Cisco ISE vs. Purple WiFi: Como eles se comparam e trabalham juntos

Você é um consultor sênior de segurança de rede instruindo um cliente em inglês britânico com um tom confiante, autoritativo e de conversação. Fale claramente e em um ritmo medido, como se estivesse se apresentando para uma sala de diretores de TI e arquitetos de rede. Este é um briefing técnico profissional, não uma palestra. Fale em inglês britânico com um sotaque de pronúncia recebida padrão: Bem-vindo à série de briefings técnicos da Purple. Hoje vamos abordar uma questão que surge constantemente no design de redes corporativas: Cisco ISE versus Purple WiFi. Como eles se comparam e, mais importante, como funcionam juntos? Vou te dar a resposta direta em cerca de dez minutos. [medium pause] Vamos começar pelo contexto. Se você administra um hotel, uma propriedade de varejo, um estádio ou um prédio do setor público, quase certamente tem duas populações distintas se conectando à sua rede. Você tem funcionários e dispositivos corporativos, e tem convidados, visitantes, torcedores ou compradores. Essas duas populações têm requisitos de autenticação completamente diferentes, direitos de dados diferentes e objetivos de negócios diferentes. O erro que a maioria das organizações comete é tentar resolver ambos os problemas com uma única ferramenta. É daí que vem a confusão entre o Cisco ISE e a Purple. [medium pause] Seção um: o que o Cisco ISE realmente faz. O Cisco Identity Services Engine, ou ISE, é a plataforma corporativa de Controle de Acesso à Rede da Cisco. Seu trabalho é autenticar e autorizar dispositivos corporativos e usuários da equipe. Ele faz isso principalmente por meio do IEEE 802.1X, que é o padrão de controle de acesso à rede baseado em porta. Quando um notebook corporativo se conecta à sua rede, o ISE verifica seu certificado via EAP-TLS, ou suas credenciais via PEAP, valida-o em relação ao Active Directory ou Microsoft Entra ID, avalia sua postura de segurança e, em seguida, atribui-o à VLAN correta com a política correta. Se o dispositivo falhar na avaliação de postura, o ISE pode colocá-lo em quarentena automaticamente usando RADIUS Change of Authorisation, ou CoA. O ISE também lida com a integração de BYOD, onde os dispositivos pessoais são registrados com um certificado para que possam se autenticar de forma segura sem uma senha compartilhada. E ele se integra ao framework pxGrid da Cisco, que permite que outras ferramentas de segurança, como firewalls e plataformas SIEM, consumam contexto de identidade em tempo real. Os três níveis de licença do ISE são Essentials, Advantage e Premier. O Essentials cobre 802.1X e acesso básico de convidados. O Advantage adiciona BYOD, avaliação de postura e integração com MDM de terceiros. O Premier adiciona serviços de identidade passiva e integração avançada contra ameaças. [medium pause] Portanto, o ISE é uma plataforma de segurança séria e de nível empresarial. Mas aqui está o ponto crítico: seu portal de convidados é funcional, não comercial. O ISE pode redirecionar um dispositivo não autenticado para uma página web, coletar um nome de usuário e senha ou a aprovação de um patrocinador, e conceder acesso à internet. O que ele não pode fazer é capturar o consentimento de marketing em conformidade com a GDPR, exibir splash pages personalizadas com login social, enviar dados de visitantes para o Salesforce ou HubSpot, gerar mapas de calor de tráfego de pessoas ou segmentar visitantes por dados demográficos para uma campanha de marketing. Não foi para isso que o ISE foi projetado, e tentar estendê-lo para essa função cria complexidade sem entregar o resultado comercial. Você é um consultor sênior de segurança de rede continuando um briefing técnico em inglês britânico com um tom confiante, autoritativo e conversacional. Fale claramente e em um ritmo compassado. Fale em inglês britânico com sotaque padrão de Received Pronunciation: Seção dois: o que a Purple faz. A Purple é uma plataforma de sobreposição em nuvem. Operamos no topo da sua infraestrutura de WiFi existente, seja ela Cisco Meraki, Cisco Catalyst, HPE Aruba, Ruckus, Juniper Mist ou qualquer outro grande fornecedor. Nós não substituímos seu hardware. Não substituímos o ISE. Nós cuidamos da camada de experiência do convidado. Quando um visitante se conecta ao seu SSID de convidado, a Purple intercepta essa conexão e apresenta um Captive Portal personalizado. Esse portal pode oferecer login social via Facebook, Google ou LinkedIn, um formulário personalizado de captura de dados, uma opção de clique para conectar ou Passpoint para reconexão automática segura em visitas de retorno. Cada login captura dados primários com consentimento explícito da GDPR. Esses dados fluem diretamente para o seu CRM, sua plataforma de marketing por e-mail ou seu programa de fidelidade. A Purple opera em mais de 80.000 estabelecimentos ativos e processou 440 milhões de logins apenas em 2024. Possuímos a certificação ISO 27001, estamos em conformidade com a GDPR e CCPA, e mantemos 99,999% de uptime. Clientes de destaque incluem McDonald's, Harrods, Premier Inn, AGS Airports e Manchester Airports Group. [pausa média] Seção três: como eles coexistem em uma topologia de rede moderna. A arquitetura é simples assim que você entende a separação de responsabilidades. Você executa dois ou três SSIDs nos mesmos pontos de acesso. O SSID corporativo usa WPA3-Enterprise com 802.1X, e o ISE é o servidor RADIUS. Cada dispositivo de funcionário é autenticado com um certificado ou credencial. O ISE atribui o dispositivo à VLAN correta, aplica a política correta e registra a sessão. A Purple não tem papel aqui. Este é o domínio exclusivo do ISE. O SSID de convidado é aberto ou usa WPA3-Personal com uma chave pré-compartilhada para associação inicial. O tráfego é redirecionado para o portal em nuvem da Purple. A Purple lida com autenticação, captura de consentimento e analytics. O ponto de acesso impõe um walled garden até que a Purple sinalize a autorização e, em seguida, abra o acesso à internet. O ISE não tem papel aqui. Este é o domínio da Purple. Para implantações mais complexas, você pode adicionar um terceiro SSID para dispositivos IoT, usando chaves pré-compartilhadas de identidade, ou iPSK, onde cada dispositivo recebe uma senha exclusiva mapeada para uma VLAN específica. O ISE pode gerenciar isso para IoT corporativo, ou o recurso SecurePass da Purple lida com isso para IoT de locais físicos, como terminais de ponto de venda e sinalização digital. Se você deseja uma integração mais estreita entre as duas plataformas, o pxGrid da Cisco permite que a Purple publique o contexto da sessão do convidado no ecossistema do ISE, para que sua equipe de operações de segurança possa ver a atividade dos convidados juntamente com a atividade corporativa em uma visão unificada. [medium pause] Seção quatro: recomendações de implementação e armadilhas comuns. Deixe-me apresentar os três erros mais comuns que vejo nas implantações. Primeiro: usar o Captive Portal integrado do ISE para WiFi de convidados comerciais. O portal de convidados do ISE foi projetado para contratados e funcionários temporários, não para acesso de convidados focado em marketing. Ele não possui integração com CRM, gerenciamento de consentimento e análise de dados. Se você está no setor de hospitalidade, varejo ou eventos, precisa da Purple no SSID de convidados. O ISE cuida do corporativo. A Purple cuida dos convidados. Mantenha-os separados. Segundo: não segmentar as VLANs corretamente. O tráfego de convidados deve ser isolado do tráfego corporativo na camada dois. A Purple opera em uma VLAN separada roteada diretamente para a internet, sem acesso aos recursos internos. O ISE força a atribuição de VLAN para dispositivos corporativos. Se você misturar isso, criará uma exposição de segurança e um problema de conformidade. Terceiro: negligenciar a configuração do walled garden. Quando a Purple é o Captive Portal, o ponto de acesso deve permitir tráfego DNS e HTTP para os endpoints de nuvem da Purple antes da autenticação. Se o seu walled garden for muito restritivo, o portal não carregará. Se for muito permissivo, os usuários poderão burlar a autenticação. A documentação de suporte da Purple fornece os intervalos de IP e domínios exatos para incluir na whitelist para cada fornecedor de hardware. [medium pause] Seção cinco: perguntas rápidas. A Purple substitui o Cisco ISE? Não. Eles resolvem problemas diferentes para usuários diferentes em SSIDs diferentes. Posso executar a Purple no Cisco Meraki sem o ISE? Sim. A Purple se integra nativamente com o Cisco Meraki via API do Meraki. O ISE não é necessário para WiFi de convidados. Posso executar ambos nos mesmos pontos de acesso? Sim. Vários SSIDs no mesmo hardware é uma prática padrão. A Purple suporta 802.1X? O recurso SecurePass da Purple suporta WPA3-Enterprise com 802.1X para dispositivos de convidados que possuem o aplicativo Purple instalado, permitindo a reconexão automática baseada em certificado sem um Captive Portal. E quanto à conformidade com PCI DSS? O WiFi de convidados deve ser isolado dos sistemas de cartões de pagamento. A arquitetura de VLAN da Purple atende a esse requisito. O ISE impõe o mesmo isolamento para dispositivos corporativos. [medium pause] Resumo e próximos passos. A estrutura de decisão é simples. Se o dispositivo pertence à sua organização ou aos seus funcionários, o ISE é responsável pela autenticação. Se o dispositivo pertence a um convidado, visitante, cliente ou fã, a Purple gerencia a experiência. As duas plataformas compartilham a mesma infraestrutura física, mas operam em camadas lógicas completamente separadas. Como próximo passo, mapeie sua arquitetura de SSID atual. Identifique quais SSIDs são corporativos e quais são para convidados. Confirme se o tráfego de convidados está isolado por VLAN. Em seguida, avalie se o seu portal de convidados atual está oferecendo o consentimento de marketing, análise de dados e integração de CRM que suas equipes comerciais precisam. Se não estiver, essa é a lacuna que a Purple preenche. Você pode encontrar o guia escrito completo, diagramas de arquitetura e exemplos práticos em purple.ai. Obrigado pelo seu tempo.