Uu PPSK 2023: comparando recursos e modelos de implantação

UU PPSK 2023: Comparando Recursos e Modelos de Implantação. Um Informativo Técnico da Purple. Bem-vindo. Hoje vamos abordar uma das decisões arquitetônicas mais importantes que você tomará ao projetar o WiFi para uma propriedade residencial multi-inquilino: qual modelo de chave pré-compartilhada implantar. Especificamente, estamos focando no UU PPSK, que significa Unique per-User Pre-Shared Key (Chave Pré-Compartilhada Única por Usuário), e por que ele se tornou a arquitetura de escolha para operadores de Build to Rent, provedores de acomodação estudantil e proprietários de unidades habitacionais multifamiliares em todo o Reino Unido. Vamos começar com o problema. Você está gerenciando um edifício onde dezenas ou centenas de residências independentes compartilham a mesma infraestrutura física de rede. Cada morador precisa de uma experiência de WiFi privada, semelhante à de casa. O Chromecast deles precisa encontrar o celular deles. O alto-falante inteligente precisa falar com as lâmpadas deles. E, de forma crítica, nada disso deve ser visível para o morador do apartamento ao lado. A resposta tradicional era uma senha compartilhada, o que é um risco de segurança em grande escala, ou uma implantação empresarial 802.1X completa, que exige uma Infraestrutura de Chaves Públicas, gerenciamento de certificados e um servidor RADIUS que a maioria dos operadores de propriedades simplesmente não tem recursos de TI para gerenciar. Nenhuma das opções é ideal para um bloco Build to Rent de 200 unidades. É aí que o PPSK entra. PPSK significa Private Pre-Shared Key. O conceito é direto: em vez de uma senha de WiFi compartilhada para todo o edifício, cada morador recebe sua própria senha exclusiva. Eles se conectam ao mesmo SSID, ao mesmo nome de rede, mas a chave é exclusivamente deles. Se eles se mudarem, você revoga a chave deles. Isso tem impacto zero em qualquer outro morador. Agora, existem três modelos distintos aqui, e entender a diferença é fundamental para tomar a decisão arquitetônica correta. O primeiro modelo é um PSK compartilhado padrão. Uma senha, todos na mesma rede. É isso que a maioria dos edifícios ainda utiliza hoje. É simples de implantar, mas é um ponto único de falha. Um morador compartilha a senha em um fórum e você perde o controle da sua rede. Quer remover o acesso de um prestador de serviços? Você precisa alterar a senha de todos. Em grande escala, isso não é gerenciável. O segundo modelo é o Group PPSK. Aqui, você atribui uma chave exclusiva para cada grupo de usuários, talvez uma chave por andar ou uma chave por tipo de locação. É melhor do que uma senha compartilhada, mas ainda tem um problema de raio de impacto. Se uma chave em um grupo for comprometida, todo o grupo será afetado. Você ainda não consegue isolar os moradores individuais uns dos outros na camada de rede. O terceiro modelo, e aquele em que estamos nos concentrando hoje, é o UU PPSK. Unique per-User Pre-Shared Key (Chave Pré-Compartilhada Única por Usuário). Também chamado de iPSK pela Cisco Meraki, DPSK pela Ruckus e MPSK pela HPE Aruba. A terminologia varia de acordo com o fabricante, mas o conceito é idêntico. Cada residente, cada grupo de dispositivos, recebe sua própria chave criptograficamente única. E essa chave é mapeada para sua própria VLAN, seu próprio segmento de rede, completamente isolado de todos os outros residentes no edifício. Esta é a arquitetura que entrega o que chamamos de bolha de WiFi. Os dispositivos do Residente A podem se ver, eles podem transmitir dados, emparelhar, compartilhar arquivos, exatamente como fariam em uma rede doméstica. Mas o Residente A não pode ver um único dispositivo pertencente ao Residente B, mesmo que ambos estejam conectados ao mesmo ponto de acesso, no mesmo SSID, usando a mesma infraestrutura de cabo físico. Deixe-me orientá-lo através do fluxo de autenticação técnica, porque é aqui que o mecanismo se torna claro. Quando o dispositivo de um residente se conecta ao SSID, o controlador de LAN sem fio intercepta a tentativa de conexão. Durante o handshake de quatro vias do WPA2, o dispositivo apresenta sua chave pré-compartilhada. O controlador busca essa chave no banco de dados PPSK. Ele retorna o ID de VLAN exclusivo atribuído a esse residente. O controlador valida a chave, e o dispositivo é autenticado e colocado em sua VLAN dedicada. Fundamentalmente, essa atribuição de VLAN também carrega a política de largura de banda e as regras de firewall corretas. Assim, o dispositivo não é apenas autenticado. Ele é colocado automaticamente no segmento de rede correto, a partir de um único SSID. Sem proliferação de SSID. Sem sobrecarga de beacon. Um único nome de rede, centenas de redes privadas isoladas sob ele. Agora, uma palavra sobre a randomização de endereços MAC, porque este é o obstáculo que atrapalha a maioria das implantações. Desde o iOS 14, Android 10 e Windows 11, os dispositivos usam endereços MAC randomizados por padrão por motivos de privacidade. Se a sua plataforma de autenticação estiver fazendo uma busca de MAC e o dispositivo apresentar um endereço randomizado, a busca falha e o dispositivo não consegue se conectar. A solução é implementar um fluxo de trabalho de pré-registro onde os residentes registram seus dispositivos antes de se conectarem. A plataforma da Purple lida com isso automaticamente como parte do fluxo de integração do residente. Vamos falar sobre modelos de implantação, porque o UU PPSK pode ser implantado de três maneiras distintas, e a escolha certa depende do tamanho do seu edifício, dos seus recursos de TI e do seu orçamento. O primeiro é o PPSK local no controlador. Aqui, as chaves exclusivas são armazenadas diretamente no controlador sem fio, sem a necessidade de um servidor RADIUS externo. Isso funciona bem para implantações menores, de até cerca de 50 unidades, e é o mais simples de operar. O Ubiquiti UniFi oferece suporte nativo a isso. A limitação é a escalabilidade. A maioria dos controladores limita-se a algumas centenas de entradas PPSK locais, e você perde o gerenciamento centralizado do ciclo de vida que torna o UU PPSK operacionalmente viável em escala. O segundo modelo é o PPSK baseado em RADIUS. Aqui, as chaves são armazenadas em um servidor RADIUS externo, e a controladora consulta o servidor RADIUS a cada nova conexão. Isso escala para milhares de unidades. O Ruckus SmartZone, o HPE Aruba ClearPass e o Cisco ISE suportam esse modelo. O custo operacional é maior, mas a escalabilidade e os recursos de gerenciamento do ciclo de vida são significativamente melhores. O terceiro modelo, e o que a Purple recomenda para operadoras de Build to Rent e unidades multifamiliares, é o RADIUS-as-a-Service em nuvem. Aqui, a infraestrutura RADIUS é hospedada e gerenciada pela Purple, e você conecta seus pontos de acesso a ela por meio de uma sobreposição de nuvem. Isso oferece a escalabilidade do PPSK baseado em RADIUS sem o custo operacional de rodar seu próprio servidor RADIUS. A plataforma da Purple opera sobre o seu hardware existente, seja Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet, e fornece a camada de orquestração para provisionamento de chaves, gerenciamento de ciclo de vida e integração de residentes. O ciclo de vida das chaves é totalmente automatizado. Um residente se muda para o local, e sua chave é provisionada por meio da integração com o sistema de gestão de propriedades. Ele se muda de lá, e sua chave é revogada instantaneamente, sem qualquer impacto sobre os outros residentes. Sem intervenção manual, sem brechas de segurança, sem complicações com rotação de senhas. Permita-me apresentar dois cenários concretos de implantação para ilustrar isso na prática. O primeiro é um empreendimento Build to Rent de 250 unidades. O incorporador havia especificado pontos de acesso Cisco Meraki por todo o edifício. Eles precisavam que cada residente tivesse uma experiência de WiFi privada com suporte total a IoT, prontidão para mudança no mesmo dia e capacidade de suportar de 15 a 25 dispositivos por residência. A arquitetura implantada foi um único SSID em todo o edifício, com UU PPSK via serviço de nuvem RADIUS da Purple. Cada residente recebeu uma chave exclusiva no momento da mudança, entregue pelo aplicativo do residente. A chave era associada a uma VLAN dedicada com uma sub-rede privada, proporcionando a cada residência um segmento de rede totalmente isolado. O reflexo mDNS foi ativado dentro de cada VLAN, fazendo com que Chromecast, Apple TV e Sonos funcionassem conforme o esperado. O edifício entrou em operação com 250 VLANs de residentes ativas no primeiro dia, com zero de configuração manual de RADIUS exigida pela equipe local. O segundo cenário é um bloco de acomodação estudantil projetado especificamente com 400 leitos. O desafio aqui é a rotatividade anual de coorte. Todo mês de agosto, 400 estudantes se mudam e 400 novos estudantes chegam, frequentemente na mesma semana. Com um modelo de PSK compartilhado, isso significa uma rotação de senha em todo o edifício que afeta todos os residentes que retornam. Com UU PPSK, significa revogar 400 chaves e provisionar 400 novas, tudo automatizado por meio da integração com o sistema de gestão de estudantes. A implantação utilizou Ruckus SmartZone com DPSK, apoiada pelo serviço RADIUS da Purple. Cada estudante recebeu sua chave exclusiva por e-mail durante o registro pré-chegada. A equipe de operações relatou uma redução de 70% nos chamados de suporte relacionados a WiFi no primeiro trimestre, principalmente porque os problemas de pareamento de Chromecast e smart TV que haviam assolado a implantação anterior de PSK compartilhado foram completamente eliminados. Agora, permita-me abordar três regras práticas antes de passarmos para as perguntas rápidas. Regra um: se o seu edifício tiver mais de 50 unidades, use UU PPSK baseado em RADIUS, não PPSK local do controlador. O teto de escalabilidade do PPSK local do controlador causará problemas em até 12 meses após a ativação. Regra dois: planeje para a randomização de MAC desde o primeiro dia. Crie um fluxo de trabalho de pré-registro em seu processo de integração de residentes. Não assuma que os dispositivos apresentarão seu endereço MAC permanente por padrão. Regra três: automatize o ciclo de vida das chaves. O valor operacional do UU PPSK em relação a um PSK compartilhado depende inteiramente de as chaves serem provisionadas e revogadas automaticamente. O gerenciamento manual de chaves em escala não é viável. Integre com seu sistema de gestão de propriedades desde o início. Certo, vamos fazer uma rodada rápida de perguntas que recebo com mais frequência. O UU PPSK funciona com WPA3? Sim, com ressalvas. O WPA3-SAE altera o mecanismo de handshake. A maioria dos controladores modernos suporta UU PPSK no modo de transição WPA2 e WPA3 para compatibilidade com versões anteriores. Se você estiver especificando pontos de acesso WiFi 6E que exigem WPA3 na banda de 6 gigahertz, verifique o suporte específico do seu fornecedor antes de comprar o hardware. Quantas chaves exclusivas um único SSID pode suportar? Isso depende da plataforma do seu controlador. Com um servidor RADIUS externo, o limite prático é a capacidade do seu banco de dados RADIUS. O serviço de RADIUS na nuvem da Purple escala para dezenas de milhares de chaves simultâneas. O UU PPSK substitui o 802.1X? Não. Para frotas de dispositivos corporativos totalmente gerenciadas, o 802.1X continua sendo a resposta certa. O UU PPSK é a resposta certa para redes residenciais onde você precisa de isolamento por residência, suporte a IoT e simplicidade operacional em escala. E quanto à conformidade com o GDPR? O UU PPSK oferece uma trilha de auditoria completa. Cada conexão está vinculada a uma chave de residente específica, que está vinculada a um registro de locação específico. Com um PSK compartilhado, essa responsabilidade é impossível. O UU PPSK é a única arquitetura que permite que você responda com precisão a uma solicitação de acesso do titular dos dados ou a uma investigação policial. Em resumo: o UU PPSK é a arquitetura de autenticação que torna o WiFi multi-tenant operacionalmente viável em escala residencial. Ele oferece isolamento de rede por residente, automatiza o gerenciamento do ciclo de vida das chaves e suporta toda a gama de dispositivos IoT de consumo sem exigir infraestrutura de certificados corporativos. Para qualquer empreendimento Build to Rent ou propriedade multifamiliar com mais de 50 unidades, essa é a arquitetura que você deve especificar hoje. Se você quiser explorar como a solução de WiFi Multi-Tenant da Purple pode funcionar com seu hardware existente, visite purple.ai ou fale com um de nossos arquitetos de rede. Obrigado por ouvir.