Aruba ClearPass vs. Purple WiFi: Comparando Recursos e Co-implantação

Fale em inglês britânico com um tom confiante, autoritário e conversacional. Você é um consultor sênior de rede instruindo um cliente. Ritmo cadenciado, dicção clara, profissional mas não rígido. Pausas naturais ocasionais para ênfase: Bem-vindo a este briefing técnico da Purple. Eu sou seu anfitrião e hoje estamos abordando uma questão que surge em quase todos os projetos de redes sem fio empresariais em que trabalhamos: quando você já tem o Aruba ClearPass implantado, onde o Purple WiFi se encaixa e como os dois sistemas funcionam juntos? [pausa média] Esta não é uma discussão teórica. Se você é um gerente de TI, um arquiteto de rede ou um engenheiro de segurança em um grupo hoteleiro, uma rede de varejo ou uma operadora de estádio, esta é uma decisão que você pode precisar tomar neste trimestre. Então, vamos ao que interessa. [pausa média] Introdução e contexto. [pausa curta] Primeiro, vamos esclarecer o que cada plataforma foi realmente projetada para fazer. O Aruba ClearPass Policy Manager é uma plataforma de Controle de Acesso à Rede (NAC). O seu trabalho é autenticar dispositivos e usuários, avaliar a postura do endpoint e aplicar políticas de acesso em toda a sua rede. Ele lida com o 802.1X, que é o padrão IEEE para controle de acesso à rede baseado em porta, usando métodos EAP como EAP-TLS com certificados e PEAP com nome de usuário e senha. Ele se integra ao Microsoft Entra ID, Okta e outros provedores de identidade. Ele traça o perfil dos dispositivos, verifica se eles estão em conformidade com sua política de segurança e os atribui à função de rede correta. Para dispositivos corporativos, o ClearPass é excelente. Ele foi construído exatamente para este caso de uso. [pausa média] O Purple WiFi é um animal totalmente diferente. O Purple é uma plataforma de inteligência de guest WiFi baseada em nuvem. O seu trabalho é autenticar visitantes por meio de um Captive Portal personalizado, capturar dados primários com fluxos de consentimento em conformidade com a GDPR e enviar esses dados para sua pilha de marketing e análise. O Purple opera em mais de 80.000 locais em todo o mundo e processou 440 milhões de logins apenas em 2024. Ele se integra a mais de 400 conectores, incluindo CRMs e plataformas de automação de marketing. Para redes de convidados, o Purple é o especialista. [pausa média] O problema que a maioria das organizações enfrenta é que tentam usar uma única plataforma para fazer os dois trabalhos. Ou pedem ao ClearPass para rodar seu portal de convidados, o que ele pode fazer, mas não de forma elegante, ou implantam o Purple sem pensar em como ele se posiciona ao lado do seu investimento em NAC existente. A resposta certa é uma arquitetura de coimplantação onde cada plataforma faz o que faz de melhor. [pausa média] Aprofundamento técnico. [pausa curta] Deixe-me orientá-lo pela arquitetura. Em uma coimplantação, seu Aruba Mobility Controller ou pontos de acesso Aruba Instant transmitem múltiplos SSIDs. Normalmente três: um para dispositivos corporativos, um para convidados e um para IoT. Para saber mais sobre esse padrão de design de SSID, a Purple publicou um guia detalhado chamado "Three SSIDs to rule them all", que recomendo ler junto com este briefing. [pausa média] O SSID corporativo utiliza 802.1X com EAP-TLS. Os dispositivos se autenticam usando certificados provisionados através do ClearPass Onboard, que é o módulo integrado de registro de certificados e provisionamento de dispositivos do ClearPass. O ClearPass verifica a postura do dispositivo, valida o certificado, consulta o Active Directory ou o Microsoft Entra ID e atribui o dispositivo à VLAN apropriada. Normalmente, VLAN 10 para o corporativo. Todo esse fluxo permanece dentro do ClearPass. O Purple não está envolvido. [medium pause] O SSID de visitantes é onde a integração acontece. Quando um visitante se conecta ao SSID de visitantes, o controlador Aruba intercepta seu tráfego HTTP e redireciona seu navegador para o Captive Portal do Purple. O visitante se autentica através do Purple, talvez usando login social via Google, um formulário de e-mail personalizado ou OpenRoaming, onde o Purple atua como um provedor de identidade gratuito sob a licença Connect. Assim que o Purple valida o visitante, ele envia uma mensagem RADIUS Access-Accept de volta ao controlador, que concede o acesso à internet. [medium pause] Agora, a decisão de arquitetura fundamental é se você insere o ClearPass como um proxy RADIUS entre o controlador e o Purple, ou se o controlador se comunica diretamente com os servidores RADIUS do Purple. Para a maioria das implantações corporativas, o modelo de proxy é a escolha certa. Aqui está o porquê. [medium pause] Com o ClearPass como um proxy RADIUS, cada evento de autenticação na sua rede, tanto corporativa quanto de visitantes, passa pelo ClearPass. Você obtém uma trilha de auditoria única. Sua equipe de operações de segurança vê tudo em um só lugar. O ClearPass pode anexar seus próprios atributos de política antes de retornar a resposta ao controlador, permitindo a atribuição dinâmica de VLAN com base na função. E você mantém a capacidade de aplicar políticas adicionais às sessões de visitantes, como limites de largura de banda ou restrições de acesso baseadas em tempo. Fale em inglês britânico com um tom confiante, autoritário e conversacional. Você é um consultor sênior de rede instruindo um cliente. Ritmo cadenciado, dicção clara, profissional mas não rígido: A configuração do proxy no ClearPass é simples. Você cria uma Política de Roteamento RADIUS que corresponde ao SSID de visitantes por identificador NAS ou ID da estação chamada. As solicitações que correspondem a essa política são encaminhadas para os servidores RADIUS na nuvem do Purple. O Purple responde, o ClearPass anexa o atributo específico do fornecedor Aruba-User-Role e o controlador coloca o visitante na VLAN 20 com acesso apenas à internet. [medium pause] Para dispositivos IoT, o terceiro SSID usa desvio de autenticação MAC. O ClearPass traça o perfil do dispositivo usando seu OUI, os primeiros seis caracteres do endereço MAC que identificam o fabricante, e o atribui a ROLE_IOT, que mapeia para a VLAN 30. Esta VLAN não tem acesso à internet, apenas conectividade local. Suas smart TVs, termostatos e fechaduras inteligentes ficam completamente isolados do tráfego corporativo e de visitantes. [medium pause] Vamos falar sobre conformidade, porque é aqui que a arquitetura se paga. Sob o PCI DSS, qualquer segmento de rede que toque em dados de titulares de cartões deve ser isolado das redes de convidados. A segmentação de VLAN nesta arquitetura atende a esse requisito. Sob a GDPR, o Captive Portal da Purple lida com a coleta de consentimento com opt-ins de escolha consciente, o que significa que os visitantes escolhem ativamente compartilhar seus dados em vez de tê-los coletados por padrão. A Purple possui certificação ISO 27001, conformidade com a GDPR e possui a certificação Cyber Essentials. O ClearPass fornece a trilha de auditoria que sua equipe de segurança precisa para relatórios de conformidade. [medium pause] Recomendações de implementação e armadilhas. [short pause] Deixe-me dar as cinco coisas que mais comumente dão errado nesta implantação e como evitá-las. [medium pause] Número um: o walled garden. Antes que um visitante se autentique, o controlador Aruba apenas permite o tráfego para uma lista predefinida de destinos. Se os domínios do portal da Purple, seus endpoints CDN e os domínios do provedor de login social não estiverem nessa lista, o portal não será carregado. Você precisa incluir asterisco ponto purple ponto ai, asterisco ponto cloudfront ponto net e os domínios OAuth para quaisquer provedores de login social que você estiver ativando. Google, Facebook, Apple e Microsoft Entra ID têm seus próprios conjuntos de domínios. Trate o walled garden como uma configuração viva, porque os provedores de login social alteram seus domínios CDN periodicamente. [medium pause] Número dois: tempos limite de RADIUS. O tempo limite padrão de RADIUS na maioria dos controladores Aruba é de três segundos. Em uma arquitetura de proxy, a solicitação viaja do ponto de acesso para o controlador, para o ClearPass, através da internet para o RADIUS em nuvem da Purple e de volta. Em uma rede congestionada, essa viagem de ida e volta pode exceder três segundos. Defina seu tempo limite para pelo menos dez segundos e configure a lógica de nova tentativa com pelo menos duas tentativas. [medium pause] Número três: incompatibilidades de segredos compartilhados. O segredo compartilhado entre o controlador Aruba e o ClearPass deve corresponder exatamente. O segredo compartilhado entre o ClearPass e os servidores RADIUS da Purple também deve corresponder exatamente. A diferença de um único caractere causa falhas de autenticação silenciosas, sem nenhuma mensagem de erro significativa para o visitante. Sempre verifique isso caractere por caractere. [medium pause] Número quatro: diferenciação de maiúsculas e minúsculas no nome da função. O atributo Aruba-User-Role retornado pelo ClearPass deve corresponder exatamente ao nome da função definida no controlador Aruba, incluindo letras maiúsculas. Se o ClearPass retornar guest-authenticated, mas o controlador tiver Guest-Authenticated definido, o visitante volta para a função de logon padrão sem acesso à internet. [medium pause] Número cinco: RADIUS accounting. Muitas implantações configuram o proxy de autenticação corretamente, mas se esquecem de fazer o proxy de accounting também. A Purple usa dados de RADIUS accounting para rastrear a duração da sessão, o uso de dados e para preencher seus painéis de analytics. Se o accounting não estiver fluindo para a Purple, seus relatórios de fluxo de pessoas (footfall analytics) e tempo de permanência estarão incompletos. [medium pause] Perguntas rápidas. [short pause] Posso executar isso no Aruba Instant em vez de um Mobility Controller completo? Sim. O Aruba Instant suporta servidores RADIUS externos e redirecionamento de Captive Portal. A configuração difere um pouco, mas os princípios são idênticos. [medium pause] A Purple suporta Change of Authorisation? Sim. O CoA permite que a controladora atualize dinamicamente a sessão de um visitante sem exigir que ele se reconecte. Isso é útil para acessos com limite de tempo ou upgrades de planos. [medium pause] Isso funciona com WPA3? Sim. Tanto o WPA3-SAE para redes pessoais quanto o WPA3-Enterprise para 802.1X são suportados. Para redes de convidados que utilizam Captive Portals, o WPA3-SAE ou um SSID aberto com Opportunistic Wireless Encryption são as escolhas típicas. [medium pause] Posso usar um único SSID para funcionários e convidados? Sim, mas isso adiciona complexidade. O ClearPass lida com autenticação 802.1X e MAC no mesmo SSID, usando regras de serviço para diferenciar os tipos de tráfego e rotear adequadamente. Para a maioria dos locais, SSIDs separados são a escolha mais limpa. [medium pause] Resumo e próximos passos. [short pause] O ClearPass e a Purple são complementares, não concorrentes. O ClearPass é o seu mecanismo de política para dispositivos corporativos: 802.1X, postura do endpoint, gerenciamento de certificados e trilha de auditoria unificada. A Purple é a sua plataforma de inteligência de convidados: Captive Portal personalizado, captura de dados em conformidade com o GDPR, analytics de fluxo de pessoas e automação de marketing. [medium pause] A arquitetura de co-implantação usa o ClearPass como um proxy RADIUS. Todas as solicitações de autenticação fluem pelo ClearPass. As solicitações de convidados são roteadas para o RADIUS na nuvem da Purple. As solicitações corporativas são tratadas localmente pelo ClearPass. A controladora Aruba aplica as políticas resultantes por meio de atribuição dinâmica de VLAN. [medium pause] Os três elementos de configuração que você deve acertar são: o walled garden, os limites de tempo (timeouts) do RADIUS e a consistência dos nomes de função (role). Acerte esses pontos e você terá uma implantação de WiFi para convidados em conformidade e comercialmente valiosa, sem comprometer a sua postura de segurança corporativa. [medium pause] Para os seus próximos passos: obtenha as credenciais de RADIUS do seu local na Purple no painel da Purple, revise a lista de referência do walled garden no guia escrito complementar e teste todo o fluxo de autenticação com um dispositivo de teste dedicado antes de implantar em produção. Se você estiver fazendo a implantação em vários locais, o console de gerenciamento multi-site da Purple permite gerenciar as configurações de Captive Portal, identidade visual e analytics de todo o seu patrimônio a partir de uma única interface. [medium pause] Obrigado por nos ouvir. Visite purple ponto ai para conversar com um arquiteto de soluções sobre sua implantação específica.