Usm PPSK: comparando recursos e modelos de implantação

Bem-vindo ao Briefing Técnico do Purple. Hoje falaremos sobre USM PPSK - o Modelo de Segurança Unificado para Private Pre-Shared Keys - o que é, como se compara com as alternativas e onde faz sentido implantá-lo em propriedades residenciais e comerciais multi-inquilinos. Vamos começar com o problema. Se você é um incorporador imobiliário, um operador de imóveis para aluguel (build-to-rent) ou um proprietário gerenciando um empreendimento multi-residencial, você está operando um edifício onde dezenas ou centenas de residências distintas compartilham a mesma infraestrutura de rede física. Você precisa que cada residente tenha uma experiência de WiFi privada, semelhante à de casa. O Chromecast deles precisa encontrar o telefone. O alto-falante inteligente precisa falar com as lâmpadas. E nada disso deve ser visível para o morador do apartamento ao lado. A resposta tradicional era uma senha compartilhada - o que é um risco de segurança em escala - ou uma implantação empresarial completa de 802.1X, que exige uma Infraestrutura de Chaves Públicas, gerenciamento de certificados e um servidor RADIUS que a maioria dos operadores imobiliários simplesmente não tem recursos de TI para gerenciar. Nenhuma dessas opções é adequada para um bloco de 200 unidades para aluguel. É aí que o PPSK entra. PPSK significa Private Pre-Shared Key. O conceito é simples: em vez de uma senha de WiFi compartilhada para todo o edifício, cada residente recebe sua própria senha exclusiva. Eles se conectam ao mesmo SSID - o mesmo nome de rede - mas a chave é exclusiva deles. Se eles se mudarem, você revoga a chave deles. Isso tem efeito zero sobre qualquer outro residente. Existem três modelos distintos aqui, e entender a diferença é fundamental para tomar a decisão de arquitetura correta. O primeiro modelo é um PSK compartilhado padrão. Uma senha, todos na mesma rede. É isso que a maioria dos edifícios ainda utiliza hoje. É simples de implantar, mas é um ponto único de falha. Se um morador compartilhar a senha externamente, você perderá o controle do perímetro da sua rede. Quer remover o acesso de um prestador de serviços? Você terá que alterar a senha de todos. Em escala, isso é simplesmente inviável. O segundo modelo é o Group PPSK. Você atribui uma chave exclusiva para cada grupo de usuários - talvez uma chave por andar ou uma chave por tipo de locação. É melhor do que uma senha compartilhada, mas ainda apresenta um problema de raio de impacto. Se uma chave de um grupo for comprometida, todo o grupo será afetado. E você ainda não consegue isolar os residentes individuais uns dos outros na camada de rede. O terceiro modelo - e o que estamos focando hoje - é o USM PPSK: Unique per-User Pre-Shared Key, gerenciado através de um Unified Security Model. Cada residente, cada grupo de dispositivos, recebe sua própria chave criptograficamente exclusiva. E essa chave é mapeada para sua própria VLAN - seu próprio segmento de rede - completamente isolado de todos os outros residentes no edifício. Esta é a arquitetura que entrega o que eu chamo de bolha de WiFi. Os dispositivos do Residente A podem ver uns aos outros. Eles podem transmitir, emparelhar, compartilhar arquivos, exatamente como fariam em uma rede doméstica. Mas o Residente A não pode ver um único dispositivo pertencente ao Residente B, mesmo que ambos estejam conectados ao mesmo ponto de acesso, no mesmo SSID, usando a mesma infraestrutura de cabos físicos. Deixe-me guiá-lo pelo fluxo técnico de autenticação, porque é aqui que a arquitetura mostra seu valor. Quando o dispositivo de um residente se conecta ao SSID, o Wireless LAN Controller intercepta a tentativa de conexão. Ele encaminha o endereço MAC do dispositivo para um servidor RADIUS. O servidor RADIUS - que pode ser hospedado na nuvem, como o da Purple - busca esse endereço MAC em seu armazenamento de identidade. Ele retorna uma resposta Access-Accept contendo a chave pré-compartilhada exclusiva atribuída a esse residente. O controlador valida a chave que o dispositivo apresentou com a chave retornada. Se elas coincidirem, o dispositivo é autenticado e colocado na VLAN dedicada do residente. Criticamente, essa resposta RADIUS também carrega a atribuição de VLAN. Portanto, o dispositivo não é apenas autenticado. Ele é colocado automaticamente no segmento de rede correto, com a política de largura de banda correta e as regras de firewall corretas - tudo a partir de um único SSID. Sem proliferação de SSID. Sem sobrecarga de beacon. Um nome de rede, centenas de redes privadas isoladas sob ela. Agora vamos falar sobre USM - o Modelo de Segurança Unificado. Esta é a camada de gerenciamento que fica acima do armazenamento de credenciais PPSK. Ele lida com geração de chaves, distribuição, gerenciamento de ciclo de vida, atribuição de políticas e revogação - idealmente por meio de integração de API com seu sistema de gerenciamento de propriedades ou provedor de identidade. Sem o USM, o PPSK é apenas uma coleção de senhas exclusivas em uma planilha. Com o USM, ele se torna um sistema de controle de acesso automatizado, auditável e baseado em políticas. A diferença na sobrecarga operacional é substancial. Em uma implantação de USM bem-executada, quando um novo residente assina seu contrato de locação, o sistema de gerenciamento de propriedades aciona uma chamada de API para a plataforma USM. A plataforma gera um PPSK exclusivo, atribui-o à VLAN do residente, define políticas de largura de banda e envia a credencial para o residente por e-mail ou código QR - tudo sem qualquer intervenção manual da sua equipe de TI. Quando eles se mudam, a mesma integração aciona a revogação. A chave deles para de funcionar. Nenhum outro residente é afetado. Agora, deixe-me apresentar dois cenários do mundo real para tornar isso concreto. Primeiro cenário: um empreendimento de 300 unidades para locação (build-to-rent). O operador mantinha uma única senha de WiFi compartilhada para todo o edifício. A cada seis meses, quando um número significativo de moradores se mudava, eles trocavam a senha - e passavam as duas semanas seguintes atendendo chamados de suporte de moradores que não conseguiam reconectar seus dispositivos. Dispositivos de smart home eram um problema específico: Chromecast, Amazon Echo e iluminação inteligente exigiam reconfiguração manual todas as vezes. Após a implantação do USM PPSK - integrado ao seu sistema de gestão de propriedades - a desocupação tornou-se um evento com zero interrupções. A chave do morador que estava saindo era revogada automaticamente no fim do contrato. Os novos moradores recebiam sua chave exclusiva por meio do e-mail de boas-vindas. Os dispositivos de smart home permaneciam conectados porque estavam todos na mesma VLAN do morador. O operador relatou uma redução de 90% nos chamados de suporte relacionados ao WiFi no primeiro trimestre após a implantação. Segundo cenário: um bloco de acomodação estudantil projetado de 500 leitos. O desafio era a rotatividade de turmas - todo mês de agosto, 500 estudantes saem e 500 novos estudantes entram, muitas vezes na mesma semana. Com uma PSK compartilhada, essa semana era um pesadelo. Com o USM PPSK integrado ao sistema de gestão estudantil, toda a turma recebia suas chaves exclusivas como parte de seu pacote de boas-vindas antes da chegada. No dia da mudança, eles se conectavam imediatamente. A equipe de rede relatou zero escalonamentos durante a semana de mudança pela primeira vez na história do edifício. Vamos falar sobre implantação. Algumas coisas precisam ser feitas corretamente desde o início. Primeiro, geração e distribuição de chaves. Suas chaves PPSK precisam ser suficientemente longas e aleatórias - no mínimo 20 caracteres, idealmente 32. Gere-as programaticamente usando um gerador de números aleatórios criptograficamente seguro. Não permita que os moradores escolham suas próprias chaves. O mecanismo de distribuição também é importante. O envio por e-mail com um link seguro, código QR em um cartão de boas-vindas ou a integração com seu sistema de gestão de locação via API são abordagens válidas. Segundo, suporte do controlador. Nem todos os controladores sem fio implementam PPSK da mesma forma. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet têm implementações, mas os limites de escala, recursos de API e granularidade de direcionamento de VLAN variam. Antes de se comprometer com uma plataforma, valide o número máximo de chaves exclusivas suportadas por SSID. Algumas plataformas mais antigas limitam isso a algumas centenas, o que é inadequado para um grande empreendimento. Terceiro - e este é o erro mais comum - a randomização do endereço MAC. Os sistemas operacionais modernos - iOS 14 e posterior, Android 10 e posterior, Windows 11 - usam a randomização do endereço MAC por padrão. Se a sua implementação de PPSK depender de consultas de endereço MAC, um dispositivo que apresentar um MAC randomizado não será encontrado e será rejeitado. Planeje para isso desde o primeiro dia. Quarto, limites de dispositivos por chave. Defina um limite razoável - geralmente de quatro a seis dispositivos por chave - e aplique-o na controladora. Sem isso, uma única PPSK pode se proliferar por dezenas de dispositivos, prejudicando sua capacidade de atribuir o tráfego com precisão. O erro a evitar acima de todos os outros: implantar PPSK sem um processo documentado de ciclo de vida das chaves. Chaves que nunca são revogadas se acumulam com o tempo e se tornam um risco de segurança. Crie o fluxo de trabalho de revogação antes de entrar em operação, não depois. Do ponto de vista de conformidade - e isso importa particularmente para a GDPR - o USM PPSK oferece a trilha de auditoria que uma PSK compartilhada simplesmente não pode fornecer. Você pode atribuir a atividade de rede a uma credencial específica e, portanto, a um registro de locação específico. Isso não é apenas uma boa prática; em alguns contextos regulatórios, é um requisito. Agora, permita-me dar três regras práticas. Regra um: se o seu edifício tiver mais de 50 unidades, use USM PPSK baseado em RADIUS, não PPSK local da controladora. O teto de escalabilidade do PPSK local da controladora causará problemas em até 12 meses após a entrada em operação. Regra dois: planeje para a randomização de MAC desde o primeiro dia. Crie um fluxo de trabalho de pré-registro no seu processo de integração de residentes. Não assuma que os dispositivos apresentarão seu endereço MAC permanente por padrão. Regra três: automatize o ciclo de vida das chaves. O valor operacional do USM PPSK em relação a uma PSK compartilhada depende inteiramente do provisionamento e da revogação automática das chaves. O gerenciamento manual de chaves em escala não é viável. Integre-se ao seu sistema de gestão de propriedades desde o início. Vamos para algumas perguntas rápidas. PPSK é o mesmo que iPSK, MPSK e DPSK? Funcionalmente, sim. Diferentes marcas de fornecedores, mesmo conceito. O PPSK funciona com WPA3? Parcialmente. A maioria das controladoras modernas suporta PPSK em modo de transição WPA2 e WPA3. O suporte puro a WPA3 varia de acordo com o fornecedor - verifique a matriz de compatibilidade do seu hardware. O PPSK pode funcionar sem uma controladora em nuvem? Algumas controladoras locais suportam, mas o gerenciamento em nuvem simplifica significativamente as operações do ciclo de vida e a integração com o USM. O USM PPSK é adequado para a conformidade com a GDPR? O USM PPSK fornece a trilha de auditoria por usuário que apoia a conformidade com a GDPR. Ele deve fazer parte de uma estrutura de governança de dados mais ampla, não ser tratado como uma solução de conformidade isolada. Para encerrar. O USM PPSK é a arquitetura ideal para qualquer implantação de WiFi residencial multi-tenant onde você precisa de responsabilidade por residente sem a complexidade de uma infraestrutura 802.1X completa. Ele oferece credenciais exclusivas por residente, direcionamento dinâmico de VLAN, gerenciamento granular do ciclo de vida e uma trilha de auditoria pronta para conformidade - tudo com uma experiência de integração de dispositivos que é tão simples quanto digitar uma senha de WiFi. Se você está projetando uma nova implantação de build-to-rent ou de acomodação estudantil, ou se deseja atualizar uma rede de senha compartilhada existente, os próximos passos práticos são: auditar sua plataforma de controladora sem fio atual para suporte a PPSK, definir sua arquitetura de VLAN e mapear o ciclo de vida das chaves para os eventos de locação do seu sistema de gestão de propriedades. A plataforma WiFi multi-tenant da Purple gerencia a camada USM sobre o seu hardware existente - seja ele Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist ou qualquer outra grande plataforma corporativa. Estamos presentes em 80.000 locais ativos e contamos com 350 milhões de usuários únicos. A infraestrutura é comprovada em escala. Obrigado por acompanhar o Purple Technical Briefing.