्वारे त्याचे क्रेडेंशियल तपासते, Active Directory किंवा Microsoft Entra ID च्या मदतीने ते प्रमाणित करते, त्याच्या सुरक्षा स्थितीचे मूल्यांकन करते आणि नंतर योग्य पॉलिसीसह योग्य VLAN वर पाठवते. जर डिव्हाइस सुरक्षा मूल्यांकन पूर्ण करू शकले नाही, तर ISE RADIUS Change of Authorisation किंवा CoA चा वापर करून त्याला आपोआप क्वारंटाईन करू शकते. ISE देखील BYOD ऑनबोर्डिंग हाताळते, जिथे वैयक्तिक डिव्हाइसेस एका सर्टिफिकेटसह नोंदणीकृत केले जातात जेणेकरून ते शेअर केलेल्या पासवर्डशिवाय सुरक्षितपणे ऑथेंटिकेट होऊ शकतील. आणि हे Cisco च्या pxGrid फ्रेमवर्कशी समाकलित होते, ज्यामुळे फायरवॉल आणि SIEM प्लॅटफॉर्म्स सारख्या इतर सुरक्षा टूल्सना रिअल-टाइम आयडेंटिटी संदर्भ वापरण्याची परवानगी मिळते. ISE चे तीन लायसन्स टियर Essentials, Advantage आणि Premier हे आहेत. Essentials मध्ये 802.1X आणि मूलभूत गेस्ट ऍक्सेसचा समावेश होतो. Advantage मध्ये BYOD, सुरक्षा स्थिती मूल्यांकन आणि थर्ड-पार्टी MDM इंटिग्रेशन जोडले जाते. Premier मध्ये पॅसिव्ह आयडेंटिटी सर्व्हिसेस आणि प्रगत थ्रेट इंटिग्रेशनचा समावेश होतो. [medium pause] त्यामुळे ISE हे एक गंभीर, एंटरप्राइझ-ग्रेड सुरक्षा प्लॅटफॉर्म आहे. परंतु महत्त्वाचा मुद्दा हा आहे: त्याचे गेस्ट पोर्टल केवळ कार्यात्मक आहे, व्यावसायिक नाही. ISE एखाद्या अनधिकृत उपकरणाला वेब पेजवर रिडायरेक्ट करू शकते, युझरनेम आणि पासवर्ड किंवा स्पॉन्सर मंजुरी गोळा करू शकते आणि इंटरनेट प्रवेश देऊ शकते. जे ते करू शकत नाही ते म्हणजे GDPR-सुसंगत विपणन संमती मिळवणे, सोशल लॉगिनसह ब्रँडेड स्प्लॅश पेजेस चालवणे, व्हिजिटर डेटा Salesforce किंवा HubSpot मध्ये पाठवणे, फूटफॉल हीटमॅप्स तयार करणे किंवा विपणन मोहिमेसाठी डेमोग्राफिक्सनुसार व्हिजिटर्सचे वर्गीकरण करणे. ISE ची रचना यासाठी केलेली नाही, आणि त्यावर ही भूमिका लादण्याचा प्रयत्न केल्याने व्यावसायिक यश न मिळता गुंतागुंत निर्माण होते. तुम्ही ब्रिटीश इंग्रजीमध्ये आत्मविश्वासू, अधिकृत आणि संभाषणात्मक सुरात तांत्रिक ब्रिफिंग पुढे चालू ठेवणारे एक वरिष्ठ नेटवर्क सुरक्षा सल्लागार आहात. स्पष्टपणे आणि मोजक्या गतीने बोला. मानक रिसीव्ह्ड प्रोनन्सिएशन उच्चारांसह ब्रिटीश इंग्रजीमध्ये बोला: विभाग दोन: Purple काय करते. Purple हे एक क्लाउड ओव्हरले प्लॅटफॉर्म आहे. आम्ही तुमच्या सध्याच्या WiFi इन्फ्रास्ट्रक्चरवर काम करतो, मग ते Cisco Meraki असो, Cisco Catalyst असो, HPE Aruba असो, Ruckus असो, Juniper Mist असो, किंवा इतर कोणताही प्रमुख व्हेंडर असो. आम्ही तुमचे हार्डवेअर बदलत नाही. आम्ही ISE बदलत नाही. आम्ही गेस्ट अनुभवाचा स्तर हाताळतो. जेव्हा एखादा व्हिजिटर तुमच्या गेस्ट SSID शी कनेक्ट होतो, तेव्हा Purple ते कनेक्शन इंटरसेप्ट करते आणि ब्रँडेड Captive Portal सादर करते. ते पोर्टल Facebook, Google किंवा LinkedIn द्वारे सोशल लॉगिन, सानुकूल डेटा कॅप्चर फॉर्म, क्लिक-टू-कनेक्ट पर्याय किंवा पुन्हा भेट देणाऱ्यांसाठी स्वयंचलित सुरक्षित रिकनेक्शनसाठी Passpoint देऊ शकते. प्रत्येक लॉगिन स्पष्ट GDPR संमतीसह फर्स्ट-पार्टी डेटा कॅप्चर करतो. तो डेटा थेट तुमच्या CRM, तुमच्या ईमेल मार्केटिंग प्लॅटफॉर्म किंवा तुमच्या लॉयल्टी प्रोग्राममध्ये पाठवला जातो. Purple ८०,००० हून अधिक थेट व्हेन्यूवर कार्यरत आहे आणि केवळ २०२४ मध्येच याने ४४ कोटी लॉगिन प्रोसेस केले आहेत. आमच्याकडे ISO 27001 प्रमाणपत्र आहे, आम्ही GDPR आणि CCPA चे पालन करतो आणि आम्ही ९९.९९९% अपटाइम राखतो. आमच्या नामांकित ग्राहकांमध्ये McDonald's, Harrods, Premier Inn, AGS Airports आणि Manchester Airports Group यांचा समावेश आहे. [मध्यम विराम] विभाग तीन: मॉडर्न नेटवर्क टोपोलॉजीमध्ये ते एकत्र कसे अस्तित्वात राहतात. एकदा का तुम्हाला जबाबदाऱ्यांचे विभाजन समजले की आर्किटेक्चर अगदी सोपे आहे. तुम्ही एकाच ॲक्सेस पॉइंट्सवर दोन किंवा तीन SSID चालवता. कॉर्पोरेट SSID 802.1X सह WPA3-Enterprise वापरते, आणि ISE हा RADIUS सर्व्हर आहे. प्रत्येक कर्मचाऱ्याचे उपकरण सर्टिफिकेट किंवा क्रेडेंशियलसह ऑथेंटिकेट होते. ISE त्या उपकरणाला योग्य VLAN मध्ये वर्गीकृत करते, योग्य पॉलिसी लागू करते आणि सेशन लॉग करते. येथे Purple ची कोणतीही भूमिका नाही. हे पूर्णपणे ISE चे क्षेत्र आहे. गेस्ट SSID खुली असते किंवा सुरुवातीच्या जोडणीसाठी प्री-शेअर्ड की सह WPA3-Personal वापरते. ट्रॅफिक Purple च्या क्लाउड पोर्टलवर रिडायरेक्ट केले जाते. Purple ऑथेंटिकेशन, संमती घेणे आणि ॲनालिटिक्स हाताळते. Purple जोपर्यंत ऑथरायझेशनचे संकेत देत नाही तोपर्यंत ॲक्सेस पॉइंट वॉल्ड गार्डन लागू करतो, त्यानंतर इंटरनेट प्रवेश खुला करतो. येथे ISE ची कोणतीही भूमिका नाही. हे Purple चे क्षेत्र आहे. अधिक क्लिष्ट नियोजनांसाठी (deployments), तुम्ही IoT उपकरणांसाठी तिसरे SSID जोडू शकता, ज्यामध्ये आयडेंटिटी प्री-शेअर्ड की (identity pre-shared keys) किंवा iPSK चा वापर केला जातो, जेथे प्रत्येक उपकरणाला विशिष्ट VLAN वर मॅप केलेला एक युनिक पासफ्रेज मिळतो. ISE कॉर्पोरेट IoT साठी हे व्यवस्थापित करू शकते, किंवा Purple चे SecurePass फीचर पॉईंट-ऑफ-सेल टर्मिनल्स आणि डिजिटल सायनेज सारख्या वेन्यू IoT साठी हे हाताळते. दोन्ही प्लॅटफॉर्म्समध्ये अधिक घट्ट एकत्रीकरण हवे असल्यास, Cisco चे pxGrid, Purple ला अतिथी सत्र संदर्भ ISE इकोसिस्टममध्ये प्रकाशित करण्याची परवानगी देते, जेणेकरून तुमची सुरक्षा ऑपरेशन्स टीम एकाच युनिफाइड व्ह्यूमध्ये कॉर्पोरेट क्रियाकलापांसह अतिथी क्रियाकलाप देखील पाहू शकेल. [medium pause] विभाग चार: अंमलबजावणीच्या शिफारसी आणि सामान्य चुका. मी तुम्हाला डिप्लॉयमेंट्समध्ये पाहणाऱ्या तीन अत्यंत सामान्य चुका सांगतो. पहिली: व्यावसायिक अतिथी WiFi साठी ISE चे इन-बिल्ट गेस्ट पोर्टल वापरणे. ISE चे गेस्ट पोर्टल कंत्राटदार आणि तात्पुरत्या कर्मचाऱ्यांसाठी डिझाइन केलेले आहे, मार्केटिंग-चालित अतिथी प्रवेशासाठी नाही. यामध्ये कोणतेही CRM एकत्रीकरण, संमती व्यवस्थापन (consent management) आणि विश्लेषण (analytics) नाही. तुम्ही आदरातिथ्य (hospitality), किरकोळ विक्री (retail), किंवा कार्यक्रमांच्या (events) क्षेत्रात असल्यास, तुम्हाला अतिथी SSID वर Purple ची आवश्यकता आहे. ISE कॉर्पोरेट हाताळते. Purple अतिथींना हाताळते. त्यांना स्वतंत्र ठेवा. दुसरी: VLAN चे योग्य प्रकारे वर्गीकरण (segmenting) न करणे. अतिथी ट्रॅफिक लेयर टू (layer two) वर कॉर्पोरेट ट्रॅफिकपासून वेगळे केले पाहिजे. Purple थेट इंटरनेटवर रूट केलेल्या स्वतंत्र VLAN मध्ये कार्य करते, ज्याला अंतर्गत संसाधनांचा कोणताही प्रवेश नसतो. ISE कॉर्पोरेट उपकरणांसाठी VLAN असाइनमेंट लागू करते. तुम्ही यांची सरमिसळ केल्यास, तुम्ही सुरक्षा धोका आणि अनुपालन (compliance) समस्या निर्माण करता. तिसरी: वॉल्ड गार्डन (walled garden) कॉन्फिगरेशनकडे दुर्लक्ष करणे. जेव्हा Purple हे Captive Portal असते, तेव्हा ॲक्सेस पॉईंटने प्रमाणीकरणापूर्वी (authentication) DNS आणि HTTP ट्रॅफिकला Purple च्या क्लाउड एंडपॉइंट्सवर जाण्याची परवानगी दिली पाहिजे. तुमचे वॉल्ड गार्डन खूप मर्यादित असल्यास, पोर्टल लोड होणार नाही. ते खूप शिथिल असल्यास, वापरकर्ते प्रमाणीकरण बायपास करू शकतात. Purple चे सपोर्ट दस्तऐवज प्रत्येक हार्डवेअर विक्रेत्यासाठी श्वेतसूचीबद्ध (whitelist) करण्यासाठी अचूक IP रेंज आणि डोमेन्स प्रदान करतात. [medium pause] विभाग पाच: रॅपिड-फायर प्रश्न. Purple हे Cisco ISE ची जागा घेते का? नाही. ते वेगवेगळ्या SSIDs वर वेगवेगळ्या वापरकर्त्यांसाठी वेगवेगळ्या समस्या सोडवतात. मी ISE शिवाय Cisco Meraki वर Purple चालवू शकतो का? होय. Purple हे Meraki API द्वारे Cisco Meraki सोबत मूळ स्वरूपात (natively) समाकलित होते. अतिथी WiFi साठी ISE ची आवश्यकता नाही. मी दोन्ही एकाच ॲक्सेस पॉईंट्सवर चालवू शकतो का? होय. एकाच हार्डवेअरवर एकाधिक SSIDs असणे ही मानक पद्धत आहे. Purple 802.1X ला सपोर्ट करते का? Purple चे SecurePass फीचर, Purple ॲप इंस्टॉल केलेल्या अतिथी उपकरणांसाठी 802.1X सह WPA3-Enterprise ला सपोर्ट करते, ज्यामुळे Captive Portal शिवाय स्वयंचलित, प्रमाणपत्र-आधारित रीकनेक्शन सक्षम होते. PCI DSS अनुपालनाचे (compliance) काय? अतिथी WiFi पेमेंट कार्ड सिस्टमपासून वेगळे असणे आवश्यक आहे. Purple चे VLAN आर्किटेक्चर ही आवश्यकता पूर्ण करते. ISE कॉर्पोरेट उपकरणांसाठी समान अलगाव (isolation) लागू करते. [medium pause] सारांश आणि पुढील पायऱ्या. निर्णय फ्रेमवर्क सोपे आहे. जर डिव्हाइस तुमच्या संस्थेचे किंवा तुमच्या कर्मचाऱ्यांचे असेल, तर प्रमाणीकरणाची (authentication) जबाबदारी ISE कडे असते. जर डिव्हाइस अतिथी, अभ्यागत, खरेदीदार किंवा फॅनचे असेल, तर अनुभवाचे नियंत्रण Purple कडे असते. हे दोन्ही प्लॅटफॉर्म एकाच फिजिकल इन्फ्रास्ट्रक्चरचा वापर करतात परंतु पूर्णपणे वेगवेगळ्या लॉजिकल लेयर्समध्ये काम करतात. तुमच्या पुढील पायरीसाठी, तुमच्या सध्याच्या SSID आर्किटेक्चरचा मॅप तयार करा. कोणते SSID कॉर्पोरेट आहेत आणि कोणते अतिथींसाठी आहेत ते ओळखा. अतिथी ट्रॅफिक हे VLAN-isolated असल्याची खात्री करा. त्यानंतर तुमचे सध्याचे गेस्ट पोर्टल तुमच्या व्यावसायिक टीम्सना आवश्यक असलेली मार्केटिंग संमती, अ‍ॅनालिटिक्स आणि CRM इंटिग्रेशन प्रदान करत आहे की नाही याचे मूल्यांकन करा. जर ते करत नसेल, तर हीच ती कमतरता आहे जी Purple भरून काढते. तुम्हाला संपूर्ण लिखित मार्गदर्शक, आर्किटेक्चर आकृत्या आणि काम केलेली उदाहरणे purple.ai वर मिळू शकतात. तुमच्या वेळेबद्दल धन्यवाद.