PPSK xaverius: comparando recursos e modelos de implantação

Você é um consultor sênior de rede informando um cliente em um tom confiante, conversacional e autoritativo. Fale de forma clara, em um ritmo medido, como se estivesse em uma reunião individual com o cliente. Não é uma palestra - é um briefing. Caloroso, mas direto: Bem-vindo ao Briefing Técnico da Purple. Hoje estamos abordando o PPSK - autenticação de Private Pre-Shared Key - o que é, como se compara às alternativas e, especificamente, o que significa para incorporadores imobiliários, proprietários e operadores de Build to Rent que precisam fornecer WiFi de nível empresarial em edifícios de múltiplos inquilinos. [pausa média] Vamos começar com o problema. Se você gerencia um empreendimento Build to Rent de 150 unidades, um bloco de acomodação estudantil ou um portfólio de unidades residenciais multifamiliares, você tem um problema de WiFi que a maioria dos guias de TI não aborda diretamente. Você não está administrando um escritório corporativo. Você não está administrando um hotel. Você está administrando algo intermediário - um edifício cheio de residências, cada uma esperando a mesma experiência de internet privada e confiável que obteriam de um roteador de banda larga doméstico. E você precisa fornecer isso a partir de uma infraestrutura compartilhada, em escala, sem uma equipe de suporte atendendo chamadas toda vez que o Chromecast de alguém parar de funcionar. [pausa curta] Esse é o espaço que o PPSK preenche. E entender isso corretamente - a arquitetura, os modelos de implantação, as diferenças entre fornecedores - é o que separa uma rede que funciona de uma que gera reclamações. [pausa média] Então, o que é PPSK? Private Pre-Shared Key é um método de autenticação WiFi no qual cada residente, cada apartamento ou cada grupo de dispositivos recebe uma chave criptográfica exclusiva. Todos se conectam ao mesmo SSID - o mesmo nome de rede visível em seus telefones - mas cada chave mapeia para uma VLAN separada. O apartamento doze está na VLAN dez. O apartamento treze está na VLAN vinte. Os dispositivos IoT estão na VLAN noventa e nove. O ponto de acesso lida com o mapeamento de chave para VLAN automaticamente. [pausa curta] Agora, a terminologia varia de acordo com o fornecedor, e isso causa uma confusão real no mercado. A HPE Aruba chama de MPSK - Multi Pre-Shared Key. A Cisco Meraki chama de iPSK - Identity PSK. A Juniper Mist usa ePSK. A Ruckus chama de DPSK - Dynamic PSK. A Extreme Networks chama de Private PSK. A Ubiquiti UniFi simplesmente chama de PPSK. O mecanismo subjacente é idêntico em todos eles: um SSID, várias chaves exclusivas, cada chave vinculada a uma VLAN ou a um grupo de políticas. O termo PPSK refere-se a essa categoria mais ampla de autenticação de chave privada por usuário, independentemente de qual implementação de fornecedor você esteja implantando. [pausa média] Vamos falar sobre o mecanismo técnico, porque entender isso é o que permite tomar as decisões de arquitetura corretas. [pausa curta] Quando um dispositivo se conecta a uma rede habilitada para PPSK, ele apresenta sua chave pré-compartilhada durante o handshake de quatro vias WPA2. O ponto de acesso busca essa chave no repositório PPSK - localmente no controlador ou por meio de um servidor RADIUS - identifica a qual VLAN ela se mapeia e marca o tráfego do dispositivo de acordo. O dispositivo vê uma conexão WiFi normal. Ele não tem ideia de que foi colocado em um segmento isolado. Seu Chromecast funciona. Sua smart speaker pareia. Tudo se comporta como uma rede doméstica. [short pause] Esta é a principal distinção em relação ao 802.1X, que é o padrão IEEE para redes de funcionários corporativos. O 802.1X exige um servidor RADIUS, um provedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - e um suplicante em cada dispositivo. Todo notebook gerenciado possui um. A geladeira inteligente do seu residente não possui. O controlador de HVAC do seu edifício não possui. O PPSK funciona com todos eles porque opera na camada WPA Personal, não na camada WPA Enterprise. [medium pause] Agora vamos comparar os três modelos de autenticação que você encontrará em uma decisão de implantação multi-tenant. [short pause] O PSK padrão - o modelo de senha compartilhada - é por onde a maioria dos edifícios começa e do qual a maioria se arrepende. Uma senha, cada dispositivo, cada residente. Quando um residente se muda, ou você altera a senha para todos - quebrando a TV inteligente, o termostato e o console de todos os outros residentes no processo - ou você deixa o antigo residente com acesso. Nenhuma das opções é aceitável em escala. O PSK padrão também oferece isolamento de VLAN zero. Cada dispositivo na rede pode ver todos os outros dispositivos. Isso é uma violação de privacidade prestes a acontecer em um edifício residencial. [short pause] O PPSK fica no meio. Ele oferece isolamento por residente, compatibilidade com IoT e gerenciamento automatizado do ciclo de vida das chaves. Não exige uma infraestrutura de certificados. Não exige um suplicante em cada dispositivo. Para um empreendimento BTR de 200 unidades, é a arquitetura correta. [short pause] O 802.1X é a resposta certa para a rede de seus funcionários, seus sistemas de gerenciamento predial e qualquer ambiente onde a responsabilidade individual e a segurança baseada em certificados sejam exigidas. Não é a resposta certa para o WiFi dos residentes, porque exclui os dispositivos IoT que seus residentes realmente possuem. [medium pause] A recomendação prática é uma arquitetura híbrida: PPSK para residentes e IoT, 802.1X para funcionários e sistemas de gerenciamento. Três modelos de autenticação distintos, três VLANs distintas, uma infraestrutura física. Esta é a arquitetura que a Purple recomenda e implanta em seus mais de 80.000 locais ativos. Você é um consultor de rede sênior continuando um briefing com o cliente em um tom confiante, coloquial e autoritário. Fale com clareza, em um ritmo medido. Caloroso, mas direto: Agora vamos entrar nos modelos de implantação, porque é aqui que as decisões reais acontecem. [short pause] Modelo um: PPSK do controlador em nuvem. Seus pontos de acesso se conectam a uma plataforma de gerenciamento em nuvem. O armazenamento de chaves PPSK reside no controlador em nuvem. Quando você provisiona um novo residente, você cria uma chave no portal, atribui-a a uma VLAN e o controlador envia a política para cada ponto de acesso no edifício. O residente recebe sua chave por e-mail ou por um código QR em um pacote de boas-vindas. Quando ele se muda, você exclui a chave. Seus dispositivos param de se conectar. Ninguém mais é afetado. Este é o modelo operacional mais simples e o que recomendamos para a maioria das implantações de BTR e MDU. [short pause] Modelo dois: PPSK baseado em RADIUS. O ponto de acesso encaminha a chave para um servidor RADIUS, que a valida em um diretório e retorna a atribuição de VLAN. Isso adiciona uma sobrecarga de infraestrutura, mas oferece registro centralizado, trilhas de auditoria e integração com sua plataforma de gerenciamento de identidade. Ele oferece a responsabilidade do 802.1X com a compatibilidade de dispositivos do PPSK. Para implantações que excedem 500 unidades, ou para operadoras com infraestrutura RADIUS existente, este é o modelo correto. [short pause] Modelo três: híbrido. PPSK para residentes e IoT, 802.1X para funcionários e sistemas de gerenciamento. Esta é a arquitetura para portfólios BTR de grande escala e operadoras de alojamentos estudantis construídos especificamente que precisam tanto de simplicidade residencial quanto de segurança de nível corporativo para seus próprios sistemas. [medium pause] Vejamos dois cenários reais de implantação. [short pause] Cenário um: um empreendimento Build to Rent de 180 unidades. A operadora implantou pontos de acesso HPE Aruba com a sobreposição de nuvem da Purple. Cada apartamento recebeu uma chave exclusiva gerada na assinatura do contrato de locação. A chave foi enviada por e-mail ao residente com um código QR. Eles o escanearam e todos os seus dispositivos se conectaram. Quando um residente se mudava, o gerente da propriedade excluía a chave no portal Purple. Zero drama de rotação de senhas. A operadora relatou uma redução de 50% nos chamados de suporte relacionados a WiFi nos primeiros seis meses. A rede lidou com 15 a 25 dispositivos por residência sem degradação. [short pause] Cenário dois: um bloco de alojamento estudantil construído especificamente com 400 leitos. A operadora usou pontos de acesso Ruckus, implantando DPSK com uma chave por quarto. As chaves foram pré-geradas e incluídas no pacote de boas-vindas. Os alunos escanearam o código QR no dia da chegada e foram conectados em segundos. A rede lidou com o pico de mudanças - com todos os 400 alunos chegando em uma janela de 48 horas - sem degradação. A operadora integrou o provisionamento de chaves ao seu sistema de gerenciamento de propriedades via API, de modo que as chaves eram geradas automaticamente quando as atribuições de quartos eram confirmadas. [medium pause] Agora vamos falar sobre as armadilhas, porque existem quatro que pegam os operadores repetidamente. [short pause] Armadilha um: proliferação de SSIDs. Cada SSID transmitido consome tempo de antena para quadros de beacon. Mantenha no máximo três SSIDs por rádio. Use PPSK para atender a múltiplos segmentos de residentes a partir de um único SSID, em vez de criar um SSID separado por apartamento. Este é o erro mais comum no design de WiFi multi-tenant. [short pause] Armadilha dois: configuração insuficiente da porta de tronco. Você projeta um esquema de VLAN limpo, implanta os pontos de acesso e, em seguida, o tráfego cai silenciosamente porque alguém esqueceu de permitir as VLANs relevantes em um link de tronco. Valide cada porta de tronco durante o comissionamento. Teste com um dispositivo em cada VLAN antes de os moradores se mudarem. [short pause] Armadilha três: fluxo de trabalho de distribuição de chaves. Gerar chaves é fácil. Entregá-las aos moradores de forma segura é mais difícil. Um código QR no pacote de boas-vindas funciona bem para o dia da mudança. Mas você também precisa de um processo para residentes que perdem suas chaves, residentes que adicionam novos dispositivos no meio do contrato e residentes que trocam de telefone. Crie o fluxo de trabalho de distribuição de chaves antes de implantar, não depois. [short pause] Armadilha quatro: randomização de endereços MAC. Desde o iOS 14, Android 10 e Windows 11, os dispositivos usam endereços MAC randomizados por padrão. Se o seu servidor RADIUS estiver fazendo uma busca de MAC e o dispositivo apresentar um endereço randomizado, a busca falhará. Crie um fluxo de trabalho de pré-registro no processo de integração dos seus residentes. A plataforma da Purple lida com isso automaticamente. [medium pause] Agora, uma seção de perguntas e respostas rápidas. [short pause] Quantas chaves PPSK um único ponto de acesso pode suportar? A maioria das plataformas empresariais suporta milhares de chaves por SSID. O Cisco Meraki suporta até 5.000 entradas iPSK. O Ubiquiti UniFi suporta até 1.000. Para um edifício de 200 unidades, você está bem dentro dos limites em qualquer plataforma. [short pause] O PPSK funciona com WPA3? Sim, na maioria das plataformas empresariais. O WPA3-SAE oferece proteção mais forte contra ataques de dicionário offline. A exceção é o Ubiquiti UniFi, que atualmente suporta apenas WPA2 para PPSK. [short pause] Posso integrar o PPSK ao meu sistema de gestão de propriedades? Sim, por meio da API do fornecedor. Aruba Central, Meraki, Ruckus e Mist expõem APIs REST para gerenciamento de chaves PPSK. A Purple fornece a camada de orquestração para gerenciar isso em escala, integrando-se ao seu software de gestão de propriedades para automatizar o provisionamento de chaves na entrada e a revogação na saída do residente. [short pause] E quanto à conformidade com o GDPR? O PPSK fornece a responsabilidade individual que o GDPR exige para WiFi residencial. Uma rede PSK compartilhada não pode dizer qual residente estava usando a rede em um determinado momento. O PPSK pode. A Purple armazena dados de acordo com os requisitos do GDPR e CCPA, com residência de dados selecionável e um limite padrão de retenção de seis meses para logs que identificam os residentes. [medium pause] Para resumir. PPSK - quer você o chame de iPSK, MPSK, DPSK, ePSK ou PPSK xaverius - é a arquitetura de autenticação correta para ambientes residenciais multi-inquilinos. Ele oferece isolamento de rede por unidade em um único SSID, suporta todos os dispositivos IoT que seus residentes possuem e, quando apoiado por um serviço RADIUS em nuvem e integração de API, automatiza todo o ciclo de vida da chave, desde a mudança de entrada até a de saída. [short pause] Não é um substituto para o 802.1X em ambientes corporativos. Use PPSK onde você precisar de compatibilidade com IoT e simplicidade operacional. Use 802.1X onde precisar de responsabilidade individual e segurança baseada em certificados. E use ambos juntos em uma arquitetura híbrida para implantações de BTR em larga escala e acomodações estudantis. [short pause] A Purple vem implantando essa arquitetura desde 2012. Atendemos a mais de 80.000 locais ativos, processamos 440 milhões de logins em 2024 e mantemos 99,999% de tempo de atividade. Nossa solução de Multi-Tenant WiFi funciona como uma sobreposição de nuvem independente de hardware em pontos de acesso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. [short pause] Para obter mais detalhes sobre a implantação de PPSK em plataformas de hardware específicas, ou para falar com um de nossos arquitetos de rede sobre o seu desenvolvimento, visite purple dot ai. Obrigado por ouvir este Informativo Técnico da Purple.