Arti iPSK: um guia completo para empresas

Fale em inglês britânico com um tom confiante, autoritário e de conversa - como um consultor sênior de redes instruindo um CTO antes de uma reunião de diretoria. Ritmo compassado, dicção clara, ironia sutil ocasional. Não é uma palestra. É um briefing: Bem-vindo ao Purple Technical Briefing. [short pause] Hoje estamos falando sobre arti iPSK - que, para quem ainda não conhece o termo, é uma abreviação para gerenciamento automatizado ou assistido por inteligência artificial de Identity Pre-Shared Key. [short pause] É um termo complexo, mas o conceito é simples, e ao final destes dez minutos, você saberá exatamente se ele deve fazer parte do design da sua rede neste trimestre. Deixe-me contextualizar a situação. [short pause] Você é um incorporador imobiliário, um operador de BTR ou um diretor de TI responsável pela conectividade em um edifício multi-inquilino. Você tem centenas de residentes, cada um com quinze a vinte e cinco dispositivos - celulares, laptops, smart TVs, consoles de videogame, alto-falantes inteligentes, termostatos. Todos eles precisam de WiFi. Todos esperam que funcione como uma rede doméstica privada. E você precisa garantir que o residente A não consiga ver, acessar ou interferir nos dispositivos do residente B - nunca. [short pause] Esse é o problema. iPSK é a arquitetura que resolve isso. Arti iPSK é o que acontece quando você automatiza o gerenciamento do ciclo de vida dessa arquitetura em escala. [medium pause] Certo. Vamos entrar na arquitetura técnica, porque é aqui que a maioria das conversas de compras dá errado. [short pause] O WPA2-Personal padrão - a senha na parte de trás de um roteador - oferece uma chave compartilhada por todos. Em um empreendimento BTR de 200 unidades, isso significa 200 residências, potencialmente 4.000 dispositivos, todos se autenticando com a mesma credencial. Se um residente compartilhar essa senha, você perderá o controle do perímetro da sua rede. Se um morador se mudar e você precisar revogar o acesso dele, terá que alterar a senha de todo o edifício. Isso não é uma estratégia de gerenciamento de rede. Isso é uma vulnerabilidade. [short pause] No outro extremo do espectro, você tem o WPA3-Enterprise usando IEEE 802.1X - o padrão corporativo. Ele exige um nome de usuário e senha exclusivos, ou um certificado digital, por dispositivo. É altamente seguro. Mas aqui está o problema: dispositivos sem interface de usuário - consoles de videogame, smart TVs, Amazon Echo, Chromecast - não conseguem processar certificados 802.1X. Eles simplesmente não conseguem se conectar. Em um ambiente residencial, isso é um fator de descarte. [short pause] O iPSK fica precisamente no meio. O Identity Pre-Shared Key atribui uma senha de WiFi exclusiva para cada morador individual ou grupo de dispositivos, tudo em um único SSID. Do ponto de vista do dispositivo, ele está se conectando a uma rede padrão WPA2 ou WPA3 usando uma chave pré-compartilhada. Sem certificados, sem integrações complexas. Mas, nos bastidores, seu controlador sem fio - seja ele Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist - mantém um banco de dados de chaves exclusivas, uma por morador. Quando um dispositivo se conecta e apresenta sua chave, o controlador a associa a um registro de identidade e aplica a política de rede correspondente: atribuição de VLAN, limites de largura de banda, controle de acesso. [medium pause] Agora, a parte realmente poderosa é o que acontece na camada de VLAN. [short pause] Em um empreendimento BTR, você deseja no mínimo quatro segmentos de rede. Uma VLAN de morador para dispositivos pessoais. Uma VLAN de equipe para gerenciamento do edifício. Uma VLAN de IoT para sistemas de gerenciamento predial, CFTV e fechaduras inteligentes. E uma VLAN de visitante para áreas comuns. Com uma única PSK compartilhada, você não consegue diferenciar esses grupos sem implantar múltiplos SSIDs - o que cria congestionamento de radiofrequência e sobrecarga de gerenciamento. Com o iPSK, um único SSID direciona dinamicamente cada dispositivo conectado para a VLAN correta com base na chave apresentada. Limpo, escalável, operacionalmente simples. [short pause] Isso também cria o que chamamos de uma Private Area Network - uma bolha de WiFi em torno dos dispositivos de cada morador. Dentro da bolha, o isolamento de Camada 2 é desativado, para que a reflexão mDNS funcione. O iPhone de um morador pode descobrir seu próprio Chromecast ou impressora sem fio, exatamente como em um roteador doméstico. Fora da bolha, o isolamento de Camada 2 é estritamente aplicado. O morador A não pode ver, transmitir ou interagir com os dispositivos do morador B, mesmo que estejam conectados ao mesmo ponto de acesso físico no corredor. Essa é a arquitetura em conformidade com o GDPR para WiFi multi-inquilino. [medium pause] Então, de onde vem a parte "arti"? [short pause] O Arti iPSK refere-se à camada de automação e inteligência no topo da arquitetura iPSK principal. Gerenciar manualmente milhares de chaves exclusivas - gerando-as, distribuindo-as, revogando-as quando o contrato de locação termina - simplesmente não é viável em escala. Um empreendimento de 500 leitos com um ciclo de locação de 52 semanas significa centenas de eventos de ciclo de vida de chaves por ano. Se sua equipe estiver gerenciando isso em uma planilha, você está criando um risco operacional. [short pause] A camada de automação conecta seu controlador sem fio ao seu provedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - e ao seu sistema de gerenciamento de propriedades por meio de REST API. Quando um novo morador é adicionado ao seu sistema de locação, uma chave iPSK exclusiva é gerada automaticamente e distribuída - por meio do aplicativo Purple, um e-mail de boas-vindas ou um código QR em um cartão de mudança. Quando uma locação termina, a chave é revogada automaticamente. Sem intervenção manual. Sem chamados de suporte. Sem credenciais órfãs acumulando-se como uma responsabilidade de segurança. [short pause] A plataforma de WiFi Multi-Tenant da Purple gerencia todo esse ciclo de vida como uma sobreposição em nuvem no seu hardware existente. Oferecemos suporte para Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet - assim, você não fica preso a um fornecedor específico. A plataforma possui certificação ISO 27001, conformidade com GDPR e CCPA, e entrega 99,999% de uptime em 80.000 locais ativos. [medium pause] Deixe-me apresentar dois cenários do mundo real para tornar isso concreto. [short pause] Cenário um: um empreendimento Build-to-Rent de 300 unidades em Manchester. O desenvolvedor especificou pontos de acesso Cisco Meraki em todo o edifício - um AP por corredor, dois por andar em áreas de alta densidade. A sobreposição em nuvem da Purple se conecta ao controlador Meraki via RADIUS e API. Quando um novo residente assina seu contrato de locação no sistema de gestão de propriedades, a Purple gera automaticamente uma chave iPSK exclusiva de 32 caracteres e a envia para o e-mail do residente com um código QR. No dia da mudança, o residente escaneia o código QR em seu telefone. Cada dispositivo que ele conectar posteriormente usando essa chave - notebook, smart TV, console de videogame, smart speaker - entra em sua VLAN privada. O Chromecast funciona. O PlayStation obtém um tipo de NAT limpo. O vizinho não consegue ver nenhum de seus dispositivos. Quando o morador se muda, a chave é revogada poucos minutos após a data de término da locação ser atualizada no sistema de gestão de propriedades. O próximo morador recebe uma nova chave antes de chegar. [short pause] Cenário dois: um hotel de 250 quartos. Historicamente, o hotel usava um Captive Portal - os hóspedes tinham que fazer login por meio de uma página web a cada 24 horas. A reclamação mais comum dos hóspedes era a fricção na reconexão do WiFi. As Apple TVs nos quartos não funcionavam, porque os portais cativos impedem o pareamento de dispositivos. O hotel integrou seu sistema de gestão de propriedades com a Purple. No check-in, o PMS aciona automaticamente a geração de chaves. O hóspede recebe sua chave iPSK exclusiva na confirmação do check-in. Ele se conecta uma única vez. Seus dispositivos permanecem conectados durante toda a estadia. A chave expira automaticamente no checkout. As pontuações de satisfação dos hóspedes em relação ao WiFi melhoraram 34% no primeiro trimestre após a implantação - dados da própria Purple obtidos a partir da implementação. [medium pause] Certo. Recomendações de implantação e as armadilhas a serem evitadas. [short pause] Primeiro: geração de chaves. Suas chaves iPSK precisam ter no mínimo 20 caracteres, idealmente 32, e ser criptograficamente aleatórias. Não permita que os moradores escolham suas próprias chaves. Não use padrões sequenciais ou previsíveis. Gere-as de forma programática e distribua-as com segurança. [short pause] Segundo: suporte do controlador. Nem todos os controladores sem fio implementam o iPSK da mesma forma. A Cisco o chama de iPSK ou Rede Privada Pessoal. A Aruba o chama de MPSK - Multi-PSK. A Ruckus o chama de DPSK - Dynamic PSK. Os limites de escala, recursos de API e granularidade de direcionamento de VLAN variam entre plataformas e versões de firmware. Antes de se comprometer com uma plataforma, valide o número máximo de chaves exclusivas suportadas por SSID. Algumas plataformas mais antigas limitam isso a algumas centenas, o que é inadequado para um empreendimento de grande porte. [short pause] Terceiro: limites de dispositivos por chave. Estudantes e residentes conectam vários dispositivos. Se você não configurar um limite de dispositivos por chave, um único iPSK pode se proliferar por dezenas de dispositivos, prejudicando sua capacidade de atribuir o tráfego com precisão. Defina um limite de quatro a seis dispositivos por chave e aplique-o no controlador. [short pause] Quarto: dimensionamento do escopo DHCP. Em um ambiente residencial de alta densidade, você consumirá endereços IP rapidamente. Planeje de 15 a 25 dispositivos por residência. Use tempos de concessão DHCP de quatro a oito horas, em vez das 24 horas padrão, para recuperar endereços de forma eficiente. [short pause] O principal erro a ser evitado: implantar o iPSK sem um processo documentado de ciclo de vida das chaves. Chaves que nunca são revogadas se acumulam com o tempo e se tornam um risco de segurança. Crie o fluxo de trabalho de revogação antes de entrar em operação, não depois. [medium pause] Perguntas rápidas. [short pause] O iPSK exige um certificado no dispositivo do cliente? Não. O dispositivo do cliente vê uma solicitação de senha padrão WPA2 ou WPA3. Sem certificados, sem configuração de suplicante. [short pause] É possível limitar a largura de banda por residente? Sim. O servidor RADIUS identifica o residente específico e pode enviar atributos de política de limite de taxa de volta para o controlador. [short pause] É seguro se um residente compartilhar sua chave? Muito mais seguro do que o PSK padrão. O novo dispositivo ingressa apenas na Rede de Área Privada isolada daquele residente - não na rede mais ampla do edifício ou nos dispositivos de outros residentes. E você pode definir um limite de endereços MAC simultâneos por chave. [short pause] O iPSK funciona com WPA3? Sim. O WPA3-SAE pode ser combinado com iPSK em hardware compatível, adicionando segurança direta e resistência a ataques de dicionário offline. [medium pause] Para encerrar. [short pause] O gerenciamento automatizado de Identity Pre-Shared Key - ou iPSK - é a arquitetura certa para qualquer implantação de WiFi multi-tenant onde você precisa de responsabilidade por residente sem a complexidade de uma infraestrutura 802.1X completa. Ele oferece credenciais exclusivas por residente, direcionamento dinâmico de VLAN, gerenciamento granular do ciclo de vida e uma trilha de auditoria pronta para conformidade - tudo com uma experiência de integração de dispositivos tão simples quanto inserir uma senha de WiFi. [short pause] O caso comercial é claro. No setor de BTR, o WiFi gerenciado como uma comodidade apoia um prêmio de aluguel de quinze a trinta libras por unidade por mês e reduz os períodos de vacância em cinco a dez dias - pesquisa de setor da British Property Federation. Para um empreendimento de 200 unidades, essa é uma contribuição significativa para o lucro operacional líquido. [short pause] A Purple opera WiFi gerenciado em 80.000 locais desde 2012. Somos certificados pela ISO 27001, em conformidade com o GDPR e a CCPA, e certificados como B Corp. Nossa plataforma Multi-Tenant WiFi gerencia todo o ciclo de vida do residente - integração, gerenciamento de credenciais, suporte a IoT, análises e conformidade - como uma sobreposição em nuvem sobre o hardware que você já possui ou está especificando hoje. [short pause] Se você estiver na fase de projeto de um empreendimento BTR ou revisando uma rede existente que não está apresentando um bom desempenho, visite purple ponto ai para obter o guia completo por escrito, diagramas de arquitetura e uma calculadora de ROI. [short pause] Obrigado por ouvir.