Pular para o conteúdo principal
Português (Brasil)

Entendendo o Cisco SUDI: Identidade de Dispositivo Baseada em Hardware no Controle de Acesso à Rede

Este guia detalha a arquitetura técnica do Cisco SUDI, explicando como a identidade ancorada em hardware protege o controle de acesso à rede. Ele fornece etapas práticas de implementação para líderes de TI implantarem a autenticação 802.1X EAP-TLS e automatizarem o Zero Touch Provisioning em locais corporativos.

📖 6 min de leitura📝 1,346 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Understanding Cisco SUDI: Hardware-Based Device Identity in Network Access Control A Purple Technical Briefing - Full Podcast Script (approx. 10 minutes) --- SEGMENT 1: INTRODUCTION AND CONTEXT (approx. 1 minute) Hello and welcome to a Purple technical briefing. I'm going to spend the next ten minutes walking you through Cisco SUDI - Secure Unique Device Identifier - what it actually is, how it fits into your network access control architecture, and what you need to do about it if you're running Cisco infrastructure at scale. This is aimed at network architects, IT managers, and CTOs at venues - hotels, retail estates, stadiums, conference centres - anywhere you're running enterprise WiFi and need to be confident that the hardware on your network is exactly what it claims to be. Let's start with the problem SUDI solves. In any large venue network, you have dozens or hundreds of access points, switches, and controllers. The question your security posture depends on is: how do you know each of those devices is a genuine, unmodified Cisco product - and not a counterfeit, a compromised unit, or a device that's been tampered with in transit? That's the gap SUDI closes. --- SEGMENT 2: TECHNICAL DEEP-DIVE (approx. 5 minutes) SUDI stands for Secure Unique Device Identifier. It's an X.509 version 3 certificate - the same certificate format used in HTTPS and TLS - but rather than being issued to a person or a server, it's issued to a specific piece of hardware during manufacturing. It contains the device's product identifier and serial number, and it's rooted in Cisco's own public key infrastructure. Here's what makes SUDI different from a software certificate you'd install yourself. The SUDI certificate, along with its associated key pair, lives inside a tamper-resistant chip called the Trust Anchor module, or TAm. The private key is generated inside that chip and never leaves it. You cannot export it. You cannot clone it. If someone physically tampers with the chip, the key is destroyed. That's the hardware root of trust. SUDI is Cisco's implementation of the IEEE 802.1AR standard - the industry standard for Secure Device Identifiers, or DevIDs. Under 802.1AR, the manufacturer-installed credential is called an Initial Device Identifier, or IDevID. Cisco's SUDI is exactly that - an IDevID that Cisco installs at the factory. You can supplement it with a Locally Significant Device Identifier, or LDevID, which your own PKI issues for local authorisation policies. Now, how does this plug into network access control? The most common integration point is IEEE 802.1X - the port-based network access control standard. When a Cisco access point or switch comes online, it can present its SUDI certificate to a RADIUS server - typically Cisco ISE, Identity Services Engine - using EAP-TLS, which is Extensible Authentication Protocol with Transport Layer Security. The RADIUS server validates the certificate against Cisco's public certificate authority, confirms the device is genuine, and then applies the appropriate network policy. This is significantly stronger than MAC address bypass, which is the fallback most networks use for infrastructure devices. MAC addresses can be spoofed in under a minute. A hardware-bound certificate in a tamper-resistant chip cannot be spoofed without physically destroying the device. In a venue context, this matters for three reasons. First, it eliminates the risk of rogue access points joining your network. A counterfeit or unauthorised device simply cannot present a valid SUDI. Second, it enables automated, Zero Touch Provisioning - a new device ships to your venue, powers on, presents its SUDI, and your management system verifies it against your inventory before pushing configuration. No manual intervention. Third, it gives you a cryptographically verifiable audit trail. Every device that authenticated to your network did so with a certificate that proves it's a specific, named Cisco product. Let me talk about the Trust Anchor module in a bit more detail, because it's the foundation everything else sits on. The TAm is a proprietary Cisco chip that provides three things: non-volatile secure storage for the SUDI and keys, cryptographic services including random number generation, and hardware fingerprinting. That last one is worth noting - Cisco fingerprints the critical hardware components of a device at manufacturing and stores that fingerprint in the TAm. When the device boots, it checks the observed hardware fingerprint against the stored one. If they don't match, the device won't boot. That detects hardware tampering in transit - a real concern for large venue deployments where hardware may pass through multiple hands before installation. One operational issue you need to be aware of: SUDI certificates issued before May 2019 expire either ten years from manufacture date or on the 14th of May 2029, whichever comes first. Cisco has addressed this with a new generation of certificates called SUDI-2099, valid until December 2099. If you're running Catalyst 9000 series hardware manufactured before 2019, you need to check your SUDI expiry dates now. The command is show crypto pki certificate on IOS-XE. Look for the CISCO_IDEVID_SUDI trustpoint and check the end date. If you're on Catalyst 9200, upgrade to IOS-XE 17.12.2 or later to ensure you're using the correct 2099 certificate. --- SEGMENT 3: IMPLEMENTATION RECOMMENDATIONS AND PITFALLS (approx. 2 minutes) Let me give you the practical implementation picture. If you're deploying SUDI-based authentication in a venue environment, here's the sequence that works. Start with your RADIUS infrastructure. Cisco ISE is the natural choice if you're already in the Cisco ecosystem, but any RADIUS server that supports EAP-TLS and can validate against an external CA will work. You need to import Cisco's root CA and the ACT2 SUDI CA certificates into your RADIUS trust store. These are publicly available from Cisco's PKI portal. Next, configure your 802.1X policy to require certificate-based authentication for infrastructure devices. Separate this from your end-user authentication policy - staff and guest authentication flows are different and should be on different policy sets in ISE. For new deployments, enable Zero Touch Provisioning. Your network management system - Cisco DNA Centre or Catalyst Centre - can use SUDI to verify device identity before pushing configuration. This eliminates the manual staging process and reduces provisioning time from hours to minutes per device. Now, the pitfalls. The most common one I see is mixing SUDI authentication with MAC address bypass on the same port. If you fall back to MAB when SUDI fails, you've undermined the security model. Define a clear policy: SUDI-capable devices must authenticate via SUDI, full stop. Non-SUDI devices go to a quarantine VLAN pending manual review. The second pitfall is certificate expiry. Set up monitoring for SUDI expiry dates across your estate now. Don't wait for a service outage to discover that your access points can no longer authenticate. Purple's platform integrates with Cisco Meraki and other hardware vendors to surface device health signals - including authentication status - in a single dashboard, which makes this kind of proactive monitoring practical at scale. The third pitfall is scope creep. SUDI authenticates the hardware device. It does not authenticate the user connecting through that device. You still need a separate identity layer for guests, staff, and residents. That's where a platform like Purple sits - we handle the human identity layer, the consent capture, the VLAN assignment for guest traffic, and the analytics, while SUDI handles the infrastructure layer underneath. --- SEGMENT 4: RAPID-FIRE Q AND A (approx. 1 minute) Let me run through three questions I get asked regularly. Does SUDI replace my existing PKI? No. SUDI is a manufacturer-installed IDevID. It proves the device is genuine Cisco hardware. Your enterprise PKI issues LDevIDs and user certificates for everything else. They work in parallel. Can I use SUDI on non-Cisco hardware? No. SUDI is Cisco-specific. HPE Aruba has an equivalent called IAP provisioning certificates. Ruckus and Juniper Mist have their own device identity mechanisms. The underlying standard - IEEE 802.1AR - is vendor-neutral, but each manufacturer implements it differently. What happens when a SUDI certificate expires? Services that rely on SUDI for authentication - HTTPS, SSH with certificate auth, Zero Touch Provisioning - will fail. The device itself continues to operate, but it can no longer prove its identity cryptographically. That's why the SUDI-2099 migration matters. --- SEGMENT 5: SUMMARY AND NEXT STEPS (approx. 1 minute) To wrap up: Cisco SUDI gives you hardware-rooted device identity that cannot be spoofed, cloned, or exported. It's the foundation of a trustworthy infrastructure layer. Combined with IEEE 802.1X and a well-configured RADIUS policy, it eliminates rogue device risk and enables automated provisioning at scale. Your three immediate actions: one, audit your Cisco estate for SUDI expiry dates using show crypto pki certificate. Two, import Cisco's root CA into your RADIUS trust store and configure EAP-TLS policies for infrastructure devices. Three, separate your infrastructure authentication policy from your end-user authentication policy - they serve different purposes and should be managed independently. If you want to go deeper on how Purple integrates with Cisco Meraki and other hardware vendors to deliver identity-based network segmentation for guests, staff, and residents, visit purple.ai or read the related guides linked below this episode. Thanks for listening. I'll see you in the next briefing. --- END OF SCRIPT

header_image.png

Resumo Executivo

A autenticação de hardware protege a base física das redes corporativas. O Cisco Secure Unique Device Identifier (SUDI) fornece uma identidade imutável e criptograficamente verificável para dispositivos de infraestrutura, incorporada diretamente em um chip resistente a violações durante a fabricação. Para líderes de TI que gerenciam implantações em larga escala nos setores de hotelaria, varejo e público, o SUDI elimina o risco de hardware não autorizado e permite o Zero Touch Provisioning automatizado.

Este guia detalha a arquitetura técnica do Cisco SUDI, sua integração com o Controle de Acesso à Rede (NAC) IEEE 802.1X e as etapas operacionais necessárias para implantar e manter a identidade baseada em hardware em escala. Você aprenderá como fazer a transição do fraco desvio de endereço MAC para uma autenticação EAP-TLS robusta, gerenciar o ciclo de vida do certificado SUDI-2099 e alinhar a segurança da infraestrutura com plataformas de gerenciamento de identidade de usuários como a Purple.

Análise Técnica Detalhada

A Arquitetura da Identidade de Hardware

O Cisco Secure Unique Device Identifier (SUDI) é um certificado X.509v3 que fornece uma identidade permanente para dispositivos de rede. Ao contrário dos certificados de software que as equipes de TI geram e implantam, a Cisco injeta o certificado SUDI e seu par de chaves associado no dispositivo durante o processo de fabricação.

O certificado é armazenado com segurança no módulo Trust Anchor (TAm), um chip proprietário e resistente a violações. O TAm gera a chave privada internamente, garantindo que ela nunca possa ser exportada ou clonada. Essa raiz de confiança de hardware garante que, se um dispositivo for autenticado com sucesso usando seu SUDI, ele é um produto Cisco genuíno.

SUDI implementa o padrão IEEE 802.1AR para Identificadores de Dispositivos Seguros. Sob esse padrão, o certificado fornecido pelo fabricante é conhecido como Identificador de Dispositivo Inicial (IDevID). As organizações podem complementar o IDevID com um Identificador de Dispositivo Localmente Significativo (LDevID) emitido por sua própria Infraestrutura de Chaves Públicas (PKI) corporativa.

sudi_architecture_overview.png

Integração com o Controle de Acesso à Rede

Em um ambiente corporativo, o SUDI se integra aos sistemas de Controle de Acesso à Rede (NAC) principalmente por meio da autenticação baseada em porta IEEE 802.1X. Quando um ponto de acesso ou switch Cisco se conecta à rede, ele age como um solicitante (supplicant) e apresenta seu certificado SUDI a um servidor RADIUS, como o Cisco Identity Services Engine (ISE).

O processo de autenticação usa o Extensible Authentication Protocol com Transport Layer Security (EAP-TLS). O servidor RADIUS valida o certificado SUDI em relação à Infraestrutura de Chaves Públicas da Cisco. Uma vez validado, o servidor RADIUS autoriza o dispositivo e o atribui à VLAN correta com base na política de acesso à rede.

Essa abordagem substitui o MAC Address Bypass (MAB), um método legado que depende de endereços MAC facilmente falsificados. O MAB oferece garantia criptográfica zero da identidade do dispositivo, deixando as redes vulneráveis a pontos de acesso não autorizados.

Impressão Digital de Hardware e Detecção de Violação

O módulo Trust Anchor oferece mais do que apenas armazenamento seguro. Ele protege ativamente o dispositivo contra violações físicas durante o trânsito ou a implantação.

Durante a fabricação, a Cisco registra uma assinatura criptográfica (fingerprint) dos componentes críticos de hardware, como CPUs e ASICs. Essa assinatura é armazenada permanentemente no TAm. Quando o dispositivo é inicializado, o firmware UEFI calcula uma nova assinatura do hardware observado e a compara com a assinatura mestre no TAm. Se as assinaturas não corresponderem, o dispositivo interrompe o processo de inicialização. Esse mecanismo garante que o hardware implantado em um hotel ou loja de varejo não tenha sido comprometido entre a fábrica e o local de instalação.

Guia de Implementação

A implantação da autenticação baseada em SUDI requer coordenação entre sua infraestrutura de switching, seu servidor RADIUS e sua plataforma de gerenciamento de rede. Siga estas etapas para implementar a identidade de hardware.

Etapa 1: Configurar a Confiança do RADIUS

Seu servidor RADIUS deve confiar na Autoridade Certificadora da Cisco que emitiu o SUDI.

  1. Baixe os certificados Cisco Root CA e ACT2 SUDI CA do portal PKI da Cisco.
  2. Importe esses certificados para o repositório de certificados confiáveis do seu servidor RADIUS (por exemplo, Cisco ISE).
  3. Configure o servidor RADIUS para usar esses certificados para autenticação EAP-TLS.

Etapa 2: Definir Políticas 802.1X

Crie políticas de autenticação específicas para dispositivos de infraestrutura, separadas das políticas de autenticação de usuários.

  1. Crie um conjunto de políticas no Cisco ISE que corresponda aos atributos do certificado SUDI (por exemplo, comparando o Subject Alternative Name com os PIDs de dispositivo esperados).
  2. Atribua as autenticações bem-sucedidas à VLAN de gerenciamento de infraestrutura.
  3. Configure uma VLAN de quarentena para dispositivos que falharem na autenticação SUDI. Não configure um fallback para MAB para portas de infraestrutura.

Etapa 3: Habilitar o Zero Touch Provisioning

Use o SUDI para automatizar a integração (onboarding) de dispositivos.

  1. Configure seu sistema de gerenciamento de rede (como o Cisco Catalyst Center) para agir como o servidor ZTP.
  2. Quando um novo dispositivo se conecta, ele apresenta seu certificado SUDI.
  3. O sistema de gerenciamento verifica o certificado, confirma o número de série do dispositivo no banco de dados de inventário e envia a configuração inicial.

sudi_lifecycle_diagram.png

Etapa 4: Gerenciar a Migração do SUDI-2099

Os certificados SUDI emitidos antes de maio de 2019 expiram 10 anos a partir de a data de fabricação ou em 14 de maio de 2029, o que ocorrer primeiro. Quando um SUDI expira, os recursos que dependem dele, incluindo HTTPS, SSH e Zero Touch Provisioning, falharão.

Cisco introduziu os certificados SUDI-2099, que permanecem válidos até dezembro de 2099. Para garantir a continuidade:

  1. Audite seu inventário usando o comando show crypto pki certificate em dispositivos IOS-XE. Verifique a end date do trustpoint CISCO_IDEVID_SUDI.
  2. Atualize o hardware afetado para as versões de software recomendadas. Por exemplo, os switches Catalyst 9200 exigem o IOS-XE 17.12.2 ou posterior para lidar corretamente com a data de expiração de 2099.

Melhores Práticas

Para maximizar os benefícios de segurança da identidade de hardware, adote estes princípios independentes de fornecedor.

  1. Imponha EAP-TLS Rígido: Exija EAP-TLS para todos os dispositivos de infraestrutura. Não permita métodos EAP mais fracos, como PEAP, para autenticação de dispositivos.
  2. Isole a Identidade da Infraestrutura da Identidade do Usuário: O SUDI autentica o hardware, não o usuário. Use uma plataforma dedicada para gerenciar a identidade humana. Por exemplo, use o Purple para lidar com a autenticação de convidados, captura de consentimento e coleta de dados primários, enquanto conta com o SUDI para proteger o hardware subjacente Cisco Meraki ou HPE Aruba.
  3. Automatize o Monitoramento de Certificados: Implemente ferramentas de monitoramento para rastrear as datas de expiração dos certificados em todo o seu parque tecnológico. O monitoramento proativo evita falhas repentinas de autenticação.
  4. Implemente a Microssegmentação: Use a identidade verificada pelo SUDI para atribuir dispositivos a VLANs estritamente controladas. Um access point deve ter alcançabilidade de rede apenas para seu controlador e sistemas de gerenciamento, nada mais.

Solução de Problemas e Mitigação de Riscos

Ao implantar a autenticação baseada em SUDI, prepare-se para estes modos de falha comuns.

Modo de Falha Causa Raiz Estratégia de Mitigação
A Autenticação EAP-TLS Falha O servidor RADIUS não possui os certificados CA Raiz ou Intermediários corretos da Cisco. Verifique se a cadeia de confiança completa da Cisco está instalada no repositório confiável do servidor RADIUS.
O Dispositivo se Recusa a Inicializar A impressão digital do hardware calculada na inicialização não corresponde à impressão digital mestre no TAm. Trate o dispositivo como comprometido. Devolva o hardware ao fornecedor por meio do processo de RMA.
O Acesso de Gerenciamento Falha O certificado SUDI expirou, quebrando a autenticação de certificado HTTPS e SSH. Atualize o firmware do dispositivo para uma versão que suporte SUDI-2099 ou implante um LDevID usando a PKI da sua empresa.
Dispositivo Não Autorizado Obtém Acesso A porta do switch está configurada para fazer fallback para MAC Address Bypass (MAB) se o 802.1X falhar. Remova as configurações de fallback de MAB das portas de infraestrutura. Imponha uma política rígida de 802.1X.

ROI e Impacto nos Negócios

A implementação da identidade de dispositivo baseada em hardware entrega valor comercial mensurável em três áreas.

1. Custos de Provisionamento Reduzidos O Zero Touch Provisioning protegido por SUDI elimina a preparação manual. Em vez de um engenheiro gastar 45 minutos pré-configurando um access point antes de enviá-lo para uma loja de varejo, o dispositivo é enviado diretamente do distribuidor. Ele se autentica de forma segura ao ser conectado e baixa sua configuração automaticamente. Para uma implantação de varejo em 500 locais, isso economiza aproximadamente 375 horas de engenharia.

2. Eliminação do Risco de Dispositivos Não Autorizados Ao descontinuar o MAC Address Bypass em favor da identidade criptográfica de hardware, você elimina o risco de um invasor conectar um dispositivo não autorizado a uma porta de infraestrutura. Isso apoia diretamente a conformidade com os requisitos do PCI DSS e ISO 27001 para controle de acesso à rede.

3. Limites de Identidade Claros A implantação do SUDI estabelece um limite arquitetônico limpo. A camada de hardware se autentica criptograficamente, permitindo que você concentre seus recursos na camada de identidade do usuário. Ao integrar uma plataforma como o Purple para gerenciar o Guest WiFi e o WiFi Analytics , você o faz sobre uma base de infraestrutura segura e verificável.

Definições principais

SUDI (Secure Unique Device Identifier)

An X.509v3 certificate and associated private key embedded into a Cisco device during manufacturing to provide an immutable hardware identity.

Used by IT teams to cryptographically verify that a device connecting to the network is a genuine Cisco product.

TAm (Trust Anchor module)

A proprietary, tamper-resistant hardware chip that securely stores the SUDI certificate, generates cryptographic keys, and manages hardware fingerprinting.

Provides the hardware root of trust. If the TAm is compromised, the device will fail to boot or authenticate.

IDevID (Initial Device Identifier)

The manufacturer-installed secure device identifier defined by the IEEE 802.1AR standard. Cisco SUDI is an implementation of an IDevID.

Provides the foundational identity for a device before it is integrated into an organisation's own PKI environment.

LDevID (Locally Significant Device Identifier)

A device certificate issued by an organisation's own enterprise Public Key Infrastructure, supplementing the manufacturer's IDevID.

Used when IT teams require devices to authenticate using certificates issued by their internal corporate CA rather than the vendor's CA.

IEEE 802.1X

The IEEE standard for port-based network access control, providing an authentication mechanism to devices wishing to attach to a LAN or WLAN.

The primary protocol used to enforce network security, ensuring only authorised devices and users can send traffic through a switch port.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

A highly secure authentication protocol that requires both the client and the authentication server to prove their identities using digital certificates.

The specific method used within 802.1X to validate the SUDI certificate between the network device and the RADIUS server.

Zero Touch Provisioning (ZTP)

An automated process that allows network devices to be provisioned and configured automatically without manual intervention.

SUDI secures ZTP by ensuring the management system only pushes configurations to verified, genuine hardware.

MAC Address Bypass (MAB)

A legacy authentication method where a switch uses the connecting device's MAC address as its identity credential.

An insecure fallback method that should be eliminated and replaced by SUDI-based 802.1X authentication.

Exemplos práticos

A 400-room hotel is upgrading its network infrastructure and needs to deploy 250 new Cisco Catalyst access points. The IT team wants to avoid manually configuring each device before installation while ensuring no rogue devices can join the management VLAN.

  1. The IT team configures Cisco ISE with the Cisco Root CA to trust SUDI certificates.
  2. They create an 802.1X policy in ISE that assigns devices presenting a valid SUDI to a restricted provisioning VLAN.
  3. The access points are shipped directly to the hotel and plugged into the PoE switches.
  4. Each AP boots, presents its SUDI via EAP-TLS, and is authenticated by ISE.
  5. The management system (Catalyst Center) verifies the serial number, provisions the AP, and ISE shifts the port to the production management VLAN.
Comentário do examinador: This approach uses Zero Touch Provisioning secured by hardware identity. It eliminates manual staging costs and prevents rogue devices from exploiting open provisioning ports. The use of Change of Authorization (CoA) to move the device from a provisioning VLAN to a production VLAN demonstrates strong network segmentation.

A national retail chain with 1,200 stores discovers that their legacy switches use MAC Address Bypass (MAB) to authenticate access points. They need to migrate to a secure standard without causing store outages.

  1. The network team audits the switch inventory to confirm all devices support 802.1X and SUDI.
  2. They deploy the Cisco CA certificates to their RADIUS infrastructure.
  3. They configure the switch ports in 'monitor mode' (open authentication), allowing devices to attempt 802.1X EAP-TLS using SUDI while falling back to MAB if they fail, but logging the results.
  4. After verifying in the RADIUS logs that all legitimate APs are successfully authenticating via SUDI, they switch the ports to 'closed mode', enforcing strict 802.1X and disabling MAB.
Comentário do examinador: The phased migration using monitor mode is the correct operational approach for a large retail estate. It allows the team to validate the PKI trust chain and certificate validity without risking network isolation for the access points. Removing MAB entirely is the necessary final step to secure the environment.

Questões práticas

Q1. You are deploying 50 new Cisco Catalyst switches in a stadium environment. The security policy mandates strict 802.1X authentication for all infrastructure devices. During testing, the switches fail to authenticate to your Cisco ISE server. What is the most likely cause?

Dica: Consider the chain of trust required for EAP-TLS authentication.

Ver resposta modelo

The Cisco ISE server is missing the Cisco Root CA or the ACT2 SUDI CA certificates in its trusted certificate store. Without these, ISE cannot validate the SUDI certificate presented by the switches. You must download the certificates from the Cisco PKI portal and import them into ISE.

Q2. A network engineer proposes configuring switch ports to attempt 802.1X authentication first, but fall back to MAC Address Bypass (MAB) if the device does not have a valid certificate. Why should you reject this proposal for infrastructure ports?

Dica: Evaluate the security strength of the fallback mechanism.

Ver resposta modelo

Falling back to MAB undermines the entire security model. An attacker can simply connect a rogue device, wait for the 802.1X timeout, and spoof the MAC address of a legitimate access point to gain access to the infrastructure VLAN. Infrastructure ports should enforce strict 802.1X with SUDI, and non-compliant devices should be placed in a restricted quarantine VLAN.

Q3. You are auditing a network of Catalyst 9200 switches deployed in 2018. You run the 'show crypto pki certificate' command and notice the CISCO_IDEVID_SUDI trustpoint expires in May 2029. What action must you take to prevent future outages?

Dica: Review the SUDI-2099 migration requirements for legacy hardware.

Ver resposta modelo

You must upgrade the IOS-XE software on the Catalyst 9200 switches to version 17.12.2 or later. This upgrade ensures the hardware properly supports the SUDI-2099 certificate extension, extending the valid identity of the device until December 2099 and preventing authentication failures for services like HTTPS and ZTP.

Continue a ler esta série

Integrando a Autenticação do WeChat com Captive Portals de WiFi para Convidados

Este guia explica como integrar a autenticação WeChat OAuth 2.0 em Captive Portals de WiFi corporativos para convidados. Ele aborda os requisitos de registro em dupla plataforma, a seleção de escopo para captura de dados primários, a imposição de rede via RADIUS Change of Authorization e a conformidade com o GDPR e a PIPL da China. Operadores de locais nos setores de hotelaria, varejo e eventos encontrarão etapas concretas de implementação, estudos de caso reais e orientações de reforço de segurança para implantar o login do WeChat em WiFi para convidados em escala.

Ler o guia →

Como Configurar SCEP para BYOD Seguro e Autenticação de Rede 802.1X

Este guia fornece uma referência técnica abrangente para configurar o SCEP para implantar autenticação de rede 802.1X baseada em certificados. Ele aborda a transição arquitetônica de senhas compartilhadas para EAP-TLS, integração com Gerenciamento de Dispositivos Móveis (MDM) e segmentação estrita de rede para acesso BYOD seguro em ambientes corporativos.

Ler o guia →

Guia de Configuração de WiFi de Visitantes Corporativo: Segmentação de VLAN, Segurança e Captive Portals

Este guia fornece um modelo técnico para a implantação de WiFi de visitantes corporativo, com foco em segmentação de VLAN, protocolos de segurança e arquitetura de captive portal. Ele detalha como isolar o tráfego, aplicar padrões de criptografia e capturar dados primários de forma segura em locais complexos.

Ler o guia →