Pular para o conteúdo principal

Migrando de RADIUS On-Premises (NPS) para RADIUS-as-a-Service

Este guia de autoridade detalha a arquitetura técnica, a metodologia de implementação e o impacto nos negócios da migração do Microsoft Network Policy Server (NPS) on-premises para um modelo RADIUS-as-a-Service nativo em nuvem. Ele fornece aos líderes de TI e arquitetos de rede estruturas práticas para reduzir os custos operacionais, eliminar pontos únicos de falha e proteger a autenticação corporativa em locais distribuídos.

📖 5 min de leitura📝 1,066 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
ROTEIRO DE PODCAST: Migrando de RADIUS On-Premises (NPS) para RADIUS as a Service Duração: ~10 minutos | Voz: Inglês britânico, Masculino, Tom de consultor sênior --- SEGMENTO 1: INTRODUÇÃO E CONTEXTO Bem-vindo à série de briefings técnicos da Purple WiFi. Hoje, estamos abordando uma migração que está no roadmap de um número significativo de equipes de TI corporativas agora: a transição do RADIUS local - especificamente o Network Policy Server da Microsoft - para um modelo de RADIUS as a Service hospedado na nuvem. Se você gerencia a autenticação WiFi em um grupo hoteleiro, uma rede de varejo, um estádio ou um campus do setor público, isso é diretamente relevante para você. O modelo NPS local nos atendeu bem por quase duas décadas, mas a sobrecarga operacional, o risco de ponto único de falha e as limitações de escalabilidade estão se tornando cada vez mais difíceis de justificar - especialmente quando as alternativas nativas da nuvem agora oferecem confiabilidade de nível corporativo por uma fração do custo total de propriedade. Nos próximos dez minutos, cobriremos a arquitetura técnica de ambas as abordagens, passaremos por uma metodologia de migração estruturada, analisaremos dois cenários de implementação do mundo real e terminaremos com as principais estruturas de decisão que você precisa para tomar essa decisão com confiança. Vamos começar. --- SEGMENTO 2: MERGULHO TÉCNICO PROFUNDO Primeiro, vamos garantir que estamos alinhados sobre o que o RADIUS realmente faz na sua pilha de rede. O RADIUS - Remote Authentication Dial-In User Service - é o protocolo definido na RFC 2865 que lida com autenticação, autorização e tarifação para acesso à rede. Em um contexto de WiFi, ele é a espinha dorsal do controle de acesso baseado em porta IEEE 802.1X. Quando um dispositivo se conecta a um SSID WPA2 ou WPA3, o ponto de acesso atua como um cliente RADIUS - o que chamamos de Network Access Server - e encaminha a solicitação de autenticação para o servidor RADIUS. O servidor valida as credenciais, normalmente em relação ao Active Directory ou a um diretório LDAP, e retorna uma resposta de Access-Accept ou Access-Reject. Esse é o fluxo fundamental. Agora, no modelo NPS local - o Network Policy Server é a implementação de RADIUS da Microsoft incluída no Windows Server - você executa essa lógica de autenticação em hardware que possui, em um data center ou sala de servidores que você mantém. O servidor NPS mantém suas políticas de rede, sua infraestrutura de certificados para EAP-TLS ou PEAP-MSCHAPv2 e suas políticas de solicitação de conexão. Funciona. É maduro. Mas vem com um conjunto de realidades operacionais que se acumulam com o tempo. A primeira é a dependência de hardware. Seu servidor NPS é uma máquina física ou virtual que requer aplicação de patches, planejamento de capacidade e eventual atualização de hardware. Em uma implantação de vários sites - por exemplo, um grupo de hotéis com propriedades em todo o Reino Unido - ou você executa um NPS centralizado com dependência de WAN ou implanta instâncias de NPS em cada site e as gerencia individualmente. Nenhuma das opções é elegante. O segundo é a disponibilidade. Uma única instância de NPS é um ponto único de falha para toda a sua infraestrutura de autenticação. Sim, você pode implantar o NPS em um par de failover, mas isso duplica seus custos de hardware e licenciamento, e ainda não oferece a redundância geográfica que um serviço de nuvem fornece nativamente. O terceiro é a escalabilidade. O NPS foi projetado para ambientes de LAN corporativos. Quando você está lidando com milhares de solicitações de autenticação simultâneas durante um evento em um estádio ou no pico de um centro de conferências, as limitações de taxa de transferência de uma única instância de NPS tornam-se muito evidentes. A latência de autenticação aumenta e os usuários enfrentam falhas de conexão exatamente no momento em que você menos pode se dar ao luxo. RADIUS-as-a-Service aborda todos esses três limites de forma arquitetônica. O provedor de RADIUS em nuvem executa um cluster distribuído e geo-redundante de servidores RADIUS. Seus pontos de acesso apontam para endpoints de RADIUS hospedados na nuvem, em vez de um servidor local. As solicitações de autenticação são balanceadas por carga em todo o cluster, e o failover é automático e transparente. O provedor cuida de patches, dimensionamento de capacidade e gerenciamento de certificados. Do seu ponto de vista como operador de rede, o RADIUS se torna um serviço consumido em vez de um componente gerenciado. Os protocolos de autenticação em si não mudam. Você ainda está executando 802.1X com EAP-TLS, PEAP-MSCHAPv2 ou EAP-TTLS, dependendo do mix de dispositivos dos seus clientes. A diferença é onde o servidor RADIUS reside e quem é responsável por sua continuidade operacional. Há uma consideração de segurança importante aqui que quero abordar diretamente, porque ela surge em quase todas as conversas com clientes. Mover o RADIUS para a nuvem significa que o tráfego de autenticação está atravessando a internet pública para alcançar o endpoint de RADIUS na nuvem. Isso é mitigado por meio de dois mecanismos. Primeiro, o tráfego RADIUS entre o Servidor de Acesso à Rede e o servidor RADIUS é protegido usando um segredo compartilhado e autenticação de mensagem baseada em MD5. Segundo, e mais importante para implantações modernas, você deve executar o RadSec - RADIUS sobre TLS, definido na RFC 6614 - que envolve toda a conversa RADIUS em um túnel TLS. Isso oferece uma criptografia de camada de transporte equivalente ao HTTPS, eliminando a vulnerabilidade do MD5 e fornecendo autenticação mútua entre o NAS e o servidor RADIUS. Qualquer provedor de RADIUS em nuvem que valha a pena considerar deve oferecer suporte ao RadSec como padrão. No lado da integração de identidade, os serviços de RADIUS em nuvem geralmente suportam conexões LDAP e LDAPS de volta ao seu Active Directory local, ou integração nativa com o Azure Active Directory e Microsoft Entra ID via SAML ou SCIM. Isso significa que você não precisa migrar seu diretório de usuários - o serviço de RADIUS em nuvem consulta seu repositório de identidade existente, mantendo seus processos de gerenciamento de ciclo de vida de usuários atuais. Para organizações conscientes sobre conformidade - e isso inclui qualquer pessoa que lide com dados de cartão de pagamento sob o PCI-DSS, ou dados pessoais sob o GDPR - os provedores de RADIUS em nuvem que possuem certificação SOC 2 Tipo II e credenciamento ISO 27001 oferecem uma postura de conformidade mais forte do que a maioria das organizações consegue alcançar com uma infraestrutura NPS autogerenciada. --- SEGMENTO 3: RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ARMADILHAS Certo, vamos falar sobre como você realmente executa essa migração sem tirar sua infraestrutura de autenticação do ar. A metodologia que recomendo é uma abordagem em cinco fases. A fase um é auditoria e inventário. Documente cada cliente RADIUS - cada access point, cada switch, cada concentrador de VPN - junto com seu segredo compartilhado atual, o método EAP que está utilizando e quaisquer atributos específicos do fabricante em suas políticas de NPS. Este é o trabalho menos glamoroso, mas ignorá-lo é a causa número um de falhas de migração. A fase dois é a implantação piloto. Configure sua instância de RADIUS em nuvem e aponte um SSID que não seja de produção ou um único site de teste para ela. Valide se o seu método EAP funciona de ponta a ponta, se a sua integração de identidade está funcionando e se os seus dados de contabilização estão fluindo corretamente. A fase três é a execução paralela. Esta é a etapa crítica de mitigação de riscos. Configure seus access points com o servidor NPS local e o servidor RADIUS em nuvem como alvos de autenticação, com o serviço em nuvem como primário e o NPS como fallback. Execute essa configuração por no mínimo duas semanas durante um ciclo de negócios completo. Monitore as taxas de sucesso de autenticação, a latência e quaisquer discrepâncias de políticas. A fase quatro é a transição. Remova a configuração de fallback do NPS e assuma o RADIUS em nuvem como sua única infraestrutura de autenticação. Faça isso durante uma janela de manutenção planejada e tenha um procedimento de rollback documentado e testado. A fase cinco é a desativação. Depois de validar a operação estável por trinta dias após a transição, desative os servidores NPS e recupere os recursos de hardware ou máquina virtual. As armadilhas que vejo com mais frequência são: problemas na cadeia de confiança de certificados - especificamente, dispositivos de clientes que não confiam no certificado do servidor RADIUS em nuvem porque a CA não está em seu repositório confiável. Resolva isso por meio do seu MDM ou Group Policy antes da transição. A segunda armadilha comum são as regras de firewall. O RADIUS em nuvem requer conexões de saída UDP 1812 e 1813 de seus access points para os endpoints em nuvem, ou TCP 2083 para RadSec. Certifique-se de que o perímetro de sua rede permita esse tráfego. Terceiro: complexidade do segredo compartilhado. Se os segredos compartilhados do seu NPS existente forem fracos, use a migração como uma oportunidade para alternar para segredos criptograficamente fortes ou, melhor ainda, mude para RadSec e elimine os segredos compartilhados por completo. --- SEGMENTO 4: PERGUNTAS E RESPOSTAS RÁPIDAS Deixe-me passar pelas perguntas que recebo com mais frequência sobre este assunto. Podemos manter o Active Directory local? Sim, com certeza. O RADIUS em nuvem se conecta ao seu AD local via LDAPS. Seu diretório permanece onde está. O que acontece se nossa conexão de internet cair? Essa é a principal mudança de dependência. Com o RADIUS em nuvem, a conectividade de internet se torna uma dependência para a autenticação. Mitigue isso com links de WAN redundantes ou um proxy RADIUS local que armazene em cache a autenticação para dispositivos conhecidos durante interrupções. Isso afeta nossa conformidade com o PCI-DSS? A migração para um provedor de RADIUS em nuvem certificado geralmente melhora sua postura de conformidade. Certifique-se de que seu provedor possa fornecer relatórios SOC 2 Tipo II e que esteja incluído no escopo de sua avaliação anual de QSA. Quanto tempo leva uma migração completa? Para um único local, de duas a quatro semanas. Para uma empresa com vários locais, de cinquenta ou mais filiais, planeje de três a seis meses com uma implantação em fases. - SEGMENTO 5: RESUMO E PRÓXIMOS PASSOS Para encerrar: a decisão de migrar do NPS local para o RADIUS-as-a-Service é convincente do ponto de vista operacional, financeiro e de conformidade. A migração em si é de baixo risco quando executada com uma fase estruturada de execução paralela. As principais decisões técnicas são a seleção do seu método EAP, sua abordagem de integração de identidade e a decisão de implementar o RadSec para segurança de transporte - o que eu recomendaria fortemente para qualquer nova implantação. Seus próximos passos imediatos: realize a auditoria de seus clientes e políticas RADIUS atuais, envolva seu provedor de RADIUS em nuvem para um ambiente piloto e revise suas regras de firewall e cadeias de confiança de certificados antes de começar. Para organizações que utilizam a plataforma de acesso de visitantes do Purple WiFi, a funcionalidade RADIUS-as-a-Service se integra diretamente ao fluxo de autenticação de WiFi para visitantes, oferecendo a você um único painel de controle para a autenticação 802.1X corporativa e gerenciamento de acesso à rede de visitantes - com análises e relatórios de conformidade integrados. Obrigado por ouvir. O guia de referência técnica completo está disponível no site da Purple, e nossa equipe de soluções está disponível para uma conversa de definição de escopo se você estiver pronto para seguir em frente. - FIM DO SCRIPT

header_image.png

Resumo Executivo

Por quase duas décadas, o Network Policy Server (NPS) da Microsoft tem sido a implementação padrão de RADIUS para redes corporativas. No entanto, à medida que os operadores de locais se expandem em locais distribuídos - de redes de varejo a grupos globais de hotelaria - a carga operacional de gerenciar a infraestrutura de autenticação local tornou-se um passivo significativo.

A migração para o RADIUS-as-a-Service transforma a autenticação de um componente de hardware gerenciado em um serviço de nuvem consumido. Essa mudança arquitetônica elimina os pontos únicos de falha inerentes às implantações independentes de NPS, remove os ciclos de atualização de hardware e fornece a escalabilidade elástica necessária para ambientes de alta densidade, como estádios e centros de conferências. Para gerentes de TI e arquitetos de rede, este guia fornece uma metodologia estruturada e neutra em relação a fornecedores para migrar a autenticação 802.1X para a nuvem sem impactar o tráfego de produção, garantindo a conformidade com PCI-DSS e GDPR, e reduzindo o OpEx da infraestrutura de autenticação em até 80%.

Análise Técnica Detalhada: Arquitetura e Padrões

Para entender essa migração, devemos primeiro examinar a mudança arquitetônica na forma como o controle de acesso baseado em porta IEEE 802.1X é entregue.

As Limitações do NPS Local

Em uma implantação tradicional, o ponto de acesso atua como o Network Access Server (NAS), encaminhando as solicitações de autenticação para um servidor NPS local. O servidor NPS avalia as políticas de solicitação de conexão, valida as credenciais em relação ao armazenamento de identidade (normalmente o Active Directory via LDAP) e retorna uma mensagem de Access-Accept ou Access-Reject.

Este modelo apresenta três limitações críticas para as redes modernas:

  1. Dependência de hardware e manutenção: O NPS requer máquinas físicas ou virtuais dedicadas, exigindo patches contínuos, planejamento de capacidade e gerenciamento de ciclo de vida.
  2. Complexidade de alta disponibilidade: Alcançar a redundância requer a implantação do NPS em pares de failover, o que duplica os custos de licenciamento sem fornecer redundância geográfica real.
  3. Gargalos de taxa de transferência: Durante os picos de concorrência (como a entrada em estádios ou horários de pico de compras no varejo), uma única instância do NPS pode se tornar um gargalo, causando tempos limite de autenticação e uma experiência de usuário degradada.

Arquitetura de Cloud RADIUS

O RADIUS-as-a-Service abstrai a camada de autenticação. O provedor de nuvem opera clusters distribuídos e geograficamente redundantes de servidores RADIUS. O NAS aponta para esses endpoints em nuvem, e as solicitações são balanceadas de carga automaticamente.

architecture_comparison.png

Segurança de transporte: o papel do RadSec Quando o RADIUS migra para a nuvem, o tráfego de autenticação atravessa a internet pública. Enquanto o RADIUS legado depende de segredos compartilhados e hashing MD5, as implantações modernas devem implementar RadSec (RADIUS sobre TLS, RFC 6614). O RadSec encapsula toda a conversa RADIUS em um túnel TLS (normalmente porta TCP 2083), fornecendo criptografia na camada de transporte equivalente ao HTTPS, juntamente com autenticação mútua entre o NAS e o endpoint do RADIUS na nuvem.

Integração de identidade O RADIUS na nuvem não exige que você migre seu diretório de usuários. Os serviços normalmente oferecem suporte a conexões LDAPS de volta ao Active Directory local, ou integração nativa de API com o Azure Active Directory (Entra ID) via SAML ou SCIM. Isso garante que seus processos existentes de gerenciamento de ciclo de vida do usuário permaneçam inalterados.

Para locais que aproveitam uma plataforma de Guest WiFi , o RADIUS na nuvem se integra diretamente, fornecendo um painel de controle unificado tanto para a autenticação corporativa 802.1X quanto para o acesso de rede de convidados, completo com recursos avançados de WiFi Analytics .

Guia de Implantação: A Metodologia de 5 Fases

Executar a migração sem interrupção do serviço requer uma abordagem estruturada e em fases.

migration_checklist.png

Fase 1: Auditoria e Inventário

Antes de fazer qualquer alteração, documente o estado atual:

  • Clientes RADIUS: Identifique cada NAS (pontos de acesso sem fio, switches, concentradores VPN).
  • Políticas: Documente as políticas de rede e solicitação de conexão NPS existentes, incluindo atributos específicos do fornecedor (VSAs) usados para atribuição de VLAN.
  • Métodos EAP: Identifique quais métodos de Extensible Authentication Protocol estão em uso (por exemplo, EAP-TLS, PEAP-MSCHAPv2).

Fase 2: Implantação Piloto

Provisione a instância do RADIUS na nuvem e configure um SSID de não produção ou um único site de teste. Valide a integração do diretório de identidade (por exemplo, sincronização com o Microsoft Entra ID) e confirme se os métodos EAP funcionam corretamente de ponta a ponta.

Fase 3: Operação em Paralelo (Mitigação de Riscos)

Configure os dispositivos NAS de produção para usar os servidores RADIUS na nuvem (principal) e os servidores NPS legados (backup) simultaneamente. Mantenha essa configuração por no mínimo duas semanas. Monitore as taxas de sucesso de autenticação, métricas de latência e fluxos de dados de bilhetagem para identificar quaisquer discrepâncias de política antes da migração definitiva.

Fase 4: Migração Definitiva

Durante uma janela de manutenção programada, remova a configuração de backup do NPS legado dos dispositivos NAS. Faça a transição completa para a infraestrutura de nuvem. Certifique-se de que seu procedimento de rollback esteja documentado e testado.

Fase 5: Desativação

Após 30 dias de operação estável, desative com segurança os servidores NPS legados e recupere os recursos de computação.

Boas Práticas e Conformidade

Siga os seguintes padrões ao projetar sua arquitetura de RADIUS na nuvem:

  • Exija RadSec: Se o hardware do seu NAS suportar RadSec (TCP 2083), nunca envie tráfego RADIUS pela internet pública usando o padrão UDP 1812/1813.
  • Cadeia de confiança de certificados: Certifique-se de que os dispositivos clientes confiem na Autoridade Certificadora (CA) que emite os certificados do servidor RADIUS em nuvem. Envie a CA raiz para os dispositivos gerenciados via MDM ou Group Policy antes da migração.
  • Postura de conformidade: Escolha um provedor de RADIUS em nuvem que mantenha a certificação SOC 2 Type II e ISO 27001. Isso simplifica significativamente suas avaliações anuais de PCI-DSS, especialmente para ambientes de varejo e hotelaria .

Para princípios mais amplos de design de rede, consulte nossos guias: Configurando WiFi para Empresas: Um Guia para 2026 e Entendendo RSSI e Força do Sinal para um Planejamento de Canal Ideal .

Solução de Problemas e Mitigação de Riscos

Modo de falha Causa raiz Estratégia de mitigação
Timeouts de autenticação Firewall bloqueando UDP 1812/1813 de saída ou TCP 2083. Verifique se as regras do firewall de perímetro permitem tráfego de saída para as faixas de IP específicas do provedor de RADIUS em nuvem.
Erros de confiança de certificado CA raiz ausente do repositório de confiança do dispositivo cliente. Implante a CA raiz via MDM/GPO antes da Fase 3 (execução paralela).
Falhas de atribuição de VLAN Atributos específicos do fornecedor (VSAs) não mapeados corretamente na política de nuvem. Durante a Fase 1, replique os formatos exatos de string de VSA do NPS no mecanismo de política do RADIUS em nuvem.
Impacto de interrupção de WAN A perda de conectividade com a internet impede o acesso ao RADIUS em nuvem. Implante links WAN redundantes ou implemente um proxy RADIUS local que armazene em cache as credenciais de dispositivos conhecidos.

ROI e Impacto no Negócio

A migração para RADIUS-as-a-Service proporciona resultados de negócios mensuráveis:

  • Redução de custos: Elimina a aquisição de hardware, o licenciamento do Windows Server e as horas de engenharia gastas em correções e manutenção. As reduções típicas de OpEx são de 60-80%.
  • SLAs de confiabilidade: Os provedores de nuvem oferecem SLAs de disponibilidade de 99,99% garantidos financeiramente, em comparação com a disponibilidade de 97-98% típica de uma implantação NPS em site único.
  • Agilidade: Ative novos sites instantaneamente sem provisionar hardware de autenticação local, reduzindo os prazos de implantação para centros de transporte e organizações de saúde .

Ouça nossa equipe de consultores seniores discutir as implicações estratégicas neste briefing de 10 minutos:

Definições principais

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (AAA) para usuários que se conectam e usam um serviço de rede.

O protocolo principal usado por redes WiFi corporativas para validar credenciais de usuários antes de conceder acesso à rede.

NPS (Network Policy Server)

A implementação da Microsoft de um servidor e proxy RADIUS, empacotada como uma função no Windows Server.

A infraestrutura legada on-premises da qual as organizações estão migrando ativamente para reduzir os custos de manutenção.

NAS (Network Access Server)

O dispositivo que atua como gateway para a rede e passa as solicitações de autenticação para o servidor RADIUS.

Em um contexto sem fio, o NAS é normalmente o Ponto de Acesso WiFi ou Controlador de LAN Sem Fio.

RadSec (RADIUS over TLS)

Um protocolo definido na RFC 6614 que transporta pacotes RADIUS sobre uma conexão TCP criptografada com TLS.

Essencial para implantações de RADIUS em nuvem para garantir que os dados das credenciais sejam criptografados ao trafegar pela internet pública.

EAP (Extensible Authentication Protocol)

Uma estrutura de autenticação frequentemente usada em redes sem fio e conexões ponto a ponto.

Determina como o cliente e o servidor trocam credenciais de forma segura (por exemplo, certificados via EAP-TLS ou senhas via PEAP).

VSA (Vendor-Specific Attribute)

Atributos personalizados definidos por fornecedores de hardware dentro do protocolo RADIUS para oferecer suporte a recursos proprietários.

Crucial durante a migração; VSAs são frequentemente usados para atribuir usuários autenticados a VLANs de rede específicas de forma dinâmica.

LDAPS (Lightweight Directory Access Protocol over SSL)

Um protocolo seguro para consultar e modificar serviços de diretório como Active Directory.

Usado por serviços de RADIUS na nuvem para consultar com segurança repositórios de identidade locais sem migrar o diretório de usuários para a nuvem.

802.1X

Um padrão IEEE para controle de acesso à rede baseado em porta (PNAC).

O padrão subjacente que usa RADIUS para garantir que apenas dispositivos autenticados possam trafegar dados na LAN ou WLAN corporativa.

Exemplos práticos

Um grupo hoteleiro de 200 propriedades atualmente executa servidores NPS locais em cada local para autenticação 802.1X de funcionários. Eles estão migrando para o Entra ID (Azure AD) e desejam desativar os servidores locais. Como eles devem abordar a migração?

  1. Implantar um serviço de RADIUS em nuvem que se integre nativamente com o Entra ID via SAML/SCIM.
  2. Configurar as políticas de RADIUS em nuvem para mapear grupos do Entra ID (por exemplo, 'Front Desk', 'Management') para VSAs de VLAN específicos.
  3. Em uma propriedade piloto, configurar os pontos de acesso para usar RadSec para se conectar ao endpoint de RADIUS em nuvem.
  4. Enviar a CA Raiz do servidor RADIUS em nuvem para todos os dispositivos dos funcionários via Microsoft Intune.
  5. Executar autenticação paralela no local piloto e, em seguida, realizar uma implantação em fases nas 199 propriedades restantes.
Comentário do examinador: Esta abordagem remove 200 servidores físicos/virtuais do parque tecnológico, reduzindo drasticamente a superfície de ataque e os custos de manutenção. A integração direta com o Entra ID elimina a necessidade de VPNs site-to-site complexas de volta a um Active Directory central.

Um estádio com capacidade para 50.000 pessoas apresenta falhas de autenticação em seu SSID corporativo durante grandes eventos porque seu servidor NPS on-premises não consegue lidar com o rendimento de milhares de dispositivos em roaming simultâneo.

  1. Auditar as políticas de NPS e métodos EAP existentes.
  2. Provisionar um serviço de RADIUS em nuvem capaz de realizar dimensionamento automático para lidar com altas taxas de autenticações por segundo (APS).
  3. Estabelecer uma conexão LDAPS do serviço de RADIUS em nuvem para o Active Directory on-premises do estádio.
  4. Atualizar os controladores de LAN sem fio de alta densidade do estádio para apontar para os endpoints de RADIUS em nuvem como os servidores de autenticação primários.
Comentário do examinador: Ao descarregar o processamento do RADIUS para um cluster em nuvem, o estádio aproveita recursos de computação elástica que escalam dinamicamente durante o ingresso no evento, resolvendo o gargalo sem exigir que o local superprovisione hardware local caro.

Questões práticas

Q1. Sua organização está migrando para o Cloud RADIUS. A equipe de segurança exige que nenhum tráfego de autenticação possa ser enviado pela internet em texto claro ou usando algoritmos de hash obsoletos como MD5. Qual protocolo você deve configurar em seus controladores de LAN sem fio?

Dica: Procure pelo protocolo que envolve o RADIUS em um túnel TLS.

Ver resposta modelo

Você deve configurar o RadSec (RADIUS sobre TLS). O RadSec estabelece um túnel TLS sobre a porta TCP 2083 entre o NAS e o servidor RADIUS na nuvem, fornecendo criptografia na camada de transporte e autenticação mútua, atendendo aos requisitos da equipe de segurança.

Q2. Durante a Fase 3 (Execução Paralela) da sua migração, você percebe que os usuários estão se autenticando com sucesso no servidor RADIUS na nuvem, mas não estão sendo colocados nos segmentos de rede corretos. Qual é a lacuna de configuração mais provável?

Dica: Como um servidor RADIUS informa a um ponto de acesso qual segmento de rede usar?

Ver resposta modelo

Os Atributos Específicos do Fabricante (VSAs) para atribuição dinâmica de VLAN não foram configurados corretamente nas políticas do RADIUS na nuvem. Você deve garantir que as strings de VSA exatas usadas no servidor NPS herdado sejam replicadas no ambiente de nuvem para que o NAS saiba qual VLAN atribuir ao usuário.

Q3. Um dispositivo cliente está falhando repetidamente na autenticação EAP-TLS contra o novo serviço RADIUS na nuvem, mas funciona perfeitamente contra o servidor NPS herdado. Os logs do dispositivo mostram um erro de "servidor não confiável". Como você resolve isso?

Dica: O EAP-TLS exige que o cliente confie na identidade do servidor.

Ver resposta modelo

O dispositivo cliente não possui a Autoridade Certificadora Raiz (CA) que emitiu o certificado do servidor RADIUS na nuvem em seu repositório de raiz confiável. Você deve implantar a CA Raiz no dispositivo cliente usando uma solução de Gerenciamento de Dispositivos Móveis (MDM) ou Diretiva de Grupo.

Continue a ler esta série

Os Benefícios de Segurança do RADIUS como Serviço para Forças de Trabalho Híbridas

Este guia de referência técnica explica como o RADIUS como Serviço protege o acesso à rede para forças de trabalho híbridas em locais distribuídos. Ele aborda a arquitetura, os benefícios de segurança e as etapas de implantação para substituir a infraestrutura de RADIUS local por um serviço de autenticação gerenciado na nuvem. Para gerentes de TI e arquitetos de rede em hotéis, redes de varejo, estádios e organizações do setor público, este guia fornece as evidências necessárias para avaliar e agir em uma migração para o RADIUS na nuvem neste trimestre.

Ler o guia →

Integrando RADIUS as a Service com Diretórios em Nuvem (Azure AD e Google Workspace)

Este guia de referência técnica detalha como integrar o RADIUS as a Service com diretórios em nuvem - Microsoft Entra ID e Google Workspace - para autenticação WiFi corporativa. Ele aborda a transição arquitetônica do NPS local para o RADIUS nativo da nuvem, a implantação de autenticação EAP-TLS baseada em certificados e as melhores práticas operacionais para proteger o acesso sem fio em ambientes de hotelaria, varejo e setor público. Para gerentes de TI e arquitetos de rede que já investem em identidade em nuvem, este guia preenche a lacuna entre o gerenciamento de diretórios e a segurança de rede física.

Ler o guia →

Como Implementar a Autenticação 802.1X com Cloud RADIUS

Este guia de referência técnica fornece uma estrutura abrangente para a implementação da autenticação 802.1X com Cloud RADIUS em propriedades corporativas distribuídas. Ele detalha a arquitetura, a seleção do método EAP, o sequenciamento de implantação e as estratégias de mitigação de riscos necessárias para proteger o acesso à rede, eliminando a sobrecarga operacional da infraestrutura local.

Ler o guia →